Все записи

6 мин чтения

Синхронизируемые passkey и аппаратные ключи для хранилища идентичности

Синхронизируемые passkey следуют за вами по всем устройствам; аппаратные ключи привязаны к устройству и физически под вашим контролем. CardanoWall может использовать любой из них для открытия хранилища идентичности там, где поддерживается WebAuthn PRF, — а настоящей резервной копией в любом случае остаётся Identity Seed.

И синхронизируемый passkey, и аппаратный ключ открывают хранилище идентичности CardanoWall, но оптимизированы они под разные задачи. Для повседневной работы обычно лучше синхронизируемый passkey: он переезжает с вами на новый телефон или ноутбук через вашего провайдера passkey. Для ценных идентичностей чаще выигрывает аппаратный ключ: он привязан к устройству и физически под вашим контролем.

Любой из них годится как фактор открытия хранилища, если ваш браузер, операционная система и аутентификатор поддерживают расширение WebAuthn PRF. И в обоих случаях фактор открытия — это удобство, а не владение: ваша настоящая идентичность — это Identity Seed.

Что такое синхронизируемый passkey?

Синхронизируемый passkey — это passkey, который ваш провайдер делает доступным сразу на всех ваших устройствах.

Таким провайдером может быть ваша операционная система, браузер, менеджер паролей или учётная запись платформы. Выгода очевидна: получаете новое устройство, входите в учётную запись того же провайдера — и passkey уже на месте.

Для CardanoWall это делает ежедневную работу простой. Вы входите, подтверждаете запрос passkey — и зашифрованное хранилище идентичности открывается, без ввода Identity Seed.

Цена этого удобства в том, что вы наследуете модель безопасности и восстановления того провайдера, который синхронизирует passkey. Защита его учётной записи, его восстановление на нескольких устройствах и его сценарии отказа становятся вашими.

Что такое аппаратный ключ?

Аппаратный ключ — это физический аутентификатор: USB-, NFC- или BLE-ключ безопасности, который вы держите в руке.

Привязанный к устройству аппаратный ключ сам по себе не синхронизируется на новые компьютеры. Чтобы открыть хранилище с его помощью, нужен сам ключ под рукой. В этом и смысл: учётные данные не могут незаметно оказаться там, куда вы их не помещали.

Аппаратные ключи хорошо подходят для чувствительных идентичностей:

  • идентичности для приёма обращений в редакциях и от информаторов;
  • юридические и доказательственные идентичности;
  • ценные корпоративные идентичности;
  • идентичности рабочих API или операторов шлюза;
  • любые идентичности, которые не должны зависеть от потребительской облачной синхронизации.

Цена здесь операционная. Потеряете ключ — и придётся откатываться к другому зарегистрированному фактору или к Identity Seed.

Одна практическая оговорка: поддержка PRF для съёмных USB/NFC-ключей менее единообразна, чем для платформенных passkey. По состоянию на начало 2026 года Safari в macOS и iOS не передаёт данные PRF съёмным аутентификаторам надёжно, поэтому на устройствах Apple аппаратный ключ может не работать как фактор хранилища, даже если платформенный passkey работает. Рассчитывайте на то, что аппаратный ключ нужно проверить, прежде чем на него полагаться, а не считать, что он заработает везде.

Что безопаснее?

Это зависит от вашей модели угроз — единственного победителя здесь нет.

Синхронизируемые passkey прекрасно противостоят фишингу и утечкам баз данных паролей, а ещё снижают риск потерять доступ, когда устройство выходит из строя. Аппаратные ключи дают более сильный контроль над тем, где вообще могут существовать учётные данные, и подходят командам, которым нужны физическое хранение, учёт носителей, церемонии с ключами или чёткая политика о том, кто может открывать общую идентичность.

И удобство, и контроль — это свойства безопасности. Потеря доступа — тоже сбой безопасности. Лучший выбор — тот, которым вы реально сможете правильно пользоваться под давлением.

Как CardanoWall использует их?

Как факторы открытия хранилища, но никогда как саму идентичность.

Ваша идентичность в CardanoWall — это Identity Seed: один секрет длиной 32 байта, из которого выводится каждый ключ. Passkey или аппаратный ключ не заменяют этот сид. Они открывают зашифрованное хранилище, в котором он хранится для вашей учётной записи, чтобы вы могли входить на новом устройстве, не вводя сид каждый раз заново.

Хранилище — это один age-шифротекст, адресованный только вашим факторам WebAuthn-PRF: по одной stanza на каждый зарегистрированный passkey или аппаратный ключ. Здесь нет ни stanza, выведенной из пароля, которую можно перебрать, ни stanza с открытым ключом, на которую могла бы нацелиться будущая квантовая атака; единственная значимая поверхность — это поиск в стиле Grover против 256-битных симметричных ключей, который оставляет примерно 128-битный эффективный запас. Сервис хранит шифротекст, но расшифровать его не может. Если фактор способен выдать нужный вывод PRF во время браузерной церемонии, он может открыть хранилище; если нет — CardanoWall не должен его регистрировать. Подробнее о том, от чего защищает такая конструкция, см. как passkey защищают ваше хранилище идентичности.

