2025 ж. 26 мау.·7 мин

Корпоративтік ортада passkeys және FIDO2: ауысу жоспары

Корпоративтік ортада passkeys пен FIDO2: парольдерден бас тартуға арналған қадамдық жоспар — пилоттар, қосымшалардың үйлесімділігі, қолжетімділікті қалпына келтіру және кілт талаптары.

Корпоративтік ортада passkeys және FIDO2: ауысу жоспары

Неліктен парольден бас тарту керек және passkeys не береді

Парольдер бұзылады деп қолданушылар «жаман» болғандықтан емес, пароль өзі ыңғайсыз болғандықтан. Оны ойлап табу, есте сақтау, ережелер бойынша ауыстыру және әртүрлі құрылғыларда енгізу қажет. Соңында компания үшін осал ететін әдеттер пайда болады.

Көбінесе проблемалар былай көрінеді: қызметкер фишинг бетіне пароль ендіреді; бір пароль бірнеше жүйеде қолданылады; пароль үшінші тараптың дерекқорынан ағып кетеді; әлсіз парольдер мен «қағазға жазып қою» кездеседі (әсіресе жиі жұмыс орнын ауыстыратындар немесе далада жұмыс істейтіндер). Сонымен қатар қолдау қызметіне жүктеме өседі: парольді қалпына келтіру, блоктаулар, жеке басын тексеру.

Passkeys дегеніміз — қарапайым тілмен айтқанда, парольсіз кіру. «Құпия сөз» орнына құрылғыға байланған криптографиялық кілт пайдаланылады және оны биометрия немесе PIN арқылы растайды. Парольдер мен бірреттік кодтардан маңызды айырмашылық: passkey-ті жалған сайтта оңай алдап алуға болмайды. Ол тек нақты сервиспен жұмыс істейді және енгізген кезде «құпияны» ашпайды.

Қызметкер үшін бұл әдетте телефонды немесе жұмыс ПК-ны ашқан секілді көрінеді: саусақ ізі немесе PIN енгізіп, жүйеге кіресіз. ИТ пен қолдау үшін де әсері байқалады: парольді қалпына келтіру сұраныстары азаяды, бірақ кілттерді беру, құрылғыларды басқару және қолжетімділікті қалпына келтіру сценарийлеріне көбірек көңіл бөлінеді.

Парольсіз аутентификацияға көшу есеп пен құрылғы тіркелімі бойынша базалық тәртіп бар кезде және бизнес фишингтен және «мәңгілік» қалпына келтірулерден шаршаған жағдайда басталуы тиіс. Офистер, сыныптар, қабылдау бөлімдері сияқты жүздеген жұмыс орны бар ұйымдарда passkeys жиі тез практикалық нәтижені береді: адамдар жүйеге бірінші ретте кіріп, парольдерге байланысты қателіктер азаяды.

Егер құрылғы жоғалту жағдайлары үшін анық процесс болмаса және негізгі қосымшалар заманауи кіру әдістеріне дайын болмаса, ерте бастау қажет емес. Онда Passkeys пен FIDO2 жобасын шағын пилот күйінде іске қосып, параллельдерде олқылықтарды жапқан дұрыс. Әйтпесе алғашқы инциденттер пайдаланушылар сенімін тез құлатады.

Passkeys және FIDO2: шатастырмау керек терминдер

Корпоративтік талқылауларда Passkeys пен FIDO2 жиі бірнеше ұғымның араласуынан қате күтулер туғызады: біреу «FIDO2 — бір нақты кілт» деп ойлайды, ал біреу passkeys тек смартфондарға ғана жарайды деп есептейді.

FIDO2 — бұл парольсіз кіру қалай жұмыс істейтінін және қолданба мен аутентификатор қалай «сөйлесетінін» сипаттайтын стандарттар жиынтығы. Ұғымды оңайлатсақ:

  • WebAuthn — қолданба (көбінесе веб) жағындағы кіру сұрауын сипаттайтын бөлік;
  • CTAP2 — аутентификатормен (аппараттық кілт, телефон т.б.) байланыс сипаттамасы;
  • FIDO2 — WebAuthn пен CTAP2-ны біріктіретін «шатер».

Passkey — пайдаланушыға ыңғайлы FIDO негізіндегі есептік деректер формасы. Техникалық тұрғыдан бұл кілт жұбы: приватты кілт аутентификаторда сақталады, жария кілт сервиске тіркеледі. Қолданушы кіруді биометрия немесе PIN арқылы растайды, бірақ құпияны енгізбейді және оны сайтқа бермейді.

