DID против паролей: как децентрализованная идентификация меняет правила игры

[BOOX]

Пароли остаются одним из уязвимых элементов цифровой безопасности.

Они неудобны для пользователей, легко подвержены утечкам и фишингу. Децентрализованные идентификаторы (DID) обещают сделать вход в сервисы безопасным, а управление личными данными вернуть самим пользователям. Cyber Media разбирает, готовы ли технологии DID заменить привычные нам системы авторизации.

Что такое децентрализованная идентификация и как она работает​

Если привычный логин и пароль — это «табличка в базе» конкретного сервиса, то DID — это уникальный идентификатор, который не хранится в одном месте и не зависит от конкретного провайдера. По сути, это строка вида did:method:uniqueID, которая указывает на документ с ключами и метаданными. Такой документ можно разместить в блокчейне, распределенной базе или даже на своем сайте.

Главная идея: никто, кроме владельца DID, не контролирует его существование. Нет единой точки отказа, нет администратора, который может «заблокировать аккаунт» или «сбросить пароль». Создать DID можно почти так же просто, как сгенерировать пару ключей в криптокошельке. Вы генерируете приватный ключ, на его основе получается публичный ключ, а дальше формируется сам идентификатор.

Различные методы DID представляют собой архитектурные подходы к хранению и разрешению идентификаторов, каждый из которых оптимизирован под конкретные сценарии использования:

• did:ethr — это блокчейн-ориентированный метод, работающий в экосистеме Ethereum. DID документ анкорится в блокчейне, что обеспечивает максимальную децентрализацию и устойчивость к цензуре. Он практичен для сценариев, требующих высокого уровня доверия — государственных дипломов, финансовых документов или международных сертификатов.
• did:web — самый прагматичный метод для корпоративного сектора, при котором DID документ размещается на вашем веб-домене по стандартному пути .well-known/did.json. Это позволяет любой организации с веб-присутствием начать работать с DID буквально за несколько часов. По скорости этот вариант идеально подходит для образовательных учреждений, банков и госорганов.
• did:key — это максимально простой, самодостаточный метод. Генерируется непосредственно из криптографического ключа без какой-либо регистрации в реестре. Тоже практичен для определенных случаев, например, для одноразовых взаимодействий, P2P-шифрования или тестирования.

Когда кто-то хочет удостовериться, что DID действительно принадлежит вам, он запрашивает DID Document. В нем хранятся публичные ключи и метаданные. Проверка сводится к знакомой нам криптографии: подпись сообщения сверяется с открытым ключом, указанным в DID Document. Все — без паролей, без централизованного хранилища.

По сути, DID превращает аутентификацию в процесс «докажи владение приватным ключом», а не «введи пароль, который кто-то может украсть или забыть».

Ключевые компоненты DID: идентификаторы, документы и верифицируемые данные​

DID Document — это JSON-LD-структура, которая может храниться в распределенной сети или на сервере, указанном методом DID. В ней определены:

• @context — ссылка на спецификацию;
• id — сам DID;
• verificationMethod — список ключей и поддерживаемых криптоалгоритмов;
• authentication — методы, которыми субъект может доказать владение DID;
• service — список сервисных эндпоинтов, например, для обмена VC.

Верификатор получает DID, резолвит его в DID Document, извлекает ключи и проверяет подпись. Это гарантирует, что субъект действительно владеет приватным ключом и контролирует данный идентификатор. Но сам по себе факт владения DID еще ничего не говорит о том, кто именно стоит за этим идентификатором.

Здесь на сцену выходят Verifiable Credentials — криптографически подписанные аттестаты в формате JSON-LD. Они связывают DID субъекта с конкретными утверждениями, например, «этот DID принадлежит сотруднику компании N». VC подписываются DID-эмитентом и могут быть проверены любым сторонним сервисом без обращения к базе эмитента.

Структура VC включает:

• issuer — DID эмитента;
• credentialSubject — данные о субъекте, например, имя, роль, права;
• proof — цифровую подпись, указывающую на DID эмитента.

Ключевое преимущество: субъект может предъявлять VC выборочно, минимизируя раскрытие данных. Например, не показывать дату рождения целиком, а только доказать, что ему больше 18 лет.

