Чому паролі все ще домінують, незважаючи на обіцянки ключів доступу

Ключі доступу мали замінити паролі, але реальність виявилася іншою. Досліджуємо, чому традиційні паролі все ще використовуються.

Протягом багатьох років ключі доступу вважалися майбутнім аутентифікації, а традиційні паролі — минулим. Їх хвалять як безпечнішу альтернативу. Але цього тижня я використовував звичайні паролі для аутентифікації більше разів, ніж можу порахувати.

Не зрозумійте мене неправильно, впровадження ключів доступу вражає. Але я не можу не замислитися про поточний стан аутентифікації, де старі технології все ще домінують.

Ключ доступу — це насправді дві криптографічні ключі. Приватний, який ніколи не залишає вашого пристрою, і публічний, який зберігається на сайті, на який ви входите. Коли ви входите, ваш пристрій доводить, що має приватний ключ, не відправляючи нічого, що кіберзлочинець міг би перехопити, тому ключі доступу не можуть бути фішинговими, як звичайні паролі.

Найкраще це пояснити так: паролі — це те, що ви знаєте; ключі доступу — це те, що у вас є (на пристрої) або те, ким ви є (біометричний ID).

На ваших пристроях Apple Face ID або Touch ID виконують перевірку, а ваш приватний ключ зберігається в Secure Enclave. Якщо ви використовуєте кілька пристроїв, iCloud Keychain безпечно синхронізує приватні ключі між iPhone, iPad і Mac.

Зараз більше 15 мільярдів облікових записів можуть входити за допомогою ключа доступу, згідно з даними FIDO Alliance, а Google повідомляє, що його ключі доступу аутентифікували користувачів більше мільярда разів на понад 400 мільйонах облікових записів. На WWDC 2025 Apple представила новий інструмент створення облікових записів, який дозволяє додаткам реєструвати вас за допомогою ключа доступу з самого початку, тому пароль ніколи не потрібен. Microsoft пішла ще далі і зробила нові облікові записи безпарольними за замовчуванням.

Читайте також:  Прем'єра "Margo’s Got Money Troubles" з Еллою Фаннінг на Apple TV

Однак все ще існує значний опір серед компаній до впровадження ключів доступу. Нещодавно навіть з’явився новий веб-сайт, який критикує популярні сайти, які все ще не пропонують ключі доступу користувачам. Деякі імена в списку шокують: Instagram, Spotify, Netflix.

Опір впровадженню в основному пов’язаний з відновленням доступу.

FIDO2, стандартний протокол ключів доступу, не має вбудованого механізму відновлення. Якщо ви втратите всі пристрої, на яких зберігаються ваші ключі доступу, вашою альтернативою буде, на жаль, посилання для скидання пароля. Це саме та слабка ланка, яку ключі доступу мали б усунути. Ось чому компанії SaaS та інші сайти зберігають старе поле пароля на екрані входу як резервний варіант.

Портативність — ще одна проблема, але її швидко вирішують.

Оскільки ключі доступу зберігаються в iCloud Keychain, Google Password Manager, різних браузерах тощо, ці сховища не взаємодіють і, отже, не можуть передавати облікові дані один одному. Але це повільно змінюється. Apple додала імпорт і експорт ключів доступу між платформами з iOS 26. Це оголошення стало помітною зміною в тоні, враховуючи, наскільки тісно інтегрована екосистема Keychain Apple.

Читайте також:  Переможці 2026 року на iPhone Photography Awards

Поки протокол обміну обліковими даними не працює безперебійно на всіх платформах, перехід між екосистемами може перетворити безпарольний доступ на замкнене коло.

TL;DR

Криптографія сама по собі надійна і надзвичайно стійка до фішингу. Проблема з ключами доступу більше операційна. Відновлення має бути надійним, портативність повинна бути безшовною, а сайти повинні дійсно прибрати поле пароля, перш ніж ера паролів закінчиться назавжди.

Apple випереджає більшість, з найзручнішою екосистемою (не дивно) і випустила підтримку експорту раніше Google. Але поки ці прогалини не закриються, я не думаю, що ці поля для входу зникнуть найближчим часом.

Ключі доступу стануть майбутнім аутентифікації… зрештою.

Цікавий факт

Ключі доступу можуть значно зменшити ризик фішингу, оскільки вони не передаються через мережу, на відміну від традиційних паролів.