Вот почему так важно определить возможности до того, как вы выберете фактор.

Почему важна поддержка PRF?

Потому что не каждый passkey способен открыть зашифрованное хранилище.

Обычный WebAuthn умеет подтверждать сайту, кто вы. Чтобы открыть хранилище, нужно больше: аутентификатор должен передать браузеру ключевой материал для расшифровки локального шифротекста. Эта дополнительная возможность и есть расширение WebAuthn PRF, а его поддержка различается в зависимости от браузера, операционной системы и аутентификатора.

CardanoWall определяет наличие PRF до регистрации фактора, а не угадывает по названию браузера, и направит вас по пути «только сид», если ваша конфигурация не умеет PRF. Этот путь — не урезанный режим, а переносимая основа. Identity Seed работает на любом устройстве, в любом совместимом инструменте, без участия провайдера и сервиса.

Что выбрать обычным пользователям?

Обычно синхронизируемый платформенный passkey.

Для повседневной личной идентичности синхронизируемый passkey — лучший компромисс: им просто пользоваться, его легко восстановить на других устройствах, и он избавляет вас от постоянной вставки сида. Разумная конфигурация выглядит так:

  • сохраните Identity Seed в менеджере паролей или в надёжном офлайн-месте;
  • добавьте один синхронизируемый платформенный passkey;
  • добавьте второй фактор, если пользуетесь несколькими устройствами;
  • не открывайте ценные идентичности на машинах, которым не доверяете, — а если приходится, используйте режим для публичного компьютера, который ничего не сохраняет.

Passkey — это удобство. Сид — это восстановление и переносимость. Сохраните сид независимо от того, какой фактор открытия вы выбрали.

Что выбрать командам?

Аппаратные ключи плюс задокументированное хранение сида.

Командам обычно важнее не бытовое удобство, а контроль. Командную идентичность можно намеренно сделать общей, но «намеренно общая» — это не то же самое, что «легко незаметно скопировать». Разумная командная конфигурация:

  • два аппаратных ключа у разных ответственных лиц;
  • распечатанный Identity Seed в сейфе;
  • письменная политика доступа;
  • процедура ротации на случай смены ответственных;
  • отдельная идентичность для каждого крупного рабочего процесса;
  • деактивация идентичностей, которые больше не должны подписывать.

Один честный предел для общих идентичностей: любой, у кого есть сид, может подписывать и расшифровывать от имени этой идентичности. Аппаратные ключи защищают доступ к хранилищу на конкретном устройстве; они не делают общий сид частичным или отзываемым. Если сам сид уже передавали из рук в руки, контроль над ним утрачен — это свойство сида, а не фактора открытия.

Что будет, если потерять один из них?

Используйте другой фактор или откатитесь к сиду.

Если вы потеряли синхронизируемое устройство, но провайдер passkey остался на другом устройстве, обычно можно продолжать работу. Если вы потеряли аппаратный ключ, удалите этот фактор: хранилище перешифровывается под ваши оставшиеся факторы, а старый шифротекст жёстко удаляется. Если пропали все факторы, путь восстановления — Identity Seed. А если исчезли и они, дальнейшее использование этой идентичности тоже невозможно — но всё, что она уже опубликовала, по-прежнему вечно проверяется из одних только публичных данных.

Удаление — это настоящий отзыв для текущего хранилища, но оно не действует задним числом: это контроль на уровне сервиса, а не машина времени. Если фактор могли украсть и применить до того, как вы его удалили, относитесь к ситуации как к возможной компрометации сида: удаление фактора лишает его возможности открыть перешифрованное хранилище, но не отменяет уже состоявшегося использования. Правильная реакция на подозрение в компрометации сида — новая идентичность плюс деактивация старой, а не сброс. Жизненный цикл для этого — активна, деактивирована, удалена — отдельная тема.

Коротко

Синхронизируемые passkey удобны и переезжают с устройства на устройство. Аппаратные ключи дают больше контроля и остаются там, куда вы их положили. CardanoWall может использовать любой из них как фактор открытия хранилища, когда доступен WebAuthn PRF.

Для повседневного личного использования обычно правильнее синхронизируемый passkey. Для ценных или командных идентичностей аппаратные ключи могут стоить дополнительной церемонии — там, где PRF с ними работает. В любом случае сохраните Identity Seed: passkey открывает хранилище, но идентичность — это сид.

Что почитать дальше

securitypasskeyshardware-keys