В цій статті:
• Технологічна база PassKey
• Обмеження Passkey та способи зберігання ключів
• Порівняння підходів до захисту доступу та ключів
• Як Passkey використовується вже сьогодні
Сучасні користувачі висувають до цифрових платформ, особливо криптовалютних, підвищені вимоги. Їхні головні критерії: криптографічна надійність, щоб ніхто не міг підробити доступ, масштабованість, що дозволяє обслуговувати користувачів на різних пристроях по всьому світу, і зручність (UX), щоб безпека не перетворювалася на високий бар’єр для управління профілем.
Але іронія полягає в тому, що головна вразливість акаунтів і гаманців у цифровому світі – сама людина, а точніше, її нездатність зберігати секрети – паролі доступу.
В умовах загальної цифровізації класична модель доступу на основі паролів вже не справляється зі своїм завданням, оскільки пароль, спільний секрет між людиною і системою, можна вкрасти, перехопити або підглянути. Ця модель ламається в багатьох місцях – при фішингу, витоках баз даних і схемах «соціальної інженерії», віддаючи зловмиснику повний контроль над акаунтом і коштами користувача.
Нові технології, як Passkey, вирішують ці проблеми, створюючи доступ «без секрету».
Технологічна база PassKey
В основі PassKey лежить асиметрична криптографія, де ідентифікація людини будується не на знанні секрету, а на доказі володіння приватним ключем. Для цього для кожного сервісу генерується пара ключів: публічний/приватний. Перший передається сервісу і використовується виключно для перевірки підпису, другий же залишається на стороні користувача і принципово не покидає довірене середовище – пристрій. Ця структура усуває сам «секрет» між користувачем і системою.
- Генерація та зберігання ключів відбуваються локально, всередині захищених механізмів – наприклад, на пристроях компанії Apple це Secure Enclave.
- Приватний ключ недоступний ні додатку, ні браузеру, ні користувачеві у відкритому вигляді. Єдине, що допускається – використання ключа через інтерфейс після локального підтвердження «намірів» користувача.
- Для цього підтвердження використовується стандартний рівень аутентифікації – PIN або біометрія, SMS або двофакторна перевірка. Це страховочний рівень, який не бере участі в аутентифікації і не послаблює модель Passkey.
- Сам процес аутентифікації реалізований через модель challenge-response. Сервіс формує виклик, який підписується приватним ключем на пристрої, після чого підпис перевіряється за допомогою публічного ключа.
Під час цього процесу не передаються жодні ключі, кожен запит є унікальним, а його результат неможливо відтворити повторно. Таким чином, навіть у разі компрометації додатка ключ залишається недосяжним, а окремо від пристрою – марним.
Окрема фундаментальна властивість Passkey – пара ключів = один домен. Підпис формується тільки для того сайту або сервісу, для якого був створений ключ. Якщо користувач потрапляє на фішинговий сайт, система просто не виконає операцію.
Стандарт PassKey працює для всіх однаково
Технологія базується на стандарті FIDO2, що складається з двох частин:
- WebAuthn – веб-стандарт, що дозволяє створювати і використовувати ключі через інтерфейс JavaScript. Розроблений консорціумом World Wide Web.
- CTAP – протокол для комунікації із зовнішніми аутентифікаторами, наприклад апаратними ключами безпеки (наприклад, апаратний криптогаманець).
WebAuthn і FIDO2 визначають єдиний протокол взаємодії між пристроєм і платформою. Завдяки цьому Passkey працює однаково в вебі та додатках, масштабується і не залежить від реалізації на рівні конкретного додатка. Це робить Passkey інфраструктурним рівнем аутентифікації, вбудованим у сервіс.
Обмеження Passkey та способи зберігання ключів
Однак і у цієї моделі є обмеження, яке полягає в залежності від пристрою – поломка або його втрата потенційно позбавляють користувача доступу.
Існують три основні підходи до вирішення цієї проблеми:
- Апаратні ключі. Фізичні пристрої (USB, NFC, Bluetooth), що зберігають приватний ключ окремо від основного девайса. Вони дозволяють безпечно переміщати доступ між пристроями і служать резервним носієм.
- Хмарне зберігання. Ключі синхронізуються між пристроями через хмарні сервіси (Apple iCloud Keychain, Google Password Manager). Ключ залишається зашифрованим і доступний тільки після перевірки (PIN, біометрія).
