От пароли към Passkeys: най-практичният път към фишинг-устойчива автентикация

Паролите са едновременно най-използваният и най-експлоатираният механизъм за достъп. Фишинг, credential stuffing, повторна употреба на пароли и „MFA fatigue“ атаки превръщат дори добрите политики в компромис. Passkeys (FIDO2/WebAuthn) са реалистичната алтернатива: автентикация без пароли, която е устойчива на фишинг.

Тази статия показва какво печелите с passkeys и как да ги внедрите поетапно, без да „счупите“ потребителското изживяване.

Какво са Passkeys (с думи прости)

Passkeys са криптографски ключове, свързани с конкретен сайт/услуга и устройство. Вместо да въвеждате парола, доказвате, че притежавате ключа чрез:

  • биометрия (Face/Touch ID),
  • PIN на устройството,
  • хардуерен ключ.

Ключовата разлика: няма „тайна“, която да бъде открадната и повторно използвана като парола.

Защо Passkeys са по-сигурни от пароли + SMS/OTP

1) Фишинг-устойчивост

Фишингът работи, когато потребителят въведе парола/код на фалшива страница. При passkeys автентикацията е „обвързана“ с конкретния домейн и не може да бъде прехвърлена към фалшив.

2) По-малко атаки тип credential stuffing

Ако няма пароли, няма и база с пароли за „пробване“ в други системи.

3) По-малко инциденти от „слаба парола“

Няма нужда от сложни правила, които хората заобикалят (записване, повторна употреба).

Къде Passkeys не са „магическа пръчка“

Passkeys не решават всичко сами. Нужни са:

  • контрол на сесиите и токените,
  • политики за риск (conditional access),
  • управление на устройства (device posture),
  • процеси за възстановяване на достъп.

Къде да започнете: 3 нива на внедряване

Ниво 1: Passkeys като допълнителен метод (opt-in)

  • добавяте passkeys като удобна опция;
  • оставяте пароли като fallback временно;
  • събирате обратна връзка и метрики.

Подходящо за: широки потребителски групи, начален етап, минимален риск.

Ниво 2: Passkeys като стандарт + ограничен fallback

  • новите потребители се насочват към passkeys по подразбиране;
  • пароли се позволяват само при изключения;
  • усилвате политиките за риск.

Подходящо за: организации, които искат видим ефект в рамките на 1–2 тримесечия.

Ниво 3: Phishing-resistant MFA за критични роли

  • администратори и привилегировани роли минават на phishing-resistant метод (passkeys/хардуерен ключ);
  • JIT достъп за админи + строг conditional access.

Подходящо за: „Tier 0“ системи (IAM, AD/Entra, backup, финансови системи).

Практичен чеклист за внедряване

Политики

  • кои групи започват първи (админи, IT, финанси, SOC);
  • какво е fallback (временен) и кога изтича;
  • какви са правилата за устройства (управлявани/неуправлявани);
  • какви рискове блокираме (невъзможно пътуване, аномалии).

Технически контроли

  • SSO/IAM интеграция и централизирано управление;
  • log & monitoring за опити за достъп и аномалии;
  • защита на recovery процесите (най-често атакуваната врата).

Обучение (кратко, но задължително)

  • как се създава passkey;
  • какво да прави потребител при загуба на устройство;
  • как да разпознава социално инженерство при „възстановяване на достъп“.

Метрики за успех

  • % потребители, активирали passkeys
  • спад на password reset заявки
  • спад на инциденти от компрометирани акаунти
  • време за вход (UX подобрение) и удовлетвореност

Заключение

Passkeys са една от най-практичните стъпки към модерна защита на идентичности: по-малко фишинг, по-малко пароли, по-малко инциденти. Успехът идва от поетапно внедряване, ясни политики и силен recovery процес.


Inforce Technology може да помогне с оценка на IAM средата, избор на подходящ модел (opt-in → default → phishing-resistant), настройки на conditional access и план за миграция към passkeys без прекъсване на бизнеса.