Ключи доступа против паролей: почему технология проигрывает привычке

Технология ключей доступа (passkeys) должна была покончить с паролями: она объединяет криптографическую пару ключей с локальной биометрией - отпечатком пальца или сканом лица - и исключает передачу секрета на сервер. Когда всё работает, вход в аккаунт занимает секунды. Но на практике большинство пользователей по-прежнему открывают менеджер паролей и вводят привычную комбинацию символов. Проблема не в самой технологии - в том, как индустрия подошла к её внедрению: без объяснений, без обязательности и с реальными сбоями в повседневных сценариях.

Большинство пользователей не понимают, что такое ключ доступа

Ключи доступа появились без предупреждения. Пользователи просто однажды увидели новую кнопку на странице входа - и в большинстве случаев нажали «Пропустить». Те, кто всё же пошёл дальше, оказывались без какого-либо внятного объяснения. Даже автор этого материала, профессионально пишущий об интернет-безопасности, не смог понять из подсказок на сайтах, что такое ключ доступа и как он работает. Ни один крупный сайт не объяснил технологию простым языком - пользователей просто проводили по шагам мастера настройки, и в итоге они оказывались привязаны к методу аутентификации, о котором почти ничего не знают.

Сайты не решились сделать ключи доступа обязательными

Когда платформы внедряли двухфакторную аутентификацию или ужесточали требования к паролям, они не спрашивали разрешения. С ключами доступа всё иначе: везде это лишь дополнительная опция. Причина - в реальной уязвимости технологии. Ключ доступа привязан к конкретному физическому устройству, на котором хранится приватный ключ шифрования. Потеря или поломка устройства без резервной копии в облаке означает полную потерю доступа к аккаунту. Можно хранить ключи на нескольких устройствах, но резервная система всё равно нужна.

Здесь возникает и более фундаментальный вопрос: если традиционный пароль остаётся как запасной вариант, действительно ли ключи доступа делают систему безопаснее? Вектор атаки через пароль никуда не исчезает. Единственное реальное преимущество - чуть меньше трения при входе. Но если пользователь и без того авторизует автозаполнение пароля через биометрию, практическая разница невелика.

Опыт использования ключей доступа в реальной жизни

На практике ключи доступа нередко создают больше неудобств, чем простой ввод кода из менеджера паролей. Сканирование QR-кода для входа через ключ, хранящийся на iPhone, работает слишком медленно. Хуже того - успешное прохождение всей процедуры не гарантирует результата: некоторые сайты сообщают о непригодности ключа только в самом конце и вынуждают возвращаться к паролю с двухфакторной аутентификацией.

Именно из-за этого автор материала создал ключи доступа на нескольких устройствах - ключ на том же устройстве, с которого выполняется вход, работает заметно надёжнее, чем синхронизированный через облако или считываемый через QR-код с iPhone. При этом хранить ключи доступа на множестве устройств некомфортно - это создаёт новую точку беспокойства вместо того, чтобы снять старую.

Предсказуемая причина провала - путь наименьшего сопротивления

Ключи доступа - шаг в верном направлении, но запуск вышел сырым. Когда пользователю дают выбор между чем-то новым и привычным, он выбирает привычное. Чтобы переломить эту инерцию, сайтам нужно активно продвигать новый метод входа, а индустрии - всерьёз заняться совместимостью и удобством ключей доступа. Пароли объективно слабы и уязвимы к длинному списку атак, но пока ключи доступа не стали понятнее и надёжнее, пользователи продолжат набирать пароли вручную.