Apple запускає безпечний перенос паролів за допомогою FIDO2
Автор: Дан Гудін – 12 червня 2025 року
Вирішення проблеми блокування: Чому важлива портативність паролів
На конференції WWDC цього тижня Apple представила довгоочікувану функцію, яка вирішує одну з найактуальніших проблем у сфері безпеки та зручності використання сучасної аутентифікації: можливість імпортувати та експортувати паролі між пристроями, операційними системами та менеджерами паролів. Історично склалося так, що паролі, створені на основі стандарту FIDO2/WebAuthn, забезпечували високий рівень захисту від фішингу та атак на облікові дані, але водночас прив’язували користувачів до певних екосистем.
Проблема екосистеми
Досі портативність паролів була обмеженою. Пароль, створений на macOS або iOS, міг синхронізуватися через iCloud Keychain з іншими пристроями Apple, але не міг бути перенесений на Windows ПК, Android телефон або сторонні сховища, такі як 1Password або Bitwarden. Це викликало невдоволення користувачів і сприяло критичним висловлюванням щодо того, що технологічні гіганти використовують паролі для блокування людей у своїх продуктах. Ще більш критично, незворотна втрата основного пристрою загрожувала постійною блокадою облікового запису.
“Люди мають право на свої облікові дані і повинні мати можливість керувати ними там, де їм зручно,” зазначає ведучий WWDC від Apple. “Ця функція надає більше контролю над даними та вибір менеджера паролів.”
Технічна архітектура передачі паролів
Усередині Apple використовує схему даних, підтримувану FIDO Alliance, та безпечні локальні API аутентифікації, щоб гарантувати відсутність витоку незахищених секретів.
- Схема даних: Використовує CBOR (Консистентне бінарне об’єктне подання) та COSE (Підписування та шифрування об’єктів CBOR) для упаковки облікових даних — паролів, паролів TOTP — у стандартизований, криптографічно захищений контейнер.
- Інтеграція Secure Enclave: Приватні ключі залишаються прив’язаними до Secure Enclave або Trusted Execution Environment пристрою. Витік неможливий, навіть під час передачі.
- Ініційований користувачем обмін: Передачі активуються за допомогою Face ID, Touch ID або запиту пароля. Короткочасне з’єднання через BLE або Wi-Fi між пристроями аутентифікує цільовий додаток перед обміном даними.
- Без слідів на диску: На відміну від експорту CSV/JSON, жодні проміжні файли не записуються на диск. Дані передаються безпосередньо між додатками в пам’яті.
Посібник для розробників
Для розробників додатків та менеджерів паролів Apple представить нові API в AuthenticationServices.framework:
- ASPasskeyExportRequest: Ініціювати сесію передачі, перерахувати збережені паролі та облікові дані.
- ASPasskeyImportHandler: Зареєструвати свій додаток як отримувача вхідних паролів, перевіряючи схеми та атестаційні заяви.
- Запит локальної аутентифікації: Підключитися до запитів Face ID/Touch ID для підтвердження згоди користувача.
Перші користувачі, такі як 1Password та Dashlane, вже інтегрували бета-підтримку; Microsoft оголосила про плани впровадження подібних інструментів імпорту/експорту в Windows 11 цієї осені, а попередній перегляд Android 14 від Google демонструє експериментальну обробку схем даних FIDO2.
Безпекові наслідки та думки експертів
Експерти з безпеки вітають цей крок. Доктор Емма Карр з Інституту безпеки та стійкості зазначає:
“Стандартизація формату паролів і захист їх перевіреною шифрацією CBOR/COSE усуває багато ручних етапів, які історично послаблювали міграцію облікових даних. Це значно зменшує вразливість до атак.”
Аналітики Gartner прогнозують, що до 2026 року 75% рішень для управління ідентифікацією та доступом (IAM) у підприємствах базуватимуться на міжплатформеній інтероперабельності паролів, що зросте з менше ніж 10% сьогодні.
Перспективи майбутнього та прийняття в індустрії
Останній бюлетень FIDO Alliance перераховує понад 30 постачальників — від Okta і NordPass до Devolutions — які активно тестують нову схему. Microsoft і Google очікують завершити свої робочі процеси до кінця року, обіцяючи справжню мобільність паролів без прив’язки до екосистеми.
Для кінцевих користувачів ера “острівців паролів” добігає кінця. Зі збільшенням кількості платформ, що впроваджують ці відкриті стандарти, міграція облікових даних стане такою ж легкою, як надсилання фотографії через AirDrop. Результат: посилена безпека без компромісів у зручності.