Passkey — website yoki applicationga parolsiz yoki phishingga chidamli tarzda kirish uchun public-key cryptography asosida ishlaydigan credential. Passkey foydalanuvchi qurilmasida yoki credential provider’da saqlanadi, server esa faqat public key va tegishli metadata’ni saqlaydi.
Login vaqtida private key server yuborgan challenge’ni imzolaydi. Private key serverga yuborilmaydi.
Ro‘yxatdan o‘tish
Passkey yaratishda:
- server registration challenge yaratadi;
- browser yoki application authenticatorga murojaat qiladi;
- authenticator yangi key pair yaratadi;
- private key himoyalangan joyda qoladi;
- public key serverga yuboriladi;
- server credentialni user accountiga bog‘laydi.
Challenge oldingi registration response’ini replay qilishni cheklaydi.
Authentication
Login vaqtida:
- server yangi challenge yuboradi;
- authenticator mos credentialni topadi;
- user presence yoki verification bajariladi;
- private key challenge va contextni imzolaydi;
- server public key bilan signature’ni tekshiradi;
- session yaratiladi.
Parol tarmoq orqali uzatilmaydi.
Origin binding
Passkey credential ma’lum relying party yoki domain bilan bog‘langan.
Soxta phishing domain haqiqiy service uchun signature ololmaydi.
Bu passkeyning parol va OTPga nisbatan phishingga chidamliligini oshiradi.
User o‘xshash saytga kirsa authenticator mos credentialni taklif qilmasligi mumkin.
Private key
Private key authenticator yoki credential provider himoyasida saqlanadi.
Server database’i buzilsa attacker public keyni oladi, ammo undan login uchun private signature yaratib bo‘lmaydi.
Public key password hashga o‘xshash secret sifatida ishlatilmaydi.
User verification
Passkey ishlatishdan oldin qurilma:
- fingerprint;
- face;
- PIN;
- pattern;
- qurilma paroli
orqali userni tekshirishi mumkin.
Biometric data website’ga yuborilmaydi; local platform faqat verification natijasini beradi.
User presence
Ba’zi authenticatorlar faqat userning amalini, masalan security keyga tegishni tekshiradi.
Bu silent remote use’ni cheklaydi.
User verification esa aynan authorized user ekanini local tekshiradi.
Policy qaysi daraja talab qilinishini belgilaydi.
Discoverable credential
Passkey username kiritmasdan accountni topishga yordam beradigan discoverable credential bo‘lishi mumkin.
Authenticator credential va user handle ma’lumotini saqlaydi.
Login sahifasi account picker orqali mos passkeylarni ko‘rsatadi.
Synced passkey
Ayrim passkeylar userning credential provider accounti orqali end-to-end himoyalangan usulda qurilmalar orasida sync qilinadi.
Afzalligi:
- yangi qurilmada recovery;
- kundalik foydalanish qulayligi;
- device yo‘qolishiga chidamlilik.
Provider account security’si muhim trust qatlamiga aylanadi.
Device-bound credential
Ba’zi credential faqat bitta hardware authenticator yoki qurilmada saqlanadi va sync qilinmaydi.
Bu yuqori assurance uchun mos bo‘lishi mumkin.
Yo‘qolsa backup authenticator yoki recovery jarayoni talab qilinadi.
Cross-device authentication
User kompyuterda login qilib, telefonidagi passkeydan foydalanishi mumkin.
Qurilmalar proximity va secure protocol orqali operationni bog‘laydi.
QR code yoki boshqa boshlang‘ich signal ishlatilishi mumkin.
User qaysi domain uchun tasdiq berayotganini tekshiradi.
Passkey va password
Password server va user o‘rtasida shared secretga tayanadi.
Passkey asymmetric key pairga tayanadi.
Farqlar:
- serverda reusable secret yo‘q;
- credential stuffingga chidamli;
- domain bilan bog‘langan;
- user yodlamaydi;
- phishing proxy uchun signature boshqa origin’da ishlamaydi.
Passkey va OTP
OTP qisqa muddatli secret, ammo real-time phishing orqali o‘g‘irlanishi mumkin.
Passkey challenge va relying party contextini imzolaydi.
Attacker kodni boshqa saytga uzatgandek signature’ni o‘z originida ishlata olmaydi.
Recovery
Passkey tizimi account recovery’ni ehtiyotkor tuzadi.
Variantlar:
- synced credential;
- boshqa registered authenticator;
- recovery code;
- verified support;
- identity proofing;
- oldingi trusted device.
Zaif email-only recovery passkey himoyasini chetlab o‘tishi mumkin.
Bir nechta passkey
User bir accountga bir nechta passkey qo‘shishi mumkin:
- telefon;
- laptop;
- hardware security key;
- credential manager.
Har credential unique ID bilan saqlanadi va alohida revoke qilinadi.
Credential boshqaruvi
Account sahifasi:
- passkey nomi;
- created time;
- last used;
- provider yoki device turi;
- revoke;
- yangi passkey qo‘shish
imkonini beradi.
Noma’lum credential incident signali bo‘lishi mumkin.
Attestation
Registrationda authenticator haqida attestation ma’lumoti berilishi mumkin.
Ko‘p consumer use case privacy sabab minimal yoki yo‘q attestation bilan ishlaydi.
Enterprise yuqori assurance uchun approved authenticator policy qo‘llashi mumkin.
Server database
Relying party credential ID, public key va user handle’ni saqlaydi. Credential IDni global secret deb hisoblash shart emas, ammo u account metadata’si bo‘lishi mumkin. Database migration public key format va algorithmni buzmasligi kerak.
Device yo‘qolishi
Qurilma yo‘qolsa user account sahifasi yoki boshqa trusted device orqali passkeyni revoke qiladi. Qurilmaning screen locki va remote wipe qo‘shimcha himoya beradi. Synced passkey bo‘lsa faqat bitta device’ni revoke qilish provider modeliga bog‘liq.
Registration himoyasi
Attacker allaqachon sessionni egallagan bo‘lsa o‘z passkeyini accountga qo‘shishga urinishi mumkin. Yangi authenticator registrationi reauthentication, notification va audit talab qiladi. Noma’lum passkey qo‘shilishi yuqori xavfli hodisa.
Username enumeration
Passkey login flow account mavjudligini ortiqcha oshkor qilmasligi kerak. Server xato javob va timingni bir xil saqlashga intiladi. Discoverable credential userga account picker orqali qulaylik beradi, ammo privacy siyosati hisobga olinadi.
Bog‘liq tushunchalar
Passkey authentication, Public-key cryptography, WebAuthn, FIDO2, Authenticator, Relying party, User verification, Discoverable credential, Phishing-resistant authentication