Статья

Мир без паролей: Как Hideez вносит вклад в построение безопасного будущего

Каждая третья кибератака сегодня начинается со взломанного пароля. Бизнесы теряют деньги, время и репутацию, пытаясь подлатать устаревшие системы доступа. Однако в условиях, когда цифровой мир меняется каждый день, латать старое не выход.

  • Illustration

    Будем знакомы, я Олег Науменко, СЕО Hideez и член FIDO Alliance. Каждый день мы с командой работаем над тем, чтобы построить безопасные и одновременно простые в использовании системы доступа без паролей.

Как-то я на собственном опыте почувствовал, что такое кибератака: взломанные аккаунты, пустой счет на карточке, утерянный доступ к почте. Это был не просто неприятный опыт — это стало для меня холодным душем, заставив задуматься, как многое в жизни держится на такой ненадежной вещи, как пароли.

В этой статье я поделюсь, почему именно отказ от паролей становится must-have для современного бизнеса и можно ли вообще от них избавиться.

Откуда взялась идея беспарольной аутентификации  

Основная причина большинства взломанных аккаунтов банальна: простые пароли, повторяющиеся на всех имеющихся учетных записях. Логично, что запомнить уникальные надежные пароли для сотни сервисов просто невозможно. Именно эта проблема и подтолкнула меня искать не «заплатку», а вообще новую архитектуру цифровой безопасности — без слабых звеньев вроде паролей.

Основание PocketBook в 2007 году стало для меня ключевым уроком: технологии должны работать для людей, упрощать жизнь, а не усложнять ее.

Позже мы с командой PocketBook, Денисом Железняком и несколькими инженерами, основали Hideez. Используя наши знания криптографии и прошивок, мы хотели создать устройство, которое будет безопасно хранить пароли. Так появился Hideez Key — физический токен, который предоставлял безопасный доступ к аккаунтам без надобности запоминать десятки сложных комбинаций.

Hideez Key объединил аппаратное шифрование с локальным хранением данных. Он работал автономно, без подключения к облаку. Это устраняло риски централизованного хранения паролей и стало для нас отправной точкой в создании децентрализованных решений для подтверждения личности. 

Пароли мертвы — и это хорошо  

В 2018 году наша команда приняла участие в акселерационной программе Mach37 в Вирджинии — одной из ведущих платформ для развития стартапов кибербезопасности. Мы были единственным проектом из Украины, и этот опыт стал для нас переломным. Он заставил взглянуть на продукт под другим углом и четко определить, для кого мы работаем. Вместо фокуса на потребительском рынке мы сделали ставку на B2B-сегмент: решение для корпоративных клиентов, государственных учреждений и критической инфраструктуры, где безопасность — жизненная необходимость.

Также мы быстро поняли, что корень проблемы скрывается, собственно, в паролях. Люди склонны использовать те же комбинации для разных сервисов, делать их слишком простыми или наоборот, настолько сложными, что приходится записывать на стикере и прятать на рабочем месте. А хакерам для взлома нужно совсем мало — фишинг и немного социальной инженерии. И тогда даже двухфакторная проверка подлинности не всегда спасает.

Так появилось наше решение для беспарольной аутентификации на основе FIDO2.

FIDO2 (Fast IDentity Online 2) — это международный открытый стандарт, делающий вход в систему более безопасным и удобным. Он защищает от большинства распространенных атак: фишинга, кражи учетных данных, атак повторного воспроизведения (replay attacks) и т.д.

Преимущество FIDO2 заключается в применении криптографии с открытым ключом (public-key cryptography), которая полностью ломает старую парадигму парольной безопасности и делает взлом практически невозможным. 

Какие ключевые механизмы лежат в основе решений Hideez 

Криптография с открытым ключом (Public-Key Cryptography)

FIDO2 использует пару ключей: приватный и публичный.

Приватный ключ — как личная крепость. Он создается прямо на вашем устройстве и никогда его не покидает. Это может быть встроенный модуль в смартфоне или компьютере или внешний USB-ключ, часто используемый в корпоративных системах. Ключ остается под вашим контролем, и ни один сторонний сервис его не видит.

Публичный ключ — это «зеркало» частного ключа для сервера. Когда вы регистрируетесь на веб-сервисе ("Relying Party", или RP), этот ключ передается на сервер и хранится там для проверки подлинности. Сервер видит только публичную часть, ваш приватный ключ все еще остается неприкосновенным.

Когда вы пытаетесь войти в систему, сервер фактически дает вашему устройству «задание»: доказать, что вы — это вы. Устройство отвечает за это, создавая криптографическую подпись с помощью приватного ключа. Затем эта подпись отправляется обратно на сервер, который проверяет его с сохраненным публичным ключом. Если все совпадает — доступ открыт, и никаких паролей вам вводить не приходится.

Поскольку частный ключ никогда не покидает ваше устройство, у нас вырисовывается картина: нет пароля — нет точки для атаки. А еще каждый ключ FIDO2 «привязан» к конкретному домену. Это означает, что фишинговые сайты могут делать что угодно, но ключ будет работать только там, где его ждали. Именно эта комбинация автономности и привязки к домену делает беспарольную аутентификацию такой надежной. 

Отсутствие общих «секретов» на сервере

Традиционные пароли, даже в зашифрованном виде, представляют собой общую и централизованную точку хранения на сервере. FIDO2-ключи никогда не покидают устройство пользователя. Этот архитектурный подход устраняет основную уязвимость — массовую утечку учетных данных. Если база данных сервера будет скомпрометирована, злоумышленники не смогут получить частные ключи для доступа к учетным записям, поскольку эти ключи существуют только на устройствах пользователей. 

Защита от атак повторного воспроизведения (Replay Attacks)

Каждая попытка аутентификации с помощью FIDO2 уникальна. Сервер генерирует криптографический «вызов» (challenge) — уникальный набор данных, который пользователь подписывает своим частным ключом. Этот подписанный запрос действителен только один раз. Если злоумышленник перехватит подписанный запрос, он не сможет использовать его повторно, поскольку следующий запрос от сервера будет содержать другой «вызов». 

Устойчивость к атакам типа Man-in-the-Middle

FIDO2 обеспечивает защиту от MiTM-атак благодаря привязке ключей к доменам. При регистрации и проверке подлинности происходит криптографическая проверка, подтверждающая, что пользователь взаимодействует именно с ожидаемым доменом. Если злоумышленник попытается подкинуть фишинговый сайт, FIDO2-устройство обнаружит несоответствие домена и откажется подписывать запрос, что исключает перехват и использование данных для входа. 

Локальная проверка подлинности пользователя

Для доступа к частному ключу, хранящемуся на устройстве, пользователь должен подтвердить свое присутствие локальным действием. Это может быть биометрия (например, Touch ID), PIN-код или физическое нажатие кнопки на аппаратном ключе. Этот механизм гарантирует, что даже при физической краже устройства, злоумышленник не сможет получить доступ к частному ключу без подтверждения владельца. 

Уникальные ключи для каждого сервиса

Протокол FIDO2 предусматривает, что для каждого сайта или сервиса генерируется уникальная пара ключей. Это означает, что скомпрометированный ключ на одном сайте не может быть использован для доступа к аккаунтам на других ресурсах. Такой подход устраняет риск, связанный с использованием одного и того же пароля на разных сайтах, и значительно повышает общую безопасность и конфиденциальность. 

Что лежит в основе FIDO2? 

FIDO2 — это целая экосистема, созданная благодаря сотрудничеству FIDO Alliance и W3C (World Wide Web Consortium). Она объединяет два ключевых компонента, которые работают вместе, чтобы обеспечить беспарольную аутентификацию. 

1

WebAuthn (Web Authentication API)

Это веб-стандарт, позволяющий браузерам и операционным системам «общаться» с веб-сервисами. WebAuthn отвечает за обмен данными: он отправляет криптографические «вызовы» от сайта к вашему устройству и получает ответные уникальные «подписанные» запросы для подтверждения вашего лица. По сути, это универсальный язык, который позволяет веб-сайтам понимать и использовать FIDO-ключи. 

2

CTAP (Client-to-Authenticator Protocol)

Если WebAuthn — это язык для общения между сайтом и браузером, то CTAP — это протокол, позволяющий вашему браузеру или ОС «говорить» с самим FIDO-ключом. CTAP управляет взаимодействием между программным обеспечением на вашем устройстве и аппаратным аутентификатором — например внешним USB-ключом, встроенным сканером отпечатка пальца, вашим смартфоном. 

Есть две версии:
● CTAP1 (бывший FIDO U2F) — используется для двухфакторной аутентификации ● CTAP2 — новейшая версия, поддерживающая беспарольный вход и позволяющая подтверждать личность локально (с помощью PIN-кода или биометрии) 
WebAuthn и CTAP являются основой FIDO2: WebAuthn обеспечивает взаимодействие с вебом, а CTAP — с вашим физическим ключом. Благодаря этой синергии FIDO2 создает надежную и гибкую систему, позволяющую отказаться от ненадежных паролей в пользу проверенных криптографических методов. 

Технологии и криптографические основы решения 

Мы разработали комплексное решение, объединяющее собственное серверное программное обеспечение Hideez Server с аппаратными токенами и мобильным приложением. Повторюсь: частный ключ генерируется непосредственно на устройстве и никогда его не оставляет. Никакие учетные данные, а тем более пароли не сохраняются и не передаются, что устраняет риски, связанные с компрометацией серверной базы данных.

Биометрия становится частью криптографической цепи. Мобильное приложение Hideez Authenticator превращает привычную биометрическую аутентификацию (например, Face ID или сканер отпечатка пальца) в неотъемлемый элемент цепи безопасности. Он выступает как FIDO2-аутентификатор, позволяя интегрировать наше решение в инфраструктуру Zero Trust. Это обеспечивает бесшовную интеграцию с ведущими платформами управления идентификацией и доступом, такими как Azure AD (Microsoft Entra ID) и Okta. Благодаря поддержке WebAuthn и локальному шифрованию данных, организации могут внедрять беспарольную аутентификацию без потребности в физических токенах. 

Практическое применение 

Технология делает пользовательский опыт простым и непрерывным: 

Вход в один клик

Для доступа к системе (например, CRM) достаточно подтвердить свое лицо биометрическим сенсором на телефоне или с помощью электронного ключа Hideez. Это устраняет риски фишинга и значительно экономит время. 

Автоматическая безопасность

На основе аппаратных ключей Hideez Key мы реализовали аутентификацию по расстоянию (Proximity Authentication). Представьте: вы подходите к терминалу на производственной линии — и система автоматически авторизует вас, а когда вы отходите — мгновенно блокируется. Это не только повышает безопасность, но ускоряет рабочие процессы. 

Наше решение уже успешно внедрено в областях, где безопасность данных имеет критическое значение — от медицины до финансов и правительственного сектора. Один из наших клиентов из сферы здравоохранения смог сократить время входа для своего персонала до 5 секунд, что является жизненно важным показателем. 

Основные требования к новому решению 

Создавая наш продукт, мы руководствовались принципом, что кибербезопасность — это не только технология, но и взаимодействие с человеком. Наше решение разработано с учетом человеческого фактора, в частности типичных ошибок, таких как потеря токена или ситуация, когда забываешь данные. Это нашло отражение в ключевых требованиях к системе: 
● Гибкость и стойкость к сбоям. Система предусматривает резервные методы проверки подлинности и гибкие опции восстановления доступа. Администраторы имеют доступ к детальной аналитике, позволяющей отслеживать поведение пользователей и методы аутентификации. 
● Универсальность. Решение максимально совместимо с различными моделями мобильных устройств и версиями операционных систем. 
● Контекстно-зависимые политики доступа. Для корпоративного сегмента мы ввели механизм, позволяющий устанавливать политики доступа на основе контекста (время, геолокация, тип устройства, профиль пользователя). Это обеспечивает прозрачность всех действий и помогает выявлять нестандартные сценарии, что соответствует требованиям стандартов GDPR, HIPAA и NIST SP 800-63B. 
● Интеграция в реальные инфраструктуры. Мы обеспечили легкую интеграцию с корпоративными средами, включая Microsoft Active Directory, Entra ID, Google Workspace и гибридные инфраструктуры. Даже в системах, не поддерживающих стандарты FIDO2, SAML или OIDC, наше решение может работать. 
Мы убеждены, что будущее принадлежит беспарольной аутентификации. Когда фишинг является массовым явлением, единственный эффективный путь — это отказ от паролей. Поэтому наша цель — сделать цифровую безопасность не просто надежной, но и незаметной для конечного пользователя. На мой взгляд, именно этот подход обеспечит качественно новый уровень защиты без необходимости запоминать сложные комбинации символов. 

Заключение 

В будущем беспарольная аутентификация станет новой нормой. Следующим шагом я вижу полное внедрение модели Passwordless Enterprise, где каждый доступ к системе или сервису компании будет осуществляться без использования паролей. Команда Hideez также активно готовится к эпохе квантовых вычислений, исследуя постквантовую криптографию (на основе решеточных, многосменных и других криптосистем), а также новые методы биометрической верификации. 
Цифровая безопасность должна идти в ногу с прогрессом. Поэтому наша задача — превратить ее из тягостного препятствия в естественный элемент нашей повседневной жизни в цифровом мире. 
Если вы хотите получить консультацию по решению Hideez, пожалуйста, напишите нам: moc.hcetokab%40zeedih

Illustration

BAKOTECH является региональным представителем Hideez в Украине, странах Балтии, Средней и Центральной Азии. Как ИТ-дистрибьютор с добавленной стоимостью, BAKOTECH предоставляет профессиональную пред- и послепродажную, маркетинговую, техническую поддержку партнерам и конечным потребителям.

Мы в соцсетях:

Контакты

moc.hcetokab%40zeedih

Illustration

BAKOTECH является региональным представителем Hideez в Украине, странах Балтии, Средней и Центральной Азии. Как ИТ-дистрибьютор с добавленной стоимостью, BAKOTECH предоставляет профессиональную пред- и послепродажную, маркетинговую, техническую поддержку партнерам и конечным потребителям.

Мы в соцсетях:

Контакты

moc.hcetokab%40zeedih