OpenAI полностью отказывается от паролей: новая система безопасности для ChatGPT

30 апреля 2026 года компания OpenAI сделала важное объявление о запуске Advanced Account Security — нового режима защиты для учетных записей ChatGPT и Codex. Эта инновационная система полностью отказывается от традиционных паролей в пользу современных методов аутентификации, предлагая пользователям более высокий уровень безопасности.

Что такое Advanced Account Security и как она работает

Advanced Account Security представляет собой передовую систему аутентификации, которая заменяет привычные пароли на технологию passkey (ключи без пароля) или физические ключи безопасности. Этот подход направлен на устранение основных недостатков парольной аутентификации, включая возможность утечек, фишинга и других киберугроз.

Passkey — это современный способ входа в систему без использования паролей. Технология основана на асимметричной криптографии и позволяет подтверждать личность пользователя через его устройство с помощью биометрических данных (отпечаток пальца, Face ID, скан сетчатки глаза) или PIN-кода. При этом не происходит отправка чувствительных данных на серверы OpenAI, что значительно снижает риски перехвата информации.

Физические ключи безопасности, такие как YubiKey, представляют собой компактные USB-устройства, которые подключаются к компьютеру при входе в систему. Эти ключи используют аппаратную криптографию для подтверждения подлинности пользователя и практически неуязвимы для удаленных атак.

При активации Advanced Account Security пользователи обязаны настроить как минимум два независимых метода подтверждения: два passkey, два физических ключа или комбинацию из одного passkey и одного физического ключа. Такое требование является мерой предосторожности на случай потери или повреждения одного из устройств.

Преимущества новой системы

Переход на passkey и физические ключи предоставляет несколько ключевых преимуществ:

• Повышенная безопасность: Passkey и физические ключи практически невозможно украсть удаленно, в отличие от паролей, которые могут быть скомпрометированы в результате утечки данных или фишинговой атаки.
• Удобство: После первоначальной настройки пользователю не нужно запоминать сложные пароли или регулярно их менять. Вход в систему происходит быстро и без лишних усилий.
• Кроссплатформенность: Passkey работают на различных устройствах и операционных системах, обеспечивая единый опыт аутентификации.
• Устойчивость к фишингу: Технология passkey встроена непосредственно в операционную систему и не может быть перенаправлена на поддельные сайты, что делает ее неуязвимой для фишинговых атак.

Отказ от традиционных методов восстановления

Вместе с паролями в новой системе исчезают и привычные способы восстановления доступа к аккаунту. SMS-коды и ссылки для сброса пароля, отправляемые на электронную почту, больше не будут использоваться. OpenAI обосновывает это решение тем, что такие методы уязвимы для фишинговых атак и SIM-свопинга (когда злоумышленник переоформляет номер телефона на свою SIM-карту).

В качестве альтернативы предлагаются три варианта восстановления доступа:

1. Резервный passkey: Настройка дополнительного passkey на другом устройстве, который можно использовать в случае потери основного.
2. Резервный физический ключ: Второй ключ безопасности, хранимый в безопасном месте отдельно от основного.
3. Код восстановления: Специальный код, который генерируется при настройке системы и должен быть сохранен в надежном месте (например, в менеджере паролей или распечатанный и хранимый в сейфе).

Для повышения безопасности сессии входа в систему стали короче. Если устройство попадет в чужие руки, время для злоумышленников для попыток несанкционированного доступа значительно сокращается.

Почему отказ от SMS и почты безопаснее?

Логика отказа от традиционных методов восстановления проста и основана на анализе современных киберугроз:

• Фишинговые атаки: Злоумышленники постоянно совершенствуют методы фишинга, позволяющие им перехватывать пароли и SMS-коды с минимальными усилиями.
• SIM-свопинг: Этот метод позволяет злоумышленникам перенаправить номер жертвы на свою SIM-карту, получив контроль над всеми SMS-подтверждениями.
• Утечки данных: Базы данных с паролями и контактной информацией пользователей регулярно становятся жертвами утечек.

Passkey и физические ключи устроены таким образом, что их перехват удаленно практически невозможