Втратив телефон — втратив життя
Passkeys мають на меті замінити паролі. Більшість компаній хочуть їх впровадити. Дані свідчать, що 93% організацій тестують passkeys на основі WebAuthn. Проте лише 13% масштабують їх.
Інженери зосереджуються на ідеальному вході в систему. Ви створюєте систему, де біометричне сканування працює за лічені секунди. Це «щасливий шлях» (happy path).
Індустрія впирається в стіну на «нещасливому шляху» (unhappy path). Це відновлення доступу через пристрій.
Passkeys переносять безпеку від спільного пароля до приватного ключа, прив'язаного до апаратного забезпечення. Ваш телефон використовує біометрію для розблокування цього ключа. Сенсори обчислюють математичну відстань між живим скануванням та зареєстрованим шаблоном. Якщо збіг відповідає пороговому значенню, апаратне забезпечення відкриває ключ.
Це створює серйозну проблему. Якщо ключ зберігається лише на одному пристрої, втрата цього пристрою означає втрату вашої особистості.
Такі компанії, як Apple та Google, використовують хмарну синхронізацію для допомоги. Це додає складності для розробників. Вам доводиться обирати між високобезпечними апаратними ключами або зручними у використанні синхронізованими ключами.
Багато розробників намагаються вирішити це за допомогою слабкого відновлення через електронну пошту. Це руйнує безпеку. Ви будуєте двері в сховище, але залишаєте відкритим заднє вікно. Посилання в електронному листі не є таким безпечним, як криптографічний passkey.
У CaraComp ми зосереджуємося на порівняльних метриках. Ми вважаємо, що автентифікація потребує професійної «сітки безпеки». Чудові алгоритми зазнають невдачі, якщо навколишня архітектура є слабкою.
Мета для розробників — не краще розпізнавання обличчя. У нас уже є точні сканування обличчя. Мета — кращі протоколи відновлення. Нам потрібні способи відновлення облікових записів без повернення до ризиків фішингу.
Крайові випадки (edge cases) визначають вашу репутацію в сфері безпеки.
Як ви обробляєте відновлення облікових записів у своїх безпарольних системах? Чи уникаєте ви небезпечного скидання через електронну пошту?
Optional learning community: https://t.me/GyaanSetuAi