Да, ключи доступа устойчивы к фишингу, поскольку они построены на стандарте WebAuthn, который представляет собой стандарт аутентификации, использующий шифрование с открытым ключом для проверки подлинности личности пользователя, прежде чем он сможет войти в свою учетную запись.
Читайте дальше, чтобы узнать больше о том, что делает ключи доступа устойчивыми к фишингу, а также о дополнительных преимуществах входа в учетные записи с помощью ключей доступа по сравнению с паролями.
Что такое ключ доступа?
Ключ доступа — это криптографический ключ, который позволяет вам войти в учетную запись без необходимости вводить пароль. Для использования ключей доступа необходимо, чтобы они поддерживались сайтом, на котором у вас есть учетная запись. Если ключи доступа поддерживаются сайтом, вы можете активировать их в настройках учетной записи, и пароль будет сгенерирован и сохранен локально на вашем устройстве.
При создании ключа доступа вы также можете использовать менеджер паролей для хранения ключа в цифровом хранилище. Хранение и управление ключами доступа с использованием менеджера паролей позволяет получать к доступ к ключам, делиться ими и входить в систему с их помощью из любого места и с любого устройства.
Что такое фишинг?
Фишинг — это вид атаки с использованием социальной инженерии, при которой выполняется попытка убедить жертву раскрыть конфиденциальную информацию. Часто злоумышленники отправляют ссылки на поддельные веб-сайты и предлагают жертвам перейти по ним. Поддельный веб-сайт — это сайт, который выглядит как законно существующий, но предназначен для кражи конфиденциальной информации.
Например, поддельный веб-сайт может предложить жертве ввести свои учетные данные для входа в систему компании, сайт которой он имитирует, но это означает, что жертва, по сути, передает свои учетные данные злоумышленнику. Затем злоумышленник может использовать эти учетные данные для входа в учетную запись жертвы.
Что обеспечивает устойчивость ключей доступа к фишингу?
Ключи доступа построены на стандарте WebAuthn, что делает их устойчивыми к фишинговым атакам. WebAuthn (Web Authentication) переводится как «веб-аутентификация» и представляет собой API на основе браузера, который упрощает аутентификацию пользователей в веб-приложениях. Стандарт WebAuthn позволяет пользователям использовать зарегистрированные устройства, такие как телефоны и компьютеры, в качестве факторов для входа в учетные записи с помощью шифрования с открытым ключом.
Когда пользователь генерирует ключ доступа для учетной записи, на его устройстве создается уникальная пара криптографических ключей. Эта пара ключей состоит из открытого и закрытого ключа. Открытый ключ хранится в компании, в которой пользователь создал свою учетную запись, а закрытый ключ хранится локально на устройстве, которое было использовано для создания ключа доступа. Когда пользователь входит в учетную запись, сервер учетной записи отправляет «задачу» аутентификатору пользователя. Аутентификатор — это устройство, браузер или менеджер паролей, используемые для генерации ключа доступа. Затем аутентификатор использует закрытый ключ для решения «задачи» и отправки ответа. Этот процесс также известен как «подпись» данных, так как проверяется личность пользователя. При этом закрытый ключ никогда не раскрывается.
В отличие от паролей, ключи доступа по умолчанию устойчивы к фишингу, поскольку построены на стандарте WebAuthn. Вы не сможете просто так отдать свой ключ доступа злоумышленникам, как это можно сделать с паролем, что делает ключи наиболее безопасным способом входа в учетные записи и приложения.
Дополнительные преимущества использования ключей доступа
Помимо устойчивости к фишингу, ключи доступа также удобны, всегда надежны, не подвержены атакам, связанным с паролями, и просты в использовании.
Ключи доступа просто использовать, если они хранятся в менеджере паролей
Чтобы войти в систему с помощью ключа доступа на устройстве, где он был создан, достаточно использовать биометрические данные, такие как FaceID, для подтверждения личности. Если вы храните ключи доступа в менеджере паролей, для входа вам достаточно нажать кнопку и вы сможете войти в систему с любого устройства, независимо от того, какая операционная система (ОС) на нем используется. Благодаря активированным в вашей учетной записи ключам доступа нет необходимости вручную вводить пароль, и это чрезвычайно удобно и доступно.
Ключи доступа всегда надежны
Ключи доступа состоят из пары открытого и закрытого ключей, которые создаются уникальным образом каждый раз, когда генерируются для учетной записи. В отличие от паролей, ключи доступа никогда не создаются пользователем. Они автоматически генерируются устройством, браузером или менеджером паролей безопасным и уникальным образом для каждой учетной записи, а это означает, что они надежны по умолчанию.
Ключи доступа не подвержены кибератакам, связанным с паролями
Если говорить о паролях, многие пользователи подвергаются атакам, связанным с паролями, так как они повторно используют один и тот же пароль для нескольких учетных записей или используют слабые пароли, которые злоумышленник может легко угадать или взломать за несколько минут, а иногда и секунд. При использовании ключей доступа пользователям не нужно создавать собственные пароли, которые могут оказаться уязвимыми для различных типов кибератак на основе паролей.
Избегайте фишинговых атак благодаря ключам доступа
Фишинг остается одной из самых распространенных кибератак, направленных как на предприятия, так и на частных лиц. Хотя в настоящее время ключи доступа поддерживаются только на некоторых веб-сайтах и в приложениях, их использование во всех возможных случаях позволяет защитить ваши учетные записи от фишинговых атак, которые могут привести к компрометации учетной записи. Чтобы узнать, какие веб-сайты и приложения поддерживают ключи доступа, ознакомьтесь с нашим каталогом ключей доступа.
Поскольку в настоящее время ключи доступа поддерживаются только на небольшом количестве веб-сайтов, вам все равно нужно защитить большинство учетных записей и приложений с помощью надежных и уникальных паролей. Менеджеры паролей, такие как Keeper®, позволяют легко генерировать надежные пароли, управлять ими, а также хранить их и ключи доступа в безопасном цифровом хранилище.
Начните использовать бесплатную 30-дневную пробную версию Keeper Password Manager для простого и удобного управления паролями и ключами доступа.
Aranza Trevino
Aranza Trevino — старший специалист по SEO-контенту в Keeper Security. Она является опытным аналитиком тенденций и данных в области кибербезопасности и постоянно пополняет свои знания в отрасли, чтобы просвещать читателей посредством своего блога. Блоги, которые ведет Aranza, помогают людям и компаниям лучше разбираться в вопросах управления паролями, безопасности паролей и защиты от киберугроз. Aranza получила степень бакалавра в области цифрового маркетинга в университете DePaul.
Получайте последние новости и обновления в области кибербезопасности прямо в свой почтовый ящик
Поделитесь этим блогом
Вам также может понравиться
Менеджер паролей для ИТ-специалистов
Без менеджера паролей ИТ-администраторам трудно иметь видимость и контроль над тем, как сотрудники используют пароли. Этот недостаток подвергает организации большему риску кибератак, связанных с паролями, что может привести к разрушительной утечке данных. Keeper Password Manager помогает...