- Гібридні моделі. Деякі сервіси використовують комбінацію пристрою і хмари: основний ключ зберігається на пристрої, а його резервна копія – в хмарі з контролем доступу через додаткові фактори (2FA або MFA).
У підсумку залежність Passkey вирішується архітектурно і не є нерозв’язною.
Порівняння підходів до захисту доступу та ключів
Сучасні методи захисту автентифікації розвивалися під тиском загроз. Кожен підхід вирішує частину завдання, але жоден сам по собі не усуває всіх ризиків.
2FA / MFA – багатофакторна аутентифікація, що доповнює пароль новими кодами:
- Переваги: підвищує поріг атаки; проста реалізація, доступна для широких мас.
- Недоліки: не усуває вразливість пароля; атаки в реальному часі, такі як фішинг, все ще можливі; контролює доступ, але не володіння активами.
MPC (Multi-Party Computation) – розподіляє ключ між декількома учасниками:
- Переваги: немає єдиної точки компрометації, підвищений захист ключів; ефективно для підписання транзакцій без повного розкриття ключа.
- Недоліки: складна інфраструктура, що не вирішує UX і зручність входу; залежність від координації учасників, які знаходяться далеко один від одного.
Account Abstraction – новий стандарт криптогаманців на базі смарт-контрактів:
- Переваги: архітектурна еволюція гаманців, можливість гнучкої логіки управління та відновлення доступу через програмовані правила.
- Недоліки: залежить від мережі та смарт-контрактної логіки, не забезпечує простий і безпечний вхід через (поки що) високі вимоги до знань.
Ці моделі є спробою модернізації старої системи, а не новою формою. Passkey, на відміну від них, захищає саму ідентичність користувача та контроль над обліковим записом, а не дані та пристрої. Навіть у разі компрометації секрет, який дозволив би підробити підпис і знову використовувати доступ, залишається прихованим.
Синергія нових і старих технологій
Однак потенційно в майбутньому ці технології стануть не конкурентами, а рівнями однієї екосистеми, що доповнюють один одного на рівнях безпеки та управління:
- Passkey забезпечує безпечний і зручний вхід для користувача, пов’язуючи аутентифікацію з пристроєм і криптографічними принципами захисту.
- MPC захищає сам приватний ключ, розподіляючи його між учасниками і виключаючи єдину точку компрометації.
- Account Abstraction задає архітектурну логіку гаманця, керує правилами підпису, відновлення та гнучкою бізнес-логікою.
- 2FA і PIN можуть виступати як додатковий контрольний рівень, посилюючи безпеку при відновленні доступу або зміні пристрою.
Разом вони утворюють основу для «гаманця наступного покоління», де Passkey і Account Abstraction служать фундаментом, забезпечуючи безпечний і зручний доступ, а MPC гарантує захист всіх ключів. Така комбінація перетворює гаманець з набору окремих функцій в систему, де безпека і UX працюють узгоджено.
Як Passkey використовується вже сьогодні
Спочатку варто зазначити, що в криптосвіті Passkey вирішує завдання аутентифікації, а не володіння активом на рівні блокчейну. Ключ у блокчейні – криптографічний об’єкт, який підписує транзакції та існує в контексті конкретної мережі. Passkey же підтверджує, хто запитує доступ, а не підписує транзакції.
Іншими словами, Passkey – це безпечний вхід і контроль доступу, а не заміна криптографічної моделі володіння. Він працює над блокчейном, а не замість нього, закриваючи найвразливіший шар – взаємодію користувача з самою системою.
Сьогодні він вже стає частиною глобальної мережі.
В екосистемах Apple і Google він використовується в акаунтах як альтернативний спосіб входу – без паролів, з опорою на пристрій і біометрію. Мільярди людей фактично застосовують асиметричну аутентифікацію, не усвідомлюючи цього.
У криптосвіті цей підхід тільки формується.
У гаманці Trustee Plus Passkey використовується як один з ключових елементів доступу, разом з 2FA, PIN і біометрією. Замість однієї точки відмови формується гібридний рівень безпеки, де кожна технологія закриває свою зону ризику.
Такий підхід наближає реалізацію того самого «криптогаманця майбутнього», де безпека перестає конфліктувати з UX – без будь-яких компромісів.
Сообщение Безпека вашої криптовалюти: технічний розбір Passkey появились сначала на INCRYPTED.
