Что такое ключи доступа и почему они не лучше паролей?

Пароли всегда были проблематичными с точки зрения обслуживания и поддержки. Большинство пользователей либо запоминают их и рискуют использовать везде одни и те же, либо хранят где-то еще и надеются, что он будет доступен, если пароль вдруг понадобится. А как насчет ключей доступа? Портал Howtogeek.com объяснил их плюсы и минусы.

Другое дело, что ситуация меняется, если вы используете несколько устройств. Хотя ключи доступа технически могут использоваться разными устройствами, на практике это зависит от того, как они хранятся. В одной системе ключ можно привязать к операционной системе и синхронизировать через облачный аккаунт, а в другой — привязать к профилю браузера. Каждая модель работает независимо, но они не объединены в единую понятную систему. Из-за этого иногда бывает сложно ответить на самый простой вопрос: где находится сертификат и как его можно использовать где-то еще?

Кроме того, использование ключей добавляет необходимость координации между устройствами. Вход в учетную запись на ПК зачастую означает, что действие необходимо подтвердить через смартфон, на котором уже сохранен сертификат. В таком алгоритме нет ничего плохого – но он подразумевает, что смартфон всегда доступен. В противном случае процесс становится менее предсказуемым, поскольку некоторые службы предлагают резервные варианты входа в систему, а другие вообще не предлагают их.

Кроме того, как только вы теряете ключ доступа, становятся очевидными его архаичные уязвимости. Теоретически ключи можно восстановить посредством синхронизированных резервных копий, но для этого вся информация должна храниться в одной экосистеме. Перемещение между платформами усложняет ситуацию, и большинство сервисов так или иначе полагаются на традиционные методы восстановления. Подтверждение по электронной почте, коды SMS, резервные коды, иногда возможность сброса пароля. То есть пароли как явление все еще существуют, просто не на первом плане.

Ключи доступа также по-разному интегрированы на разных платформах. Некоторые позволяют практически полностью перейти на ключ для подтверждения личности, другие рассматривают их как дополнительную опцию. В результате могут возникнуть странные нестыковки: в одном браузере учетная запись может запрашивать ключ доступа, а в другом — обычный пароль.

Наличие паролей делает всю систему менее безопасной, но в большинстве случаев это единственный способ внедрить ключ доступа в учетную запись, которая используется на нескольких устройствах. Клавиши по умолчанию разработаны с учетом особенностей устройства, что затрудняет их настройку для разных систем. Некоторые из них, например Apple Passwords, позволяют обмениваться информацией через хранилище iCloud, но только между пользователями внутри экосистемы Apple. Некоторые менеджеры паролей, такие как Bitwarden, поддерживают совместное использование сертификатов между коллекциями, но опять же, только если все клиенты используют одни и те же настроенные совместимые клиенты.

Другими словами, идея ключей доступа привлекательна, но они построены на основе приложений и платформ, которые по-прежнему полагаются на традиционные пароли, поэтому от них трудно отказаться. Ключи доступа не заменяют эту модель; они просто усложняют задачу, не предлагая многого взамен.