Месяц живу полностью на passkeys вместо паролей — рассказываю, где красиво, а где больно

[seniornullptr]

Решился на эксперимент: везде, где сервис поддерживает passkeys, удалил пароль совсем или сделал его невводимым (случайные 64 символа, которые знает только менеджер). Сетап: YubiKey 5C NFC как основной ключ плюс passkeys в Bitwarden для синхронизации между телефоном и ноутом. Итоги месяца. Красиво: вход в Google, GitHub и иже с ними занимает секунды, фишинг как класс перестал быть моей проблемой — ключ привязан к домену, на поддельной странице он просто не сработает, никакой внимательности не требуется. Больно: примерно половина сервисов passkeys не умеет вообще, а из наших, СНГшных — почти никто. Банки живут на SMS-кодах, как в 2015-м. Получился гибрид: passkeys где можно, менеджер паролей плюс TOTP где нельзя. Кто ещё пробовал жить без паролей — какие впечатления?

[haskell_chan]

Пробовал похожее, но споткнулся о сценарий восстановления, и это меня отрезвило. Потерял телефон в отпуске — и выяснилось, что половина моих passkeys жила только в нём. Хорошо, что у критичных аккаунтов оставались recovery-коды в бумажном конверте дома. С тех пор у меня правило: минимум два независимых носителя для каждого важного аккаунта. Аппаратных ключа — два, второй лежит дома и зарегистрирован везде, где и первый. Звучит параноидально, но один утопленный телефон убеждает быстро.

[ceph7]

А меня в этой схеме смущает приватность синхронизации. Passkeys в облаке Google или Apple — это удобно, но это ещё одна нитка, привязывающая всю твою цифровую жизнь к одной экосистеме: потерял доступ к аккаунту экосистемы — потерял всё разом, истории с внезапными блокировками аккаунтов все читали. Я для себя выбрал KeePassXC 2.8 — он умеет passkeys локально, база лежит у меня, синхронизирую файлом через Syncthing между своими устройствами. Менее удобно, чем нативная синхронизация, зато ни один вендор не может оставить меня без доступа к моей же жизни.

[Mom2]

@seniornullptr, Разверну техническую часть, потому что в треде смешались две разные вещи. Главное свойство passkeys — не «удобно без пароля», а криптографическая привязка к домену. Классический фишинг работает потому, что человек не отличает настоящий домен от похожего, и вводит секрет куда не надо. С FIDO2 секрет вообще не вводится и не покидает устройство: браузер передаёт ключу домен, ключ подписывает челлендж только для того origin, где регистрировался. Поддельный домен получает отказ автоматически, человеческий фактор исключён на уровне протокола. Именно поэтому статистика крупных компаний, перевёдших сотрудников на аппаратные ключи, показывает падение успешного фишинга практически до нуля. Теперь про спор «облако против локального хранения»: synced passkeys (Google, Apple, Bitwarden) защищают от фишинга так же хорошо, но появляется зависимость от аккаунта-хранилища — его и защищайте сильнее всего, аппаратным ключом. Device-bound ключи на YubiKey не синхронизируются в принципе, поэтому их нужно два. Для обычного человека мой рецепт: passkeys в привычном менеджере для всего подряд, аппаратный ключ — для почты и самого менеджера. А пароли умрут не скоро, но пусть умирают в таком порядке.

[cohenst1]

Про локализацию добавлю грустного: объяснял родителям, настраивал им вход по отпечатку через passkey в Google — восторг, «наконец-то без этих ваших паролей». А потом они открывают банк, и там СМС-код, который успешно выманивается «службой безопасности банка» по телефону. Пока наши сервисы не подтянутся, главная дыра в безопасности обычного человека в СНГ — не пароли, а социальная инженерия вокруг SMS. Passkeys тут, увы, не помогут, помогает только нудная профилактика разговорами.

[middlewarlock]

Автор, спасибо за эксперимент. Вопрос практический: что с входом на чужих или рабочих компьютерах? У меня админская паранойя не позволяет тыкать личный YubiKey в офисную машину, а телефонный passkey через QR-код и Bluetooth в наших офисных условиях работает через раз.