Преимущества DID: контроль над данными, приватность и безопасность​

Преимущество DID в том, что контроль над цифровой идентичностью полностью уходит к владельцу. Приватный ключ хранится только у него, а аутентификация строится на асимметричной криптографии: верификатор сверяет подпись по публичному ключу из DID Document.

Сейчас стандартом де-факто стали Multi-Party Computation (MPC). Когда ваш приватный ключ существует не в одном месте, а распределен между несколькими сторонами (ваш телефон, облачный сервис, доверенное лицо). Для подписи транзакции все стороны участвуют в вычислении, но никто не имеет полного ключа.

Существуют и так называемые Social or biometric recovery options: этот подход комбинирует классический алгоритм схемы интерполяционных полиномов Лагранжа с биометрической аутентификацией. Ваши друзья получают части ключа, но для финального восстановления требуется ваш отпечаток пальца или Face ID. Это решает проблему «преследования» доверенных лиц.

С DID также интегрируются Passkeys и WebAuthn. В этом случае ваш приватный ключ хранится в аппаратном безопасном элементе устройства (TPM), а восстановление происходит через синхронизацию с iCloud или Google Cloud. Это уже разрешено стандартом eIDAS 2.0 для повышенного уровня доверия.

Отсутствие централизованных точек хранения снижает риск компрометаций и утечек. DID могут резолвиться через блокчейны вроде Ethereum или Hyperledger Indy, через распределенные реестры или просто через HTTPS (did:web).

Фокус доверия переносится с человеческого фактора на криптографию. Пароли можно подобрать, украсть или фишинговать, а приватный ключ, сгенерированный с высокой энтропией и защищенный аппаратно или в кошельке идентичности, подделать практически невозможно. В результате идентификация становится надежной, масштабируемой и пригодной для интеграции в распределенные и гибридные системы.

Self-Sovereign Identity (SSI): концепция суверенной идентичности​

SSI — это концепция, в которой пользователь полностью контролирует свою цифровую идентичность. Приватные ключи остаются у владельца, а любые действия с идентичностью — аутентификация, предъявление аттестатов, доказательства — строятся на криптографических схемах. В отличие от традиционных моделей, где идентичность хранится в централизованных системах и доверие определяется администратором или регистратором, SSI переносит контроль к субъекту и опирается на распределенные протоколы и проверяемые математические доказательства.

На практике наши партнеры опираются на связку DID + проверяемые удостоверения (VC) и знакомые бизнесу потоки OpenID. Кошелек пользователя предъявляет ровно нужные атрибуты, сервис их проверяет — и вход происходит без пароля.

DID Auth как идея «докажи владение ключом» тоже встречается на практике, но быстрее всего взлетает именно OpenID-интеграция с существующим SSO (тот же Keycloak/AD). Плюс российская криптобаза и ГОСТ-алгоритмы, если речь о госсекторе или КИИ.

Ключевые элементы и принципы SSI можно представить так:

• Полный контроль пользователя. Приватные ключи хранятся только у владельца, а любые операции требуют его подписи.
• Децентрализованная проверка. Верификаторы сверяют подлинность DID и связанных атрибутов через распределенные реестры или методы DID, без обращения к централизованной базе.
• Приватность и минимизация раскрытия данных. Выборочное предоставление атрибутов и возможность использовать доказательства с нулевым разглашением.
• Отказоустойчивость. Применение мультиподписей, threshold key recovery и аппаратного хранения ключей для защиты от потери доступа или компрометации.

Так, SSI превращает цифровую идентичность в распределенный, криптографически защищенный актив, где доверие строится на проверяемых алгоритмах, а не на политике конкретного сервиса или централизованной базе. Пользователь может предъявлять только необходимые данные, сохраняя приватность, а сервисы получают криптографическое доказательство достоверности информации.

Применение DID: от входа на сайты до цифровых паспортов​

Применение DID выходит далеко за рамки простой замены паролей. Сегодня эту технологию уже тестируют в разных сферах — от онлайн-сервисов до государственных систем идентификации. Для входа на сайт или в мобильное приложение пользователю не нужен логин и пароль: достаточно доказать владение приватным ключом, связанным с его DID.

Реальные кейсы наших партнеров — внутренние пропуска и роли сотрудников, доступ подрядчиков к сервисам и API, вход в корпоративные порталы без пароля, учетные «удостоверения» для студентов и слушателей в учебных центрах. Все это работает на удобство и быстроту: меньше тикетов в стиле «я забыл пароль», прозрачнее контроль доступа.