Аутентификатор ретінде әртүрлі нәрселер болуы мүмкін — бұл қауіпсіздік саясаты үшін маңызды:

  • аппараттық қауіпсіздік кілті (USB, NFC);
  • телефонды кілт ретінде пайдалану (құрылғыда растау);
  • ноутбукке кіріктірілген биометрия мен қорғалған модуль;
  • смарт‑карта немесе корпоративтік токен (егер сіздің ортаңыз қолдаса).

Практикада бұл веб‑сервистер мен порталдарға кіру, VPN мен қашықтағы жұмыс орындарына қолжетімділік, жұмыс станцияларын ашу, критикалық жүйелерге әкімшілік қолжетімдікті қорғау үшін қолданылады. Әкімшілер үшін әдетте қатаң нұсқа таңдалады: бөлек аппараттық кілт және жеке құрылғыларда синхрондауға тыйым салу.

Фишинг тәуекелін ең қатты төмендететін фактор — құрылғы мен ресурсқа байланысты байланыс. Есептік деректер нақты сервис үшін жасалады, ал аутентификатор доменді (немесе қосымша идентификаторын) тексереді. Сондықтан қызметкер жалған бетті ашса да, passkey оған сәйкес келмейді және құпияны пароль немесе OTP сияқты оңай ұрлау мүмкін болмайды.

Дайындықтың шолып бағасы: пилотқа дейін не тексеру қажет

Пилотқа дейін қай жерде пароль енгізілетінін және қолжетімдікті кім басқаратынын анықтау маңызды. Әдетте 1–2 кездесу ИТ пен ақпараттық қауіпсіздікпен жеткілікті, сол арқылы тар жерлерді көріп, апталар үнемдеуге болады.

Кіру нүктелерін инвентаризациялаудан бастаңыз. Электрондық пошта мен корпоративтік порталдан бөлек жиі VPN, VDI, CRM/ERP, әкімшілік панельдер, сервис‑аккаунттар және мердігерлердің қатынауы шығады. Әр жүйе үшін тек тізім емес, мына мәліметтер де керек: кіру процесі қалай өтеді, MFA бар ма, және FIDO2-ні қосуға қолданба қайта жазуды талап етпей ме.

Келесі тексеру — «қолжетімдікті басқару орталығы» қай жерде. Бұл біртұтас IdP/SSO, AD домені, бұлттық каталог немесе гибрид болуы мүмкін. Пилот үшін саясаттарды қосатын, журналдар жинайтын және пайдаланушылар кіруде қалғанда тез артқа қайтаруға болатын жерді түсіну маңызды.

Айрықша назар — құрылғылар. Passkeys пен FIDO2 нақты техникаға тәуелді: қызметкерлердің ОС‑тары қандай, мобильді құрылғылар бар ма, киосктар мен shared‑PC қолданыла ма, адамдар командировкада қалай жұмыс істейді. Қабылдау бөлімінде ортақ компьютерлер болса, кілтті жеке профильге байлау офиске берілген жеке ноутбуктағыдай оңай болмауы мүмкін.

Дайындықтың минималды деректер жиынын жинаңыз:

  • кіру нүктелерінің тізімі және приоритеті (қандай жүйені бұзуға болмайтынын анықтау);
  • қолжетімдікті басқару нүктесі және қазіргі MFA саясаттары;
  • құрылғылар паркі мен сценарийлері (офис, қашықтан, shared‑PC);
  • ИБ және реттеуші талаптар: журналдар, сақталу мерзімі, аудит оқиғалары;
  • қолдау мүмкіндіктері: кім қолдау көрсетеді және қандай сағаттарда.

Тағы бір сүзгі — тергеулерге қойылатын талаптар. Ақпараттық қауіпсіздік әдетте анық оқиғалар қажет етеді: кім кірді, не арқылы растады, қайдан және қолжетімділік қалай қалпына келтірілді. Оны пилотқа дейін анықтамасаңыз, жоба технологиядан гөрі келісімдерде тоқтап қалуы мүмкін.

Қолдануға енгізудің кезеңдік жоспары: пилоттан масштабқа дейін

Passkeys-ке көшу жобасын бір реттік «парольдерді ауыстыру» емес, толқындар арқылы жүргізген дұрыс. Корпоративтік ортада Passkeys пен FIDO2-дің негізгі тәуекелі технологияда емес, ұйымдастырушылық мәселелерде: пилотқа кім алынатыны, құрылғы жоғалғанда не істеу керек және қашан пароль «артық» болып қалатыны.

1) Пилот: қысқа, өлшенетін және нақты пайдаланушылармен

Пилоттың мақсаттарын анықтаңыз: әдетте фишингтің азаюы, кірудің оңайлауы, парольді қалпына келтіруге өтініштердің азаюы. Содан кейін әсері байқалатын және ережелерді сақтауға тәртіпті топтарды таңдаңыз.

Пилотқа көбінесе жарайтын топтар: ИТ және қолдау (сценарийлерді бірінші отыратындар), қаржы мен бухгалтерия (есептік жазбалардың құндылығы жоғары), басшылар (фишингтің жиі нысаны), фронт‑офис пен операторлар (күндіз көп кіру), қашықтан жұмысшылар.

Сәттілік критерийлерін бастамас бұрын келісу керек, әйтпесе пилот «сыныпта байқап көрдік» күйінде қала береді. Әдеттегі метрикалар: пилоттық жүйелердегі парольсіз кірулер үлесі, парольді қалпына келтіру/блоктау бойынша тикеттер санының төмендеуі, құрылғы жоғалтқанда қолжетімділікті қалпына келтіру орташа уақыты, фишинг немесе күдікті кіру оқиғаларының саны.

2) Коммуникация және қолдау: адамдар дүрбелеңге түспесін

Қысқа нұсқаулықтар дайындаңыз: не өзгереді, қалай кіру керек, кімге жүгіну керек, құрылғы жоғалтқанда не істеу керек. Қайта қалпына келтіруді кім және қалай растайтынын алдын ала келісіңіз — ол «бастықтан чатқа жазып қойыңдар» дегенге айналмауы тиіс.

Жұмыс мысалы: ИТ мен қаржыға пилотты қолданғаннан кейін бірінші күні қаржы қызметкерінің телефоны ауысады. Егер қалпына келтіру процесі сипатталған және қолдау қадамдарды білсе, ол 15 минуттық уақыт жоғалтумен шешіледі, ал әлдене анықталмаса «толық күн бойы қолжетімсіз» жағдай туындауы мүмкін.

3) Толқындармен масштабтау және парольді сөндіру мерзімдері

Пилоттан кейін бөлімдер мен қосымшалар бойынша кеңею жоспары жасаңыз. Әр толқынға passkeys қосу күні және пароль негізгі кіруден шығарылатын (немесе мүмкін болған жерде өшірілетін) бөлек күн белгілеңіз. Алдымен FIDO2-ні жақсы қолдайтын жүйелерді бастаңыз, содан кейін күрделілерге көшіңіз.

Осы ритм тәртіпсіздікті азайтады: пайдаланушылар нені өзгеріп жатқанын біледі, ИТ саясат пен оқытуды нақты фактілерге қарап түзетеді.

Қосымшалардың үйлесімділігі: легаси арқылы хаоссыз өту

Выбрать аутентификаторы под задачи
Қай жерде платформалық passkeys, қай жерде аппараттық кілттер тиімді екенін айтамыз және есепке алу тәртібін ұсынамыз.
Кілттерді таңдау

Парольсіз аутентификацияға көшудегі негізгі тәуекел — қосымшалар әртүрлі дәуірде жасалған болуы. Passkeys пен FIDO2 корпоративтік ортада шексіз ерекшеліктерге айланбауы үшін қарапайым үйлесімділік матрицасынан бастаңыз және пилот барысында жаңартып отырыңыз.

Кіру нүктелерінің тізімін жинаңыз: веб‑порталдар, VPN, VDI, пошта, ERP/CRM, әкімшілік консольдер, сервис‑аккаунттар, мердігерлердің қолжетімдігі. Әр нүкте үшін тіркеңіз: тікелей WebAuthn/FIDO2 қолдама ма, SSO бар ма, қандай протоколдар (SAML, OIDC, RADIUS) қолданылады және нұсқаны бизнес тоқтамай жаңартуға бола ма.

Матрицаны мынадай етіп ұстау жеңіл:

  • қолданбаларды 3 топқа бөлу: қазір дайындар, SSO арқылы дайын бола алады, дайын емес;
  • браузер арқылы кіру (көбінесе оңай) және клиенттік қолданба арқылы кіру (әдетте күрделірек) бөлек белгілеу;
  • әкімшілік және артықшылықты рұқсаттарды бөлек белгілеу;
  • қолданба иесін тағайындау және жаңарту терезесі белгілеу;
  • 3–6 айға уақытша шешім ретінде не қажет екенін және қайсысын «тұрақты» жөндеу керектігін анықтау.

Типтік проблемалар жиі қайталанады. Ескі веб‑қосымшалар заманауи кіруден қолдаудысыз немесе ескірген шифрлардан үзілуі мүмкін. «Қалың» клиенттер көбіне тек логин/парольді түсінеді және жаңартулар ұзақ келісімді талап етеді. RDP/SSH сияқты жағдайларда браузердегі passkeys емес, корпоративтік есептік жазбамен, сертификаттармен немесе қолжетімдікті шлюз арқылы басқару маңызды.

