За и против технологии passkeys | Блог Касперского

Разбираем экономические, регуляторные и ИБ-аспекты внедрения passkeys в организациях

Технологию ключей доступа (КД, passkeys) рекламируют все ИТ-гиганты как эффективную и удобную замену паролям, которая может покончить с фишингом и утечками учетных данных. Суть в следующем — человек входит в систему при помощи криптографического ключа, сохраненного в специальном аппаратном модуле на его устройстве, а разблокирует эти данные при помощи биометрии или ПИН-кода. Мы подробно разобрали текущее положение дел с passkeys для домашних пользователей в двух статьях (терминология и базовые сценарии использования, сложные случаи), но у компаний к ИБ-технологиям совершенно другие требования и подходы. Насколько хороши ключи доступа и FIDO2 WebAuthn в корпоративной среде?

Мотивы перехода на passkeys в компании

Как и любая крупная миграция, переход на ключи доступа требует бизнес-обоснования. В теории passkeys решают сразу несколько злободневных проблем:

• Снижают риски компрометации компании с использованием кражи легитимных учетных записей (устойчивость к фишингу — главное заявленное преимущество КД).
• Повышают устойчивость к другим видам атак на identity, таким как перебор паролей — brute forcing, credential stuffing.
• Помогают соответствовать регуляторным требованиям. Во многих индустриях регуляторы обязуют применять для аутентификации сотрудников устойчивые методы, и passkeys обычно признаются таковыми.
• Снижают затраты. Если компания выбрала passkeys, хранящиеся в ноутбуках и смартфонах, то высокого уровня безопасности можно достичь без дополнительных затрат на USB-устройства, смарт-карты, их администрирование и логистику.
• Повышают продуктивность сотрудников. Хорошо налаженный процесс аутентификации повседневно экономит время каждому сотруднику и снижает процент неудачных входов в ИТ-системы. Также переход на КД обычно увязывают с отменой всем привычных и ненавистных регулярных смен пароля.
• Снижают нагрузку на хелпдеск за счет уменьшения числа заявок, связанных с забытыми паролями и заблокированными учетными записями.

Насколько широко уже внедрены passkeys

Из отчета FIDO Alliance следует, что 87% опрошенных организаций в США и Великобритании уже перешли либо переходят на КД. Правда, внимательное изучение отчета показывает, что в эту внушительную цифру входят и привычные для крупных компаний варианты с использованием смарт-карт и USB-брелоков (токенов) для доступа к аккаунтам. Хотя некоторые из них действительно основаны на WebAuthn и passkeys, проблема с этими внедрениями хорошо известна. Это достаточно дорого и создает постоянную нагрузку на ИТ и ИБ, связанную с администрированием физических брелоков/карт: выпуском, доставкой, заменой, отзывом и так далее. Что касается активно популяризируемых решений, основанных на смартфонах и даже облачной синхронизации, то 63% опрошенных заявляют об использовании таких технологий, но масштаб их внедрения неизвестен.

Далеко не все компании переводят на новую технологию 100% персонала. Это может быть и организационно сложно, и просто дорого. Зачастую речь идет о поэтапном внедрении. Хотя стратегии пилота могут быть разными, компании обычно начинают с тех, кто имеет доступ к интеллектуальной собственности (39%), с администраторов ИТ-систем (39%), а также высшего руководства (34%).

Возможные препятствия к внедрению passkeys

Когда организация решится перейти на использование passkeys, она неизбежно столкнется со множеством технических сложностей. Про подводные камни можно легко написать отдельную статью. Но для этого материала ограничимся самыми очевидными проблемами:

• Сложность (а иногда просто невозможность) перехода на КД при использовании устаревших и изолированных ИТ-систем, в первую очередь On-Premises Active Directory.
• Фрагментация подходов к хранению passkeys в экосистемах Apple, Google, Microsoft — пользоваться одним КД на разных устройствах может быть сложно.
• Дополнительные сложности с управлением КД, если в компании разрешено использование личных устройств (BYOD) или, наоборот, введены строгие запреты, в том числе запрет на применение Bluetooth.
• Выбор passkeys на основе токена упрощает решение проблем фрагментации и BYOD, но создает постоянные расходы на закупку или аренду токенов и операции с физическими устройствами.
• Для сценариев с высокими требованиями к аутентификации (high assurance with attestation) подходят только аппаратные несинхронизируемые ключи, да и то не все (у FIDO Alliance есть рекомендации на этот счет).
• Необходимость обучать сотрудников и успокаивать их насчет использования биометрии.
• Необходимость создания детальных и совершенно новых политик ИТ, ИБ и хелпдеска для решения проблем с фрагментацией, legacy-системами, потерянными устройствами. Также возникают свои особенности в процедуре регистрации новых сотрудников и их увольнения.