Обычно на нашем опыте все строится так: партнеры заходят с did:web, поднимают кошелек с человеческим восстановлением, интегрируют через ваш SSO и разворачивают все в российском контуре. Дальше добавляют атрибуты и внешние контуры. Мы обеспечиваем инфраструктуру и комплаенс, партнеры — интеграцию и бизнес-логику. В итоге получается обойтись без лишней экзотики и работать в рамках импортозамещения.

В корпоративной среде DID постепенно находят применение в финтехе, где могут заменить традиционные KYC-процедуры, позволяя банку проверять цифровые аттестаты без копирования документов. В госсервисах технология используется для аутентификации сотрудников и граждан, а в Web3-экосистемах становится базовым уровнем доверия: от голосований в DAO до управления доступом к смарт-контрактам и ресурсам распределенных сетей.

Государственный сектор зарубежных стран, например, можно считать лидером внедрения. 19 стран участвуют в пилотах EUDI Wallet. К слову, это уже не эксперименты, а подготовка к полноценному запуску в 2026 году. В части бизнеса Microsoft Entra Verified ID уже обслуживает более 11 000 корпоративных клиентов. Используется для замены паролей во внутренних системах, что радикально повышает безопасность. Еще один пример — образование: проект DC4EU выпустил уже 4,5 миллиона верифицируемых дипломов в формате VC.

Экспериментом это пока остается, например, в метавселенных и в игровой индустрии: Meta Horizon ID переключился на SIOPv2 для кросс-мировых аватаров, но это пока ограниченная бета. Также авторизацию с использованием кошельков для NFT-активов тестирует Epic Games.

Таким образом, DID постепенно превращаются в универсальный механизм аутентификации и аттестации — криптографически защищенный, гибкий и независимый от конкретного провайдера.

Будущее идентификации: заменят ли DID пароли и централизованные системы​

Будущее идентификации напрямую связано с вопросом: смогут ли DID действительно заменить привычные пароли и централизованные системы управления доступом. С технической точки зрения потенциал очевиден. DID упрощают аутентификацию, убирают уязвимость паролей и делают модель доверия по-настоящему распределенной. Массовое внедрение этой технологии могло бы радикально снизить количество атак, связанных с фишингом и утечками баз данных, а пользователи наконец получили бы реальный контроль над своей цифровой идентичностью.

Однако переход к такой модели осложнен целым рядом барьеров.

Во-первых, существенная помеха — пользовательский опыт. Устройства теряются, причем гораздо чаще, чем можно предположить, поэтому без понятного recovery и обучения людей не обойтись.

Во-вторых, есть проблема совместимости кошельков и форматов: у нас в стране пока нет достаточно подробно разработанных корпоративных требований к логированию, ролям и офлайн-сценариям еще догоняют.

Из юридических барьеров я бы отметил трудности соотнесения технологии с 152-ФЗ и 63-ФЗ, распределение ответственности между «выдавшим удостоверение» и «проверяющим», требования к хранению, аудиту и импортозамещению. Поэтому решения ставят либо on-prem, либо в российских облаках, затем проходят проверки ФСТЭК/ФСБ и только потом расширяют периметр.

Скорее всего, ближайшие годы DID будут сосуществовать с традиционными методами аутентификации, постепенно занимая свою нишу в государственных сервисах, корпоративных системах и Web3-проектах. А вопрос полной замены паролей будет решаться не только технологиями, но и правовым регулированием, удобством для пользователей и готовностью рынка доверять криптографическим механизмам вместо привычных администраторов.

Заключение​

Децентрализованные идентификаторы уже перестали быть экспериментом — они формируют новый фундамент цифровой идентичности. DID не просто обещают «убрать пароли», а меняют саму модель доверия: контроль над учетной записью переходит от провайдеров к пользователю, а безопасность обеспечивается не политикой сервиса, а криптографией.

Массовое внедрение этой технологии зависит от того, насколько быстро будут решены задачи совместимости, восстановления доступа и юридического признания цифровых аттестатов. Но направление уже ясно: будущее идентификации строится не вокруг базы паролей, а вокруг проверяемых математикой доказательств.

Для просмотра ссылки необходимо нажать Вход или Регистрация