Стаття

Світ без паролів: Як Hideez робить внесок у побудову безпечного майбутнього

Кожна третя кібератака сьогодні починається зі зламаного пароля. Бізнеси втрачають гроші, час і репутацію, намагаючись «підлатати» застарілі системи доступу. Однак в умовах, коли цифровий світ змінюється щодня, латати старе не вихід.

  • Illustration

    Будьмо знайомі, я Олег Науменко, СЕО Hideez і член FIDO Alliance. Щодня ми з командою працюємо над тим, щоб збудувати безпечні й водночас прості у використанні системи доступу без паролів.

Якось я на власному досвіді відчув, що таке кібератака: зламані акаунти, порожній рахунок на картці, втрачений доступ до пошти. Це був не просто неприємний досвід, а холодний душ, що змусив замислитись, як багато в житті тримається на такій ненадійній речі, як паролі.
У цій статті я поділюсь, чому саме відмова від паролів стає must-have для сучасного бізнесу та чи можна взагалі їх позбутись.

Звідки взялась ідея безпарольної автентифікації 

Основна причина більшості зламаних акаунтів банальна: прості паролі, які повторюються на всіх наявних облікових записах. Логічно, що запам’ятати унікальні надійні паролі для сотні сервісів просто нереально. Саме ця проблема й підштовхнула мене шукати не «латку», а взагалі нову архітектуру цифрової безпеки — без слабких ланок на кшталт паролів. 
Заснування PocketBook у 2007 році стало для мене ключовим уроком: технології мають працювати для людей, спрощувати життя, а не ускладнювати його. 
Пізніше ми з командою PocketBook, Денисом Залізняком та кількома інженерами, заснували Hideez. Використавши наші знання криптографії та прошивок, ми хотіли створити пристрій, який безпечно зберігатиме паролі. Так з’явився Hideez Key — фізичний токен, що надавав безпечний доступ до акаунтів без потреби запам’ятовувати десятки складних комбінацій. 
Hideez Key поєднав апаратне шифрування з локальним зберіганням даних. Він працював автономно, без підʼєднання до хмари. Це усувало ризики централізованого зберігання паролів і стало для нас відправною точкою у створенні децентралізованих рішень для підтвердження особи. 

Паролі мертві — і це добре 

У 2018 році наша команда взяла участь в акселераційній програмі Mach37 у Вірджинії — одній із провідних платформ для розвитку кібербезпекових стартапів. Ми були єдиним проєктом з України, і цей досвід став для нас переломним. Він змусив подивитися на продукт під іншим кутом і чітко визначити, для кого ми працюємо. Замість фокуса на споживчому ринку ми зробили ставку на B2B-сегмент: рішення для корпоративних клієнтів, державних установ і критичної інфраструктури, де безпека — життєва необхідність. 
Також ми швидко зрозуміли, що корінь проблеми ховається власне у паролях. Люди схильні використовувати ті самі комбінації для різних сервісів, робити їх надто простими або, навпаки, настільки складними, що доводиться записувати на стікері та ховати на робочому місці. А хакерам для злому потрібно зовсім небагато — фішинг та трохи соціальної інженерії. І тоді навіть двофакторна автентифікація не завжди рятує. 
Так з’явилося наше рішення для безпарольної автентифікації на основі FIDO2. 
FIDO2 (Fast IDentity Online 2) — це міжнародний відкритий стандарт, що робить вхід у систему безпечнішим і зручнішим. Він захищає від більшості поширених атак: фішингу, крадіжки облікових даних, атак повторного відтворення (replay attacks) тощо. 
Перевага FIDO2 — у застосуванні криптографії з відкритим ключем (public-key cryptography), яка повністю ламає стару парадигму парольної безпеки та робить злом практично неможливим. 

Які ключові механізми лежать в основі рішень Hideez 

Криптографія з відкритим ключем (Public-Key Cryptography)

FIDO2 використовує пару ключів: приватний та публічний. 
Приватний ключ — як особиста фортеця. Він створюється прямо на вашому пристрої та ніколи його не покидає. Це може бути вбудований модуль у смартфоні чи комп’ютері або зовнішній USB-ключ, який часто використовують у корпоративних системах. Ключ залишається під вашим контролем, і жоден сторонній сервіс його не бачить. 
Публічний ключ — це «дзеркало» приватного ключа для сервера. Коли ви реєструєтесь на вебсервісі ("Relying Party", або RP), цей ключ передається на сервер і зберігається там для перевірки автентичності. Сервер бачить тільки публічну частину, ваш приватний ключ все ще залишається недоторканним. 
Коли ви намагаєтесь увійти в систему, сервер фактично кидає вашому пристрою «завдання»: довести, що ви — це ви. Ваш пристрій відповідає за це, створюючи криптографічний підпис за допомогою приватного ключа. Потім цей підпис надсилається назад на сервер, який перевіряє його зі збереженим публічним ключем. Якщо все збігається — доступ відкрито, і ніяких паролів вам вводити не доводиться. 
Оскільки приватний ключ ніколи не залишає ваш пристрій, в нас вимальовується картина: немає пароля — немає точки для атаки. А ще кожен ключ FIDO2 «прив’язаний» до конкретного домену. Це означає, що фішингові сайти можуть робити що завгодно, але ключ працюватиме тільки там, де його чекали. Саме ця комбінація автономності та прив’язки до домену робить безпарольну автентифікацію такою надійною. 