Көп тәсіл көмектеседі:

  • SSO арқылы кіру (қосымша солай қала береді, ал кіру саясатын провайдерде өзгересіз);
  • легасиға арналған шлюз немесе прокси (кіруде күшейту, әрі қарай ескі қолданбаға қолжетімділік);
  • өнім жасақтамасы тірі болса, нұсқасын жаңарту;
  • қолдау тоқтаған және тәуекелі артқан жағдайда алмастыру;
  • RDP/SSH үшін бөлек бақылаулы жол (бастион‑хост, VDI немесе басқа бақылаулы кіру орны).

Сыртқы пайдаланушыларды «бұзбау» маңызды. Мердігерлер, аудиттер және серіктестер стандартты жылдам қабылдай алмайды. Әдетте шешім: қызметкерлер мен әкімшіге FIDO2 талап ету, ал сыртқы үшін SSO арқылы шектелген қолжетімділік (уақыт, IP, құрылғы) және бөлек рұқсат беру үдерісі қолдану.

Практикалық мысал: ірі ұйымда бір топ заманауи веб‑жүйелерде жұмыс істейді, ал басқа топ есепке алу үшін ескі клиентті пайдаланады. Пилотты бірінші топта SSO мен FIDO2 арқылы іске қосады, ал легаси үшін уақытша шлюз пен жаңарту жоспарын бекітеді. Прогресс болса да, жүйелі әрі қорғаныспен өтеді.

Кілттер талаптары және әр рөлге саясат

Енгізуде қай аутентификаторларға рұқсат болатындығын және кімге қандай әдіс берілетінін алдын ала шешкен дұрыс. Корпоративтік ортада жиі аралас тәсіл тиімді: ноутбук немесе телефонға кіріктірілген платформалық аутентификатор ыңғайлылық береді, ал аппараттық кілттер резерв пен сенімділікті қамтамасыз етеді.

Платформалық passkeys көп қызметкерге сай келеді: кіру жылдам, ұмыту аз, қолдауы оңай. Аппараттық кілттер жоғары тәуекелдері бар немесе құрылғылар жиі ауысып тұратын орындар үшін (дежурлы сменалар, ортақ пайдалану, жолда жұмыс) қажет.

Кілттерге негізгі талаптар

Ережелерді қарапайым, бірақ міндетті етіп ұстаңыз:

  • аппараттық кілттерге жергілікті PIN және бірнеше қате әрекеттен кейін блоктау талап етілуі тиіс;
  • «көшірілетін» сценарийлерге тыйым: құпияларды файлдарға экспорттау және бақылаусыз сыртқы сақтау орталарына көшіру болмауы керек;
  • сатып алуға бірдей талаптар (модельдер және үйлесімділік) — қолдау мен оқытуды болжамды етеді;
  • сенім критерийлері: сертификаттау және жеткізілімнің шығу тегі, әсіресе мемлекеттік сектор мен маңызды жүйелер үшін;
  • кілттің қай жерде рұқсат етілгенін тіркеңіз: жұмыс станциялары, ноутбуктар, терминалдар, қашықтан қолжеткізу.

«Адамға қанша кілт» деген сұрақты рөлдерге қарай шешкен жөн. Көпшілігіне бір негізгі әдіс (мысалы, корпоративтік ноутбуктағы passkey) және бір резерв жеткілікті (аппараттық кілт немесе екінші тіркелген құрылғы). Резерв бөлек сақталуы тиіс — ноутбукпен бір қапта немесе жалпы шкафта емес. Практикада есепке алу мен бөлім сейфінде мөрленген конверт сияқты сақтау көмектеседі.

Әкімшілер мен артықшылықты рөлдерге саясат

Әкімшілер үшін қарапайым ереже: бөлек кілттер және қатал талаптар. Тәуекелді төмендететін нәрселер:

  • екі аппараттық кілт (негізгі және резерв), екеуі де PIN арқылы қорғалған;
  • жеке телефонды жалғыз фактор ретінде қолдануға тыйым салу;
  • тапсырмаларға сай кілттерді бөлу: біреуі әкімшілікке, бірі күнделікті жұмысқа;
  • жаңа passkeys тіркеу бекітілген процесс арқылы жүргізіледі.

Саясат жұмыс істеуі үшін құрылғыларды басқару қажет. MDM/endpoint арқылы бақылау арқылы тіркеуді шектеу, экран құлпын және жаңартуларды талап ету, берілген кілттерді есепке алу жүзеге асады. Жұмыс орнын және жеткізілімнің ашықтығын қамтамасыз ететін бір серіктес инфрақұрылымды да қамтамасыз етсе, құрылғылар мен баптауларда айырмашылық азаяды.

