Правительство Великобритании обнародовало планы по внедрению ключей доступа (passkeys) в своих цифровых сервисах, стремясь снизить риск взлома учётных записей GOV.UK.
Ставится цель заменить ими текущую систему двухфакторной проверки на основе SMS к концу 2025 года. Услуги GOV.UK охватывают ряд критически важных областей, включая заявки на пособия, поддержку по уходу за детьми и налоговые льготы.
Киберпреступники научились обходить распространённые методы аутентификации, перехватывая SMS-коды и используя наборы для фишинга типа «злоумышленник посередине» (adversary-in-the-middle). Passkeys — это криптографические учётные данные, привязанные к аккаунту пользователя на веб-сайте или в приложении, при этом вход осуществляется с помощью биометрического датчика (например, отпечатка пальца или распознавания лица). Закрытый ключ хранится на устройстве и используется для создания криптографических подписей аутентификации, а открытый — передаётся на сервер для хранения.
Ключи доступа гораздо сложнее подделать, чем пароли, поскольку они работают только на зарегистрированных ресурсах. Таким образом, пользователя нельзя обмануть, заставив пройти аутентификацию на мошенническом сайте, поскольку браузер или операционная система выполняют проверку. Предполагается, что passkeys экономят примерно одну минуту на вход в систему по сравнению с вводом имени пользователя, пароля и SMS-кода.
Национальный центр кибербезопасности (NCSC) сообщил, что разрабатывает поддержку ключей для собственной платформы myNCSC, которая будет доступна в конце текущего года. Кроме того, Департамент науки, инноваций и технологий заявил, что выпустит руководство по официальному признанию passkeys подходящими для большинства сценариев аутентификации, проложив тем самым путь к более широкому их внедрению в системах и службах правительства Великобритании.
Усам Оздемиров
