Passkeys для аккаунта Google: что, где, как и зачем

Недавно появились новости о том, что Google собирается сделать так называемые ключи доступа (passkeys) дефолтной опцией для входа в Google-аккаунты. Так что в следующий раз, когда вы будете логиниться в YouTube, Gmail, Google-документы, карты Google или любое другое приложение поискового гиганта, вас, скорее всего, попросят создать этот самый passkey — ключ доступа.

В этом посте мы разберемся, где можно настроить passkeys для вашего Google-аккаунта, какие есть варианты и что делать, если возникнут сложности. Но сначала немного поговорим о том, что это вообще такое и как работает данная технология.

Что такое ключи доступа — они же ключи входа, они же passkeys

Passkeys (от англ. pass + key — «проход» + «ключ») разработаны FIDO Alliance — организацией, чьей миссией является создание новых стандартов аутентификации, которые в перспективе позволят человечеству меньше полагаться на пароли. Если у вас есть аппаратный ключ доступа — чаще всего их называют YubiKey (как наиболее популярный бренд), — то вы уже знакомы с одной из разработок FIDO Alliance.

Passkeys — это следующий этап развития новых технологий аутентификации. Предыдущие разработки FIDO Alliance касались дополнительных факторов — то есть вспомогательных вариантов подтверждения входа, которые работали совместно со всеми ненавидимыми паролями. А вот passkeys призваны уже не дополнить, а полностью заменить собой пароли.

Крупнейшие технологические гиганты — Apple, Google и Microsoft — уже внедрили в свою инфраструктуру поддержку технологии и готовы дать пользователям возможность отказаться от паролей. Собственно, Google в ближайшем будущем как раз и собирается немного подтолкнуть их в этом направлении.

К сожалению, в FIDO Alliance не предусмотрели канонический перевод слова Passkey с английского на какие-либо другие языки. Поэтому компании, внедряющие этот механизм аутентификации, называют его, как им заблагорассудится, не особенно оглядываясь на коллег по цеху. Так что на русском это могут быть как «ключи доступа» (в терминологии Google и Microsoft), так и «ключи входа» (в терминологии Apple).

Отдельно замечу, что та же ситуация сложилась и в других языках — ни на французском с португальским, ни даже на испанском пока не удалось прийти к единой терминологии.

Как Apple, Google и Microsoft называют passkey на разных языках

Как работают ключи доступа (passkeys) и зачем все это нужно

Ключи доступа (они же ключи входа, они же passkeys) полностью заменяют пароли. С ними ни придумывать, ни запоминать какие-то последовательности символов больше не придется вообще.

Вот как это работает. При регистрации пользователем ключа доступа на том или ином сервисе создается пара ключей шифрования — секретный и публичный (альтернативные термины — открытый и закрытый ключи). Все это называется криптография с открытым ключом. Основная суть — если зашифровать что-то с помощью публичного ключа, то расшифровать это можно, только зная секретный ключ.

Таким образом, секретный ключ остается на устройстве пользователя, а публичный отправляется сервису. В дальнейшем эти два ключа используются для шифрования диалога, происходящего в момент входа пользователя на сервис:

• сервис отправляет пользователю зашифрованный с помощью публичного ключа запрос, в котором содержится некое очень большое случайное число;
• в этот момент устройство пользователя просит того подтвердить, что он — это он. Как правило, с помощью биометрии, то есть приложив палец к датчику или посмотрев в камеру, а также с помощью ПИН-кода;
• в случае успешного подтверждения устройство пользователя расшифровывает запрос от сервиса с помощью секретного ключа и узнает из него то самое случайное число. Тот, у кого нет секретного ключа, не сможет правильно расшифровать это сообщение и узнать заветное число;
• далее на основе этого случайного числа из запроса от сервиса устройство пользователя по определенному алгоритму создает цифровую подпись — вычисляет новое очень большое число — и отправляет обратно сервису;
• сервис на своей стороне проделывает точно такие же вычисления и сравнивает результат. Если вычисленное им число совпадает с тем, что он получил от устройства пользователя, значит, запрос был правильно расшифрован. Следовательно, пользователь обладает соответствующим секретным ключом — в этом случае происходит его авторизация в сервисе.

Как видите, «под капотом» этот механизм устроен довольно сложно. Но хорошая новость состоит в том, что от пользователя вся криптографическая магия полностью скрыта. На практике все работает очень просто и понятно: достаточно просто нажать кнопку «Войти» и приложить палец (посмотреть в камеру). Всю сложную работу в фоновом режиме проделает ваш смартфон или компьютер.

Зачем это вообще нужно? Очень просто: passkeys — это попытка одновременно повысить безопасность и упростить жизнь пользователя. Первое достигается путем замены не очень-то надежных паролей на чрезвычайно устойчивые к взлому ключи шифрования. Второе — с помощью отказа от необходимости что-то придумывать и запоминать пользователю, а также совершать еще какие-то дополнительные действия для двухфакторной аутентификации.

Таким образом, ключи доступа — в теории — призваны обеспечивать высочайший уровень безопасности, не требуя от пользователя вообще никаких усилий.

