Paradox

NCSC в 2026 признал «Ключи доступа» зрелой заменой паролям

Пароли перестали быть рекомендацией NCSC: ведомство назвало ключи доступа (passkeys) основным способом входа. Они до 8 раз быстрее и устойчивы к фишингу. Технологию уже поддерживают Google, Apple, Microsoft и Яндекс

Заключение
Решение NCSC — первый случай, когда крупное государственное ведомство открыто говорит о необходимости отказаться от пароля там, где есть альтернатива. Для обычного пользователя это повод проверить настройки безопасности в Google, Apple ID, Microsoft, Яндекс ID и включить ключ доступа хотя бы в одном из сервисов, где он уже поддерживается. Для сайтов и приложений без поддержки passkey-аутентификации базовая связка «менеджер паролей + 2SV» по-прежнему остаётся разумным минимумом.

Полная версия

#Passkey #Passkeys #comss

NCSC в 2026 признал «Ключи доступа» зрелой заменой паролям

Пароли перестали быть рекомендацией NCSC: ведомство назвало ключи доступа (passkeys) основным способом входа. Они до 8 раз быстрее и устойчивы к фишингу. Технологию уже поддерживают Google, Apple, Microsoft и Яндекс

Comss.one
Apr 24 at 12:28pmWeb
Show thread𝐽𝑜ℎ𝑎𝑛Apr 25

@nestab

«Ключи доступа» — это что? Какая-то хрень, которая требует телефона что ли?

Show threadParadoxApr 25
@johan Там описано
Show threadСейд ✅Apr 25
Ещё чего, по ссылкам ходить) Раз написал, то объясни обществу.
Show thread𝐽𝑜ℎ𝑎𝑛Apr 25

@Seyd @nestab

Вот эта херь. Почему это быстрее?

Ключ доступа (passkey) — это пара криптографических ключей, которая создаётся на устройстве при регистрации в сервисе. Закрытый ключ хранится локально и никогда не покидает устройство, открытый передаётся на сервер. При входе устройство подписывает запрос сервера закрытым ключом, а подтверждение личности владельца происходит привычным способом разблокировки — отпечатком пальца, распознаванием лица или PIN-кодом.

Show threadParadoxApr 25

@johan Быстрее чего, ctrl+c/ctrl+v? Нет там про скорость и время доступа. Там о надёжности, доступности.

@Seyd

Show thread𝐽𝑜ℎ𝑎𝑛Apr 25

@nestab @Seyd

Быстрее менеджера паролей, например.

Но тут, конечно, свои нюансы, где-то, наверно, будет удобно, но привязываться к ключу, который «не покидает устройство» — это прям фейл. Я надеюсь, их только как альтернативу используют к паре логин-пароль?

Show threadParadoxApr 25

@johan скорее как 2FA.

Что будет быстрее копипаста? Только расширение в браузере по типу Bitwarden, которое синкается с сервером или локальной базой и вставляет само, когда ты страницу открываешь авторизации.

Возьмём те же Госуслуги: там навязывают альтернативные методы аутентификации. В том же KeePassXC, который я сам использую, мой давний выбор и уже основательный, есть TOTP.

Я, как старовер, это ничего не понимаю и не принимаю, поэтому у меня пароли по старинке. База оных хотя бы стабильность и универсальность даёт пока.

Show thread𝐽𝑜ℎ𝑎𝑛Apr 25

@nestab

Ну и вообще в описанной там концепции тебе вроде как необходим интернет на устройстве. А в TOTP нет.

Show threadRасhеl LеviеvаApr 25

@johan
Да, говнище которое тебя привязывает к устройству и теребонит нервы, поддерживается на сайтах которыми пользуются по большей части те кто совсем плохо понимают как создать папку или выключить компьютер.

@nestab