Мысалы: бухгалтерия корпоративтік ноутбуктердегі passkey арқылы кірсе, домен әкімшілігі командасының екі аппараттық кілті бар, біреуі смена басшысының сейфінде сақталады. Қызметкер ауысқанда кілттер тапсырылып, есеп дереу жабылады, сондықтан ескі құрылғыларда қолжетім қалмайды.

Қолжетімділікті қалпына келтіру: жобаны сақтайтын ережелер

Поддержка 24-7 для запуска
Алғашқы апталарды тыныш өткізу үшін 24/7 қолдау мен helpdesk регламенттерін қосамыз.
Қолдауды сұрау

Парольсіз аутентификация жиі кіруден гөрі қалпына келтіруде «сыныпталады». Адам кілтін жоғалтса, телефоны сынса, құрылғыны ауыстырса немесе резерв болмаса, ол жұмысын тоқтатады немесе ережелерді айналып өтеді. Сондықтан қалпына келтіру сценарийлері пилотқа дейін келісіліп, саясатта жазылуы тиіс.

Әдетте екі принцип жеткілікті: тұлғаны сенімді тексеру және қолжетімділікті тез қайтару. Қалпына келтіру бес бекітуден тұратын «саяхатты» құрағысы келмейді, бірақ хабарламаға ғана байланысты да болмауы керек.

Негізгі сценарийлер және алдын ала не істеу керек

Алдын ала команданың типтік жағдайларда қалай әрекет ететінін тексеріңіз:

  • кілт жоғалту: блоктау, жаңа шығару, белсенді сессияларды тексеру;
  • телефон сынып қалса: passkey-ті жаңа құрылғыға көшіру немесе резервтік кілт арқылы кіру;
  • құрылғыны ауыстыру: жаңа кілтті қосу тек тұлға расталғаннан кейін;
  • командировка: уақытша шектеулі қолжетімділік беру, артық құқық берілмесін;
  • компрометация күдігі: сессияларды мәжбүрлеп тоқтату және кілттерді қайта байлау.

Тұлғаны артық бюрократиясыз растау үшін 2–3 нақты сигнал қолданыңыз: корпоративтік пропуск пен бетпе‑бет, HR-дегі нөмірге қоңырау, алдын ала бекітілген арна арқылы жетекшіден растау. Бір канал бірден сәтсіздік нүктесі болмауы тиіс.

Резервтер алдын ала шығарылса жақсы: екінші кілт (бөлек сақталады), уақытша қолжетімділік беру тәртібі және оны кім бекітетіні. Уақытша қолжетімділік автоматты түрде өтуі тиіс және әкімшілік құқық бермеуі тиіс.

Қызметкер жұмыстан босатылғанда, рөлді тапсыру және break‑glass

Жұмыстан босату немесе рөлді беру кезінде жылдамырақ әрекет керек: кілттерді қайтарыңыз, белсенді сессияларды жауып, тіркелген құрылғыларды тексеріп, соңғы кірулерді аудиттеу. Қолжетілімдер тапсыру рәсімі ресми түрде рәсімделуі тиіс, «кілтті беріп жібер» дегенге жол бермеңіз.

Break‑glass аккаунттар тек төтенше жұмыстар үшін болуы керек. Оларды минималды мөлшерде ұстап, қолдануды бақылаңыз: тек инцидент бойынша қосу, себепті тіркеу, қауіпсіздікке хабарлау және қолданудан кейін құпияны дереу ауыстыру.

Мысалы: инженер филиалда жолда кілтін жоғалтты. Оған пароль бергеннің орнына 8 сағаттық уақытша қолжетімділік шығарылады, ол тек қажетті жүйеге кіруге рұқсат алады. Келген соң тұлға расталып, жаңа кілт тіркеледі. Жұмыс тоқтамайды және саясат сақталады.

Passkeys-ке өту кезінде жиі кездесетін қателіктер

Passkeys‑ке көшу көбіне технологиядан емес, ережелер мен қолдаудың жеткіліксіздігінен жүреді. Тіпті құрылғылар мен IdP FIDO2‑ні қолдаса да, қолданушылар ыңғайсыздық немесе түсініксіздік болғанда айналма жолды табады.

Ең жиі қатені бір күнде барлығын міндеттеу — орындау: «көлеңкелік ИТ» пайда болады: қызметкерлер бір-біріне кіріп береді, бірреттік кодтарды жазып қояды немесе бәрін бұрынғы күйге қайтаруды талап етеді. Толық емес топпен бастап, қай жерде үзіліс болатынын түсінгеннен кейін кеңейту қауіпсіз.

