Ключи доступа предназначены для замены паролей и борьбы с фишинговыми атаками, но и Google, и Microsoft предупреждают, что их недостаточно, если сохраняются более слабые методы восстановления. Microsoft заявила: «Каждая учетная запись безопасна настолько, насколько безопасна ее самая слабая учетная запись», указав, что пароли и параметры восстановления SMS могут по-прежнему предоставлять новые возможности для атак даже после внедрения ключей доступа.
Google признает, что ключи доступа облегчают и делают более безопасным доступ в Интернет по сравнению с паролями и другими традиционными методами многофакторной аутентификации. Однако компания предупреждает, что пользователи также должны защитить свои учетные записи с помощью двухэтапной проверки (2SV) для защиты от попыток выдачи себя за другое лицо, которые могут использовать утерянные ключи доступа.
Уязвимости в процессах автоматического восстановления могут позволить злоумышленникам использовать более слабые учетные данные для полного обхода ключей доступа. По данным Microsoft, хотя развертывание ключей доступа повышает безопасность входа в систему, многие учетные записи по-прежнему имеют связанные с ними параметры восстановления пароля или SMS, что сохраняет потенциальные возможности для атак. «Развертывание ключей доступа улучшает вход в систему», — заявили в Microsoft, подчеркнув риски, связанные со слабыми методами восстановления.
Оптимальное решение для восстановления предполагает использование ключа доступа к учетной записи на другом устройстве. Microsoft также отметила, что лучший метод восстановления включает в себя предъявление удостоверения личности государственного образца и биометрическую проверку, что соответствует рекомендациям NIST для высоконадежного восстановления.
Microsoft ориентирована прежде всего на корпоративных пользователей, тогда как Google ориентирован на домашних пользователей. Несмотря на это различие, оба признают, что такие сервисы, как Gmail, остаются привлекательными целями для киберпреступников. Google призывает пользователей внедрить 2SV для дополнительной защиты от несанкционированного доступа, особенно учитывая риск того, что злоумышленники неправильно воспользуются процессом восстановления учетной записи.
Google подчеркивает необходимость использования двух конкретных типов 2SV: запросов Google и приложения Authenticator на мобильных устройствах. И Google, и Microsoft советуют не полагаться на одноразовые коды SMS, классифицируя их как слабые формы многофакторной аутентификации, которые следует полностью отключить в пользу более безопасных альтернатив.
Хотя использование ключей доступа растет, Microsoft предупреждает, что их эффективность зависит от того, полностью ли пользователи устранят фишинговые учетные данные. Google подчеркивает, что, хотя ключи доступа являются важной разработкой, они не являются надежным решением, особенно потому, что злоумышленники все чаще нацеливаются на потоки восстановления и резервные методы аутентификации.