Что про passkeys говорят регуляторы

Невзирая на все сложности, переход на КД может быть предрешен для некоторых организаций, если этого требует регулятор. В целом крупные страновые и индустриальные регуляторы поддерживают passkeys прямо или косвенно.

NIST SP 800-63 Digital Identity Guidelines разрешает использование syncable authenticators (в определении которых явно читаются passkeys) для уровня AAL2 и device-bound authenticators для AAL3. Таким образом применение passkeys уверенно ставит «галочки» при прохождении аудитов ISO 27001, HIPAA и SOC 2.

Ассоциация PCI в комментариях к стандарту DSS 4.01 прямо называет FIDO2 технологией, которая удовлетворяет их критериям «аутентификации, устойчивой к фишингу».

EU Payment Services Directive 2 (PSD2) написана «технологически нейтрально» и не называет никаких конкретных технологий. Но она требует строгой аутентификации (SCA) с использованием устройств PKI для проведения важных финансовых транзакций, а также «динамического связывания» платежных данных с подписью транзакции. Эти требования выполнимы при помощи passkeys.

Европейские директивы DORA и NIS2 также написаны технологически нейтрально и требуют в общем случае просто внедрения многофакторной аутентификации, этому требованию КД, конечно, удовлетворяют.

В общем, выбирать именно passkeys для регуляторного соответствия необязательно, но многие организации находят этот путь экономически самым эффективным.
Среди факторов, которые влияют на решение в пользу passkeys, отметим широкое использование в компании облачных сервисов и SaaS, уже ведущееся внедрение passkeys в сайты и приложения для клиентов, наличие хорошо управляемого парка корпоративных компьютеров и смартфонов (типовые конфигурации, EMM/UEM).

План перехода на passkeys для организации

1. Соберите кросс-функциональную команду: ИТ, ИБ, бизнес-владельцы ИТ-систем, служба техподдержки, HR и внутренние коммуникации.
2. Проведите инвентаризацию систем и методов аутентификации. Определите, где уже поддерживается WebAuthn/FIDO2, какие системы можно обновить, в каких создать интеграцию при помощи SSO, где создать специальный сервис для «конвертации» новых методов аутентификации в поддерживаемые системой, а где остаться с паролями под усиленным надзором SOC.
3. Определите стратегию использования passkeys. Выберите между аппаратными ключами и КД, хранимыми на смартфонах и ноутбуках, продумайте и настройте методы первичного входа и аварийного входа, такие как временные коды доступа (TAP).
4. Обновите политики информационной безопасности с учетом внедрения в организации passkeys. Детально пропишите правила регистрации и восстановления доступа. Продумайте регламенты для случаев, когда переход на КД невозможен (например, пользователь вынужден применять устаревшее устройство без поддержки КД). Разработайте вспомогательные меры, способствующие безопасному хранению КД (обязательное шифрование всех устройств, применение биометрии, проверка защищенности устройств через UEM/EMM).
5. Продумайте порядок перехода на passkeys для разных систем и разных групп пользователей. Выберите большой промежуток времени, чтобы поэтапно выявлять и устранять проблемы.
6. Активируйте passkeys в системах управления доступом в Microsoft Entra ID, Google Workspace, настройте допустимые устройства.
7. Запустите пилотный проект, начав с небольшой группы пользователей. Соберите обратную связь, уточните инструкции и подходы.
8. Поэтапно подключайте системы, не поддерживающие КД, при помощи SSO и других методов.
9. Обучите сотрудников. Запустите кампанию по подключению passkeys, обеспечив пользователей инструкциями и работая с «чемпионами» в каждом отделе, чтобы ускорить освоение технологии.
10. Отслеживайте прогресс и улучшайте процессы. Анализируйте метрики использования, ошибки входа, обращения в поддержку. С учетом этого корректируйте политики доступа и восстановления.
11. Постепенно отключайте устаревшие методы аутентификации, когда их использование падает до единиц процентов. В первую очередь нужно избавляться от одноразовых кодов по небезопасным каналам связи, например SMS и e-mail.

29.07.2025