Ең жиі кездесетін 5 сәтсіздік:

  • пилотсыз және алғашқы апталарда айқын ерекше жағдайларсыз мәжбүрлі ауыстыру;
  • shared‑PC және сменалы орындарды ескермеу (ресепшн, call‑орталық, медициналық бөлме, сынып), онда телефон арқылы кіру әрдайым мүмкін емес;
  • пароль негізгі болып қала берген және passkeys жай ғана қосымша болған кезде — фишинг пен парольдердің қайта қолданылуы жойылмайды;
  • helpdesk дайын емес: скрипттер, өтініш статусын бақылау және қауіпсіз қалпына келтіру құралдары жоқ — қолданушылар ережені айналып өтеді;
  • қызметкерлер, мердігерлер және администраторлар үшін бірдей ережелер қолдану, ал тәуекелдері әр түрлі.

Shared‑PC туралы бөлек: егер ортақ компьютерлер бар болса, адамдар қалай кіретінін алдын ала шешіңіз. Бұл аппараттық кілт, қысқа уақыттық сессия немесе жұмыс орнындағы бөлек есептік жазбалар болуы мүмкін. Егер оны жасамасаңыз, дәл осындай нүктелер парольге қайта оралатын орынға айналады.

Әкімшілер үшін көбіне қатаң ереже қажет: екі тәуелсіз кілт, әлсіз факторлар арқылы қалпына келтіруге тыйым және алдын ала резервтік әдісті тіркеу. Бұл әкімшілік есептік жазбаның блокталуынан туындаған жұмыс тоқтауын болдырмаудың арзан жолы.

Тағы бір ескерту: қолдау жүктемесін алдын ала бағалаңыз. Әдетте алғашқы 2–3 аптада өтініштер шыңы болады. Егер helpdesk дайын болса, қолданушылар тез бейімделеді және жоба сенімділігін жоғалтпайды.

Жіберуден бұрын қысқа чек‑тізім

Связать SSO и FIDO2
SSO арқылы кіру мен MFA саясаттарын корпоративтік жүйелеріңізге интеграциялаймыз.
Интеграцияны талқылау

Парольсіз кіруді барлығына қоспас бұрын минималды шешімдер мен ережелер жинағын жинаңыз. Бұл бір легаси қолданбаға немесе анықталмаған қалпына келтіруге байланысты мерзімді бұзылуды болдырмайды.

Бес сұраққа нақты жауап болуы тиіс:

  • Пилотқа кім және не үшін кіреді. 1–2 пилоттық топ таңдалды (мысалы, ИТ және қолдау, кейін қаржы немесе контакт‑орталық операторлары). Метрикалар анық: сәтті кірулер үлесі, helpdesk сұраныстары, қолжетімділікті қалпына келтіру уақыты, парольсіз жүйелердің пайыздық үлесі.
  • Қандай қосымшалар дайын, қайсысы емес. Қолданылатын жүйелер тізімі жасалды: пошта, ERP/CRM, порталдар, VDI, VPN, әкімшілік панельдер. Күрделі жүйелер үшін шешім: жаңарту, ауыстыру, IdP арқылы кіру немесе уақытша ерекшелік датасымен.
  • Қандай кілттер рұқсат етіледі және қанша резерв қажет. Аутентификатор түрлері бекітілді (аппараттық, құрылғыға кіріктірілген, мобильді) және саны ережеленді. Қызметтік рөлдерге минимум бір негізгі және бір резерв белгіленді. Мердігерлер мен даладағы қызметкерлер үшін бөлек ережелер бар.
  • Қолжетімділікті қалай қалпына келтіреміз. «кілт жоғалту/құрылғы ауыстыру/компрометация» сценарийлері сипатталды және helpdesk оқытылды: қандай тұлға тексерілетінін, кім бекітеді, процесс қанша уақыт алады және қандай оқиғалар міндетті тіркеледі.
  • Журналдарда не жазылады және қалай әрекет ету. Кіру, сәтсіздік, кілт тіркеу және қалпына келтіру оқиғалары журналданады. Жауапты тұлғалар тағайындалды: қандай аномалиялар бақыланады (көп сәтсіздіктер, түнде жаңа кілт тіркеу, әртүрлі аккаунттар бойынша әрекеттер) және оқиға кезінде қандай қадамдар жасалады.

Пайдалы тест: 10 пилот қолданушысын алып, олардан «нақты күнді» өткізіп көріңіз — жұмыс ПК-дан кіру, ноутбуктан кіру, резервтік кілт қосу және бір қалпына келтіру сценарийі. Егер бұл кезеңде күрделі қолмен ерекшеліктер болмаса, масштабтау әдетте тыныш өтеді.