Как настроить вход в аккаунт Google с помощью ключа доступа (passkey)

Теперь о том, как это все устроено на практике и как же настроить вход в Google-аккаунт с использованием ключей доступа. Делается это очень несложно. Вот что вам нужно предпринять:

• Войдите в настройки вашего Google-аккаунта — это можно сделать как через какой-нибудь сервис Google (например, Gmail), так и прямо через браузер Google Chrome, который у вас наверняка есть. Для этого щелкните по аватару в верхнем правом углу экрана и выберите пункт Управление аккаунтом Google.

• На открывшейся странице выберите пункт Безопасность.

• Промотайте вниз до пункта Вход в аккаунт Google.

• Найдите под списком различных вариантов подтверждения входа и восстановления аккаунта кнопку Ключи доступа и нажмите ее.

Далее возможны разные варианты, но для начала я предлагаю создать локальный ключ доступа на компьютере, который позволит вам больше не вводить пароль для входа в Google-аккаунт в браузере. Для этого:

• Нажмите на синюю кнопку Создать ключ доступа в верхней части экрана.

Создание ключа локального доступа для Google-аккаунта в десктопном браузере, шаг 1

• Во всплывающем окне нажмите Продолжить.

• После этого подтвердите действие тем способом, которым вы разблокируете ваше устройство, — в моем случае это отпечаток пальца.

• Поздравляю! Ключ доступа создан — вы можете входить в этом браузере в свой Google-аккаунт без пароля.

Теперь давайте создадим еще один ключ доступа на вашем смартфоне. Это позволит, во-первых, входить в Google без пароля на данном смартфоне. Во-вторых, этот же ключ доступа можно будет использовать для входа на других устройствах — с помощью Bluetooth.

Собственно, перед тем как начать, убедитесь, что у вас и в смартфоне, и в компьютере включен Bluetooth, а также дайте браузеру разрешение на доступ к нему (если его вдруг нет). Дальше надо сделать следующее:

• Вернитесь на страницу Ключи доступа и нажмите на белую кнопку Создать ключ доступа в нижней части экрана.

• Во всплывающем окне выберите Другое устройство.

• Далее появится еще одно всплывающее окно с QR-кодом — его надо отсканировать камерой вашего смартфона.

• Затем надо будет уже в смартфоне подтвердить создание ключа доступа с помощью того метода, которым вы этот смартфон разблокируете.

Подтверждение регистрации ключа доступа на айфоне. Источник

Ну вот и все, вы создали ключ доступа еще и в вашем смартфоне — он позволит входить в Google-аккаунт без пароля на любом устройстве. Ключей доступа можно создавать больше одного — так что, если у вас много устройств, ничто не мешает иметь по ключу на каждом.

Также для хранения ключей доступа можно использовать аппаратный аутентификатор — их еще называют ключами безопасности или YubiKey, по наиболее известному бренду. Однако подойдет не любой: нужен «юбик» со встроенным механизмом подтверждения входа — с помощью ПИН-кода или отпечатка пальца. Если попытаться создать ключ доступа на «юбике» без такого механизма, то регистрация будет якобы успешной, но при входе вас все равно попросят ввести пароль от аккаунта — так что вся затея теряет смысл.

Было бы мило получить это предупреждение на стадии регистрации ключа, а не в тот момент, когда уже собираешься использовать его для входа в аккаунт

Запасной план: пароли и одноразовые коды из приложения

Механизм подтверждения входа с помощью ключей доступа максимально автоматизирован, и все «мудреные» действия изолированы от пользователя. Поэтому пока все работает нормально, аутентифицироваться ключами доступа действительно удобно и легко. Однако у этой изолированности есть и обратная сторона: когда что-то не работает, то практически невозможно понять, что же пошло не так, почему и как это починить.

Скажем, один из созданных мной ключей доступа наотрез отказывался срабатывать для беспарольного входа. Мне так и не удалось понять, в чем проблема: в настройках аккаунта Google он отображался как активный, он просто… не работал. Хорошо, что для того же аккаунта у меня была включена еще масса вариантов подтверждения доступа.

Что-то пошло не так. Спасибо, Капитан Google!

Поэтому на данный момент я предпочитаю относиться к ключам доступа как к вспомогательному варианту входа, который иногда может сэкономить время. Но пароль и двухфакторную аутентификацию для входа в аккаунт Google, на мой взгляд, сбрасывать со счетов пока рано. Что-то мне подсказывает, они еще пригодятся, когда ключ доступа внезапно не сработает. Причем, скорее всего, это произойдет в самый неподходящий момент.

Хорошая новость состоит в том, что поскольку теперь вы будете реже вводить пароль от Google-аккаунта, то заучивать его наизусть не обязательно. Следовательно, комбинацию символов стоит сделать максимально надежной — то есть случайной и очень длинной, скажем, из 32 или даже 64 символов. А сгенерирует и запомнит его для вас Kaspersky Password Manager.

Кстати, в менеджере паролей можно заодно получать и одноразовые коды для двухфакторной аутентификации — в Kaspersky Password Manager не так давно появилась еще и такая функция.