Bosh sahifa Wiki Passkey

Passkey

Passkey — website yoki applicationga parolsiz yoki phishingga chidamli tarzda kirish uchun public-key cryptography asosida ishlaydigan credential. Passkey foydalanuvchi qurilmasida yoki credential provider’da saqlanadi, server esa faqat public key va tegishli metadata’ni saqlaydi.

Login vaqtida private key server yuborgan challenge’ni imzolaydi. Private key serverga yuborilmaydi.

Ro‘yxatdan o‘tish

Passkey yaratishda:

  1. server registration challenge yaratadi;
  2. browser yoki application authenticatorga murojaat qiladi;
  3. authenticator yangi key pair yaratadi;
  4. private key himoyalangan joyda qoladi;
  5. public key serverga yuboriladi;
  6. server credentialni user accountiga bog‘laydi.

Challenge oldingi registration response’ini replay qilishni cheklaydi.

Authentication

Login vaqtida:

  1. server yangi challenge yuboradi;
  2. authenticator mos credentialni topadi;
  3. user presence yoki verification bajariladi;
  4. private key challenge va contextni imzolaydi;
  5. server public key bilan signature’ni tekshiradi;
  6. session yaratiladi.

Parol tarmoq orqali uzatilmaydi.

Origin binding

Passkey credential ma’lum relying party yoki domain bilan bog‘langan.

Soxta phishing domain haqiqiy service uchun signature ololmaydi.

Bu passkeyning parol va OTPga nisbatan phishingga chidamliligini oshiradi.

User o‘xshash saytga kirsa authenticator mos credentialni taklif qilmasligi mumkin.

Private key

Private key authenticator yoki credential provider himoyasida saqlanadi.

Server database’i buzilsa attacker public keyni oladi, ammo undan login uchun private signature yaratib bo‘lmaydi.

Public key password hashga o‘xshash secret sifatida ishlatilmaydi.

User verification

Passkey ishlatishdan oldin qurilma:

orqali userni tekshirishi mumkin.

Biometric data website’ga yuborilmaydi; local platform faqat verification natijasini beradi.

User presence

Ba’zi authenticatorlar faqat userning amalini, masalan security keyga tegishni tekshiradi.

Bu silent remote use’ni cheklaydi.

User verification esa aynan authorized user ekanini local tekshiradi.

Policy qaysi daraja talab qilinishini belgilaydi.

Discoverable credential

Passkey username kiritmasdan accountni topishga yordam beradigan discoverable credential bo‘lishi mumkin.

Authenticator credential va user handle ma’lumotini saqlaydi.

Login sahifasi account picker orqali mos passkeylarni ko‘rsatadi.

Synced passkey

Ayrim passkeylar userning credential provider accounti orqali end-to-end himoyalangan usulda qurilmalar orasida sync qilinadi.

Afzalligi:

  • yangi qurilmada recovery;
  • kundalik foydalanish qulayligi;
  • device yo‘qolishiga chidamlilik.

Provider account security’si muhim trust qatlamiga aylanadi.

Device-bound credential

Ba’zi credential faqat bitta hardware authenticator yoki qurilmada saqlanadi va sync qilinmaydi.

Bu yuqori assurance uchun mos bo‘lishi mumkin.

Yo‘qolsa backup authenticator yoki recovery jarayoni talab qilinadi.

Cross-device authentication

User kompyuterda login qilib, telefonidagi passkeydan foydalanishi mumkin.

Qurilmalar proximity va secure protocol orqali operationni bog‘laydi.

QR code yoki boshqa boshlang‘ich signal ishlatilishi mumkin.

User qaysi domain uchun tasdiq berayotganini tekshiradi.

Passkey va password

Password server va user o‘rtasida shared secretga tayanadi.

Passkey asymmetric key pairga tayanadi.

Farqlar:

Passkey va OTP

OTP qisqa muddatli secret, ammo real-time phishing orqali o‘g‘irlanishi mumkin.

Passkey challenge va relying party contextini imzolaydi.

Attacker kodni boshqa saytga uzatgandek signature’ni o‘z originida ishlata olmaydi.

Recovery

Passkey tizimi account recovery’ni ehtiyotkor tuzadi.

Variantlar:

  • synced credential;
  • boshqa registered authenticator;
  • recovery code;
  • verified support;
  • identity proofing;
  • oldingi trusted device.

Zaif email-only recovery passkey himoyasini chetlab o‘tishi mumkin.

Bir nechta passkey

User bir accountga bir nechta passkey qo‘shishi mumkin:

  • telefon;
  • laptop;
  • hardware security key;
  • credential manager.

Har credential unique ID bilan saqlanadi va alohida revoke qilinadi.

Credential boshqaruvi

Account sahifasi:

  • passkey nomi;
  • created time;
  • last used;
  • provider yoki device turi;
  • revoke;
  • yangi passkey qo‘shish

imkonini beradi.

Noma’lum credential incident signali bo‘lishi mumkin.

Attestation

Registrationda authenticator haqida attestation ma’lumoti berilishi mumkin.

Ko‘p consumer use case privacy sabab minimal yoki yo‘q attestation bilan ishlaydi.

Enterprise yuqori assurance uchun approved authenticator policy qo‘llashi mumkin.

Server database

Relying party credential ID, public key va user handle’ni saqlaydi. Credential IDni global secret deb hisoblash shart emas, ammo u account metadata’si bo‘lishi mumkin. Database migration public key format va algorithmni buzmasligi kerak.

Device yo‘qolishi

Qurilma yo‘qolsa user account sahifasi yoki boshqa trusted device orqali passkeyni revoke qiladi. Qurilmaning screen locki va remote wipe qo‘shimcha himoya beradi. Synced passkey bo‘lsa faqat bitta device’ni revoke qilish provider modeliga bog‘liq.

Registration himoyasi

Attacker allaqachon sessionni egallagan bo‘lsa o‘z passkeyini accountga qo‘shishga urinishi mumkin. Yangi authenticator registrationi reauthentication, notification va audit talab qiladi. Noma’lum passkey qo‘shilishi yuqori xavfli hodisa.

Username enumeration

Passkey login flow account mavjudligini ortiqcha oshkor qilmasligi kerak. Server xato javob va timingni bir xil saqlashga intiladi. Discoverable credential userga account picker orqali qulaylik beradi, ammo privacy siyosati hisobga olinadi.

Bog‘liq tushunchalar

Passkey authentication, Public-key cryptography, WebAuthn, FIDO2, Authenticator, Relying party, User verification, Discoverable credential, Phishing-resistant authentication