Шынайы сценарий және келесі қадамдар

Мысалға 400 қызметкері бар компания: бас кеңсе және 120 қашықтағы қызметкер. 2–3 негізгі жүйе бар: корпоративтік пошта және күнтізбе, ішкі ресурстарға қолжеткізу үшін VPN және бір бизнес‑қызмет (мысалы, ERP немесе өтініштер порталы). Бірінші тоқсанға мақсат — Passkeys пен FIDO2‑тің нақты жағдайда қалай жұмыс істейтінін сынап, процестерде не өзгерту керектігін анықтау.

Пилотқа 30–50 адам таңдалады: ИТ, қаржы, бірнеше басшы және бір бөлігі қашықтағы қызметкерлер. Олардың тәжірибесі өте көрсеткішті: көп кіру, әртүрлі құрылғылар және фишинг қатері жоғары.

Пилоттың бірінші аптасының қалай өтетіні

Дүйсенбіде қауіпсіздік кілттері беріледі немесе қолдаулы құрылғыларда passkeys қосылады және 20 минуттық қысқа оқу жүргізіледі. Адамдар дереу өздері кіруі тиіс — тек көрсету жеткіліксіз.

Апта ортасына дейін алғашқы инциденттер пайда болады. Көбінесе бұзықтық та емес, ұсақ мәселелер: қызметкер енді кіруді телефонда растау керектігін түсінбейді; қашықтан жұмысшының резервтік әдісі болмай қалады; кейбір пайдаланушылардың қосымшасының ескі нұсқасы жаңа әдісті қабылдамайды. Егер алдын ала қолдау арналары мен ережелер болса, бұл жағдайлар дүрбелеңге айналмайды.

Жұмаға қарай қай жерді түзету керек екені көрінеді: қай қосымшаларға SSO немесе клиент жаңарту қажет, қай рөлдерге қатаң талап қою керек, қалпына келтіру өтініштері қайсысы жиі түскені және қандай нұсқаулар шын мәнінде түсінікті болғаны.

Нәтижені қалай өлшеу және әрі қарай не істеу

Тек «қанша адам қосты» ғана емес, тірі жағдайда қалай жұмыс істейтінін қараңыз. Пайдалы метрикалар: фишингтен сәтсіз кiрулердің азаюы (кілтсіз кіру болмайды), парольді қалпына келтірудің төмендеуі, қолдау қызметінің қолжетімділікті қалпына келтіруге жұмсаған уақыты. Қай жерде қолданушылар жиі «тасы» болып қалатынын бөлек талдаңыз — сол жерлерді түзетіп, айналма шешімдерді жоюға болады.

Әрі қарай әдетте мынадай жоспар: пилотты кеңейтіп, критикалық топтарды қосу (қаржы, әкімшілер, басшылар), ең маңызды жүйелерді қосу, содан соң парольдерді кезең-кезеңімен шектеу. Мысал: сыртқы қолжеткізуде (VPN, пошта) парольді бірінші алып тастау, кейін ішкі қосымшаларда, және ең соңында парольді тек төтенше жағдайда пайдалануға болатын қатал рәсім ретінде қалдыру.

Егер компания ішіндегі қосымшаларды тексеруге, SSO баптауға және қалпына келтіруді жаттықтыруға уақыт таппаса, интегратор көмектеседі. Қазақстанда мұндай жобаларды жұмыс орнын және сервер бөлігін жаңарту процесімен бірге жүргізу ыңғайлы: GSE.kz сияқты өндіруші‑интегратор корпоративтік компьютерлер мен серверлерді жеткізіп, инфрақұрылымды интеграциялап және қолдауды бере алады, осылайша пилот бір‑екі энтузиастқа тап болмауына мүмкіндік туғызады.

FAQ

Что такое passkey простыми словами и чем он лучше пароля?

Passkey — бұл парольсыз кіру әдісі. Құрылғыда приватты криптографиялық кілт сақталады, сервис сол кілтке сәйкес жария кілтті ұстайды, ал кіру құрылғыдағы биометрия немесе PIN арқылы расталады. Пайдаланушы сайтқа «құпия сөз» енгізбейді, сондықтан оны фишинг арқылы ұрлау қиынырақ.

Чем отличаются passkeys и FIDO2, и почему их путают?

FIDO2 — бұл қосымшамен аутентификатор арасындағы аутентификация қалай жұмыс істейтінін түсіндіретін стандарттар жиынтығы. Passkey — сол стандарттарға негізделген, пайдаланушыға ыңғайлы есептік деректер формасы. Қысқаша: FIDO2 «жұмыс істейтінін» анықтайды, ал passkey — «пайдаланушы қалай кіреді».

Почему passkeys реально снижают риск фишинга?

Passkey көбінесе фишинг қатерін азайтады, өйткені аутентификатор кілттің қай ресурсқа құрылғанын тексереді. Жалған бет ашылған жағдайда ол доменді немесе қосымша идентификаторын тексеріп, сол сайтқа сәйкестенбеген кілтпен жауап бермейді. Сондықтан фишинг арқылы пароль немесе одноразовый код сияқты «құпияны» алуға болмайды.

Что проверить перед пилотом, чтобы не застрять на мелочах?

Пилотқа дейін бірінші қадам — кіру нүктелерін инвентаризациялау және саясаттарды қай жерден басқаратындығын түсіну: IdP/SSO, AD немесе гибрид пе. Құрылғылардың қандай ОС қолданатынын, MDM/endpoint арқылы басқарудың бар-жоғын тексеріңіз — құрылғыларды бақылаусыз кілттерді қауіпсіз беру және қайтару қиын болады. Сондай-ақ журналдарда қандай оқиғаларды қаралатынын және қолжетімділікті қалай қалпына келтіру керектігін алдын ала келісіңіз.

Каким должен быть размер пилота и кого туда включать?

Жақсы пилот — кіші топ, оған жылдам көмектесе аласыз және кері байланысты жинайсыз: әдетте 30–50 адам немесе штатыңыздың 5–10%. Пилотқа көп кірулері бар және фишинг қатері жоғары топтарды таңдаңыз: ИТ, қолдау, қаржы, басшылар және бір бөлігі қашықтан жұмыс істейтін қызметкерлер. Пилот үшін метрикалар мен қалпына келтіру сценарийлері алдын ала анықталуы тиіс.

Как внедрять passkeys в среде с общими компьютерами и сменами?

Shared‑PC үшін әдетте аппараттық кілт ыңғайлырақ, өйткені ол жеке телефонға байланбайды және жұмыс орындары арасында жылдам ауысады. Егер кіру телефонымен жасалса, қолданушылар заряд, байланыс немесе әдеттерге байланысты қиындық тудыруы мүмкін және ақырында парольге қайта оралуын сұрайды. Ұштастырудан бұрын сессияның қалай аяқталатынын, қайта кіру жылдамдығын және кілттерді кім есептейтінін бекітіңіз.

Нужны ли отдельные правила для админов и привилегированных ролей?

Администраторлар үшін бөлек аппараттық кілттер мен қатаң талаптарды қолданған жөн. Әдетте кемінде екі кілт: негізгі және резерв; жеке телефонды бірден негізгі фактор ретінде қолдануға тыйым салу; кілттерді бір‑қызметтік және әкімшілікке бөлу; жаңа passkey тіркеу бекітілген процесс арқылы жүргізілуі тиіс.

Как организовать восстановление доступа, если сотрудник потерял устройство или ключ?

Пайдаланушы құрылғысын жоғалтса немесе кілт сынып қалса, қолжетімділікті қалай аламыз — бұл пилотқа дейін анықталуы тиіс және helpdesk оқытылуы керек. Мақсат — сенімді тұлғаны тексеріп, тез қалпына келтіру; «чаттағы өтініш» арқылы емес. Сондай-ақ кілттерді шектеу, белсенді сессияларды жабу және компрометация күдігінің әрекеттерін алдын ала бекітіңіз.

Что делать с легаси-приложениями, VPN, RDP/SSH и другими сложными точками входа?

Матрица сәйкестікпен бастаңыз және қолданбаларды үш топқа бөліңіз: қазіргі қолдайтындар, SSO арқылы жабылатындар және әзірге дайын емес жүйелер. Легаси үшін көбіне провайдер идентификациясында немесе шлюзте саясатты күшейту арқылы шешім табады; қосымшаны бірден өзгерту міндетті емес. Әр «уақытша» шешімге аяқталу мерзімін қойыңыз, әйтпесе ол тұрақтыға айналады.

Какие метрики покажут, что проект с passkeys действительно работает?

Жоба тиімді екенін тексеру үшін келесі метрикаларға қараңыз: пилоттық жүйелердегі парольсыз кірулер үлесі, парольді қалпына келтіру/блоктауға түскен тикеттердің азаюы, қолжетімділікті қалпына келтіруге кеткен орташа уақыт. Қай жерде қолданушылар жиі қиындыққа тап болатынын бөліп тексеріңіз — сол жерлерді түзетсеңіз, айналма шешімдерге жол бермейсіз.