Ключі безпеки FIDO2: практичний гайд
FIDO2 і passkeys без пароля, без SMS-коду і без ризику фішингу. Пояснюємо типи ключів, кращі практики та допомагаємо обрати модель у каталозі.
Паролі легко вкрасти через фішинг і витоки баз даних. FIDO2-ключ прив’язаний до конкретного сайту й пристрою: навіть на підробленій сторінці він не спрацює для чужого домену.
Що таке ключ безпеки FIDO2
Ключ безпеки FIDO2 - це фізичний пристрій для входу без пароля. Замість введення пароля ви підтверджуєте особу дотиком ключа (або PIN/біометрією на самому пристрої).
Приватний ключ зберігається всередині ключа і ніколи не передається на сервер у відкритому вигляді. Сервіс отримує лише публічний ключ і перевіряє криптографічний підпис під час входу.
Ключ підключається через USB, NFC або Bluetooth і працює як «роумінговий автентифікатор» - не прив’язаний до одного комп’ютера.
За даними FIDO Alliance, у 2025 році вже 74% споживачів знайомі з passkeys, а понад 35% людей за попередній рік зіткнулися зі зламом акаунту через вразливість пароля. Це пояснює зростаючий попит на апаратну автентифікацію.
Як працює FIDO2
FIDO2 працює через реєстрацію унікальної пари ключів і перевірку входу підписаним викликом від сервера.
В основі - два протоколи:
- WebAuthn - браузерний API, через який сайти запитують і перевіряють автентифікацію
- CTAP2 - протокол зв’язку між зовнішнім ключем і пристроєм користувача
Процес реєстрації
- Ви заходите на FIDO2-сумісний сайт і обираєте вхід через ключ
- Пристрій генерує пару: приватний ключ залишається в ключі, публічний передається сервісу
- Сервіс зберігає публічний ключ у своїй базі
Процес входу
- Сервіс надсилає криптографічний виклик
- Ви підтверджуєте особу на ключі (дотик, PIN або біометрія)
- Ключ підписує виклик приватним ключем
- Сервіс перевіряє підпис публічним ключем - доступ відкрито
Оскільки приватний ключ не покидає пристрій, а кожна пара унікальна для конкретного сервісу, фішинг і атаки «посередника» не працюють для цієї пари.
Переваги ключів безпеки FIDO2
| Перевага | Що це означає на практиці |
|---|---|
| Захист від фішингу | Ключ прив’язаний до домену - підроблений сайт не зможе його використати |
| Стійкість до витоків | Навіть при компрометації сервісу публічні ключі без фізичного пристрою марні |
| Без паролів | Не треба вигадувати, зберігати й оновлювати паролі на десятках сайтів |
| Швидкий вхід | Одне підтвердження замість пароля + SMS/OTP |
| Кросплатформеність | Chrome, Firefox, Safari, Edge - Windows, macOS, Linux, Android, iOS |
Типи ключів безпеки FIDO2
Ключі відрізняються за способом підключення та додатковими функціями.
USB-ключі
Підключення через USB-A або USB-C. Найпоширеніший варіант для ноутбуків і ПК. Приклади: YubiKey 5C NFC, uTrust NFC Security Key (USB-A).
NFC-ключі
Підтвердження дотиком до смартфона - зручно для входу з телефону. Більшість сучасних моделей поєднують USB і NFC. Приклади: YubiKey 5 NFC, Security Key NFC.
Біометричні ключі
Вбудований сканер відбитка - вхід без PIN на самому ключі. Приклади: YubiKey Bio.
Мультипротокольні ключі
FIDO2 разом із OTP, OpenPGP, Smart Card та іншими протоколами - для змішаних корпоративних середовищ. Приклади: YubiKey 5 NFC, YubiKey 5C NFC.
Для кого підходять ключі FIDO2
- Особисті акаунти - Google, Microsoft, GitHub, Binance, Apple (де підтримується FIDO2/WebAuthn)
- Корпоративний доступ - VPN, Entra ID, Okta, Duo: менше залежності від SMS/OTP
- Фінанси та крипто - біржі з підтримкою hardware keys
- Розробка та DevOps - GitHub, GitLab, AWS, Cloudflare
Кращі практики використання
Реєструйте два ключі
Не покладайтесь на один пристрій. Якщо він загубиться - ризик втратити доступ до всіх акаунтів.
- Основний - щодня
- Резервний - вдома в надійному місці або в IT-відділі на роботі
PIN або біометрія на ключі
Ключ без PIN все одно захищений від віддалених атак. PIN додає захист, якщо пристрій фізично втрачено: перевірка локально, без передачі PIN на сервер.
Резервний ключ і відклик
Якщо ключ загублено - негайно відкличте його в налаштуваннях усіх сервісів, де він був зареєстрований.
FIDO2, WebAuthn, CTAP2, passkeys - в чому різниця
| Термін | Що це |
|---|---|
| FIDO2 | Загальна назва стандарту (WebAuthn + CTAP2) |
| WebAuthn | API в браузері для запиту автентифікації |
| CTAP2 | Протокол «браузер ↔ зовнішній ключ» |
| Passkey | Цифровий FIDO2-обліковий запис (телефон/ноутбук, інколи з синхронізацією) |
| Апаратний ключ | Окремий USB/NFC пристрій - найвищий рівень ізоляції секрету |
Passkey зручніший у повсякденні сценаріях, апаратний ключ надійніший для критичних акаунтів: секрет не синхронізується в хмару як файл.
Які ключі підходять саме вам
| Задача | Модель з каталогу |
|---|---|
| Базовий FIDO2 для особистих акаунтів | Security Key NFC |
| Повний функціонал (OTP, Smart Card) | YubiKey 5 NFC |
| MacBook / USB-C + NFC | YubiKey 5C NFC |
| Вхід лише відбитком | YubiKey Bio |
| Бюджетна альтернатива | uTrust NFC Security Key (USB-A) |
Не впевнені в моделі? Напишіть у Telegram - підберемо під ваші пристрої та сервіси.
Де придбати ключ безпеки FIDO2 в Україні
Усі моделі зі статті є в каталозі. Допомагаємо з підбором, сумісністю та доставкою Новою Поштою або Укрпоштою по Україні.