Відсутність спільних «секретів» на сервері

Традиційні паролі, навіть у зашифрованому вигляді, є спільною та централізованою точкою зберігання на сервері. FIDO2-ключі ніколи не покидають пристрій користувача. Цей архітектурний підхід усуває основну вразливість — масовий витік облікових даних. Якщо база даних сервера буде скомпрометована, зловмисники не зможуть отримати приватні ключі для доступу до облікових записів, оскільки ці ключі існують лише на пристроях користувачів. 

Захист від атак повторного відтворення (Replay Attacks)

Кожна спроба автентифікації за допомогою FIDO2 є унікальною. Сервер генерує криптографічний «виклик» (challenge) — унікальний набір даних, який користувач підписує своїм приватним ключем. Цей підписаний запит дійсний лише один раз. Якщо зловмисник перехопить цей підписаний запит, він не зможе використати його повторно, оскільки наступний запит від сервера міститиме інший «виклик». 

Стійкість до атак типу Man-in-the-Middle

FIDO2 забезпечує захист від MiTM-атак завдяки прив'язці ключів до доменів. Під час реєстрації та автентифікації відбувається криптографічна перевірка, яка підтверджує, що користувач взаємодіє саме з очікуваним доменом. Якщо зловмисник спробує підсунути фішинговий сайт, FIDO2-пристрій виявить невідповідність домену і відмовиться підписувати запит, що унеможливлює перехоплення та використання даних для входу. 

Локальна автентифікація користувача

Для доступу до приватного ключа, що зберігається на пристрої, користувач має підтвердити свою присутність локальною дією. Це може бути біометрія (наприклад, Touch ID), PIN-код або фізичне натискання кнопки на апаратному ключі. Цей механізм гарантує, що навіть у разі фізичного викрадення пристрою зловмисник не зможе отримати доступ до приватного ключа без підтвердження власника. 

Унікальні ключі для кожного сервісу

FIDO2-протокол передбачає, що для кожного сайту або сервісу генерується унікальна пара ключів. Це означає, що скомпрометований ключ на одному сайті не може бути використаний для доступу до облікових записів на інших ресурсах. Такий підхід усуває ризик, пов'язаний з використанням одного й того ж пароля на різних сайтах, і значно підвищує загальну безпеку та приватність. 

Що лежить в основі FIDO2 

FIDO2 — це ціла екосистема, створена завдяки співпраці FIDO Alliance та W3C (World Wide Web Consortium). Вона поєднує два ключові компоненти, які працюють разом, щоб забезпечити безпарольну автентифікацію. 

1

WebAuthn (Web Authentication API)

Це вебстандарт, що дозволяє браузерам і операційним системам «спілкуватися» з вебсервісами. WebAuthn відповідає за обмін даними: він відправляє криптографічні «виклики» від сайту до вашого пристрою та отримує у відповідь унікальні «підписані» запити для підтвердження вашої особи. По суті, це універсальна мова, яка дозволяє вебсайтам розуміти й використовувати FIDO-ключі. 

2

CTAP (Client-to-Authenticator Protocol)

Якщо WebAuthn — це мова для спілкування між сайтом і браузером, то CTAP — це протокол, що дозволяє вашому браузеру або ОС «говорити» з самим FIDO-ключем. CTAP керує взаємодією між програмним забезпеченням на вашому пристрої та апаратним автентифікатором — наприклад, зовнішнім USB-ключем, вбудованим сканером відбитка пальця, вашим смартфоном. 

Є дві версії:
● CTAP1 (колишній FIDO U2F) — використовується для двофакторної автентифікації ● CTAP2 — новітня версія, яка підтримує безпарольний вхід і дозволяє підтверджувати особу локально (за допомогою PIN-коду або біометрії) 
WebAuthn та CTAP є основою FIDO2: WebAuthn забезпечує взаємодію з вебом, а CTAP — з вашим фізичним ключем. Завдяки цій синергії, FIDO2 створює надійну та гнучку систему, що дозволяє відмовитися від слабких паролів на користь перевірених криптографічних методів. 

Технології та криптографічні основи нашого рішення 

Ми розробили комплексне рішення, що поєднує власне серверне програмне забезпечення Hideez Server з апаратними токенами та мобільним застосунком. Повторюсь: приватний ключ генерується безпосередньо на пристрої та ніколи його не залишає. Жодні облікові дані, а тим більше паролі, не зберігаються і не передаються, що усуває ризики, пов'язані з компрометацією серверної бази даних.

Біометрія стає частиною криптографічного ланцюга. Мобільний застосунок, Hideez Authenticator, перетворює звичну біометричну автентифікацію (наприклад, Face ID або сканер відбитка пальця) на невіддільний елемент безпекового ланцюга. Він виступає як FIDO2-автентифікатор, дозволяючи інтегрувати наше рішення в інфраструктуру Zero Trust. Це забезпечує безшовну інтеграцію з провідними платформами керування ідентифікацією та доступом, такими як Azure AD (Microsoft Entra ID) і Okta. А завдяки підтримці WebAuthn та локальному шифруванню даних, організації можуть впроваджувати безпарольну автентифікацію без потреби у фізичних токенах. 

Практичне застосування 

Технологія робить користувацький досвід простим та безперервним: 

Вхід в один клік

Для доступу до системи (наприклад, CRM) достатньо підтвердити свою особу біометричним сенсором на телефоні або за допомогою електронного ключа Hideez. Це усуває ризики фішингу та значно економить час.

Автоматична безпека

На основі апаратних ключів Hideez Key ми реалізували автентифікацію за відстанню (Proximity Authentication). Уявіть: ви підходите до термінала на виробничій лінії — і система автоматично авторизує вас, а коли ви відходите — миттєво блокується. Це не тільки підвищує безпеку, але й прискорює робочі процеси. 

Наше рішення вже успішно впроваджено в галузях, де безпека даних має критичне значення — від медицини до фінансів та урядового сектору. Один із наших клієнтів зі сфери охорони здоров'я зміг скоротити час входу для свого персоналу до 5 секунд, що є життєво важливим показником. 

Основні вимоги до нового рішення 

Створюючи наш продукт, ми керувалися принципом, що кібербезпека — це не лише технологія, а й взаємодія з людиною. Наше рішення розроблене з урахуванням людського фактора, зокрема типових помилок, як-от втрата токена або забування даних. Це знайшло відображення у ключових вимогах до системи: 
● Гнучкість та стійкість до збоїв. Система передбачає резервні методи автентифікації та гнучкі опції відновлення доступу. Адміністратори мають доступ до детальної аналітики, що дозволяє відстежувати поведінку користувачів та методи автентифікації. 
● Універсальність. Рішення є максимально сумісним з різноманітними моделями мобільних пристроїв та версіями операційних систем. 
● Контекстно-залежні політики доступу. Для корпоративного сегмента ми впровадили механізм, що дозволяє встановлювати політики доступу на основі контексту (час, геолокація, тип пристрою, профіль користувача). Це забезпечує прозорість усіх дій та допомагає виявляти нестандартні сценарії, що відповідає вимогам стандартів GDPR, HIPAA та NIST SP 800-63B. 
● Інтеграція в реальні інфраструктури. Ми забезпечили легку інтеграцію з корпоративними середовищами, включно з Microsoft Active Directory, Entra ID, Google Workspace, а також з гібридними інфраструктурами. Навіть у системах, що не підтримують стандарти FIDO2, SAML або OIDC, наше рішення може працювати. 
Ми переконані, що майбутнє належить безпарольній автентифікації. В умовах, коли фішинг є масовим явищем, єдиний ефективний шлях — це відмова від паролів. Тож наша мета — зробити цифрову безпеку не просто надійною, а й непомітною для кінцевого користувача. На мою думку, саме цей підхід забезпечить якісно новий рівень захисту без необхідності запам'ятовувати складні комбінації символів. 

Висновок 

У майбутньому безпарольна автентифікація стане новою нормою. Наступним кроком я вбачаю повне впровадження моделі Passwordless Enterprise, де кожен доступ до системи чи сервісу в компанії буде здійснюватися без використання паролів. Команда Hideez також активно готується до епохи квантових обчислень, досліджуючи постквантову криптографію (на основі ґраткових, багатозмінних та інших криптосистем), а також нові методи біометричної верифікації. 
Цифрова безпека повинна йти в ногу з прогресом. Тож наше завдання — перетворити її з обтяжливої перешкоди на природний елемент нашого повсякденного життя в цифровому світі. 

Illustration

BAKOTECH є регіональним представником Hideez в Україні, країнах Балтії, Середньої та Центральної Азії. Як ІТ-дистриб'ютор з доданою вартістю, BAKOTECH надає професійну перед- та післяпродажну, маркетингову, технічну підтримку партнерам та кінцевим споживачам.

Ми в соцмережах:

Контакти

moc.hcetokab%40zeedih

Illustration

BAKOTECH є регіональним представником Hideez в Україні, країнах Балтії, Середньої та Центральної Азії. Як ІТ-дистриб'ютор з доданою вартістю, BAKOTECH надає професійну перед- та післяпродажну, маркетингову, технічну підтримку партнерам та кінцевим споживачам.

Ми в соцмережах:

Контакти

moc.hcetokab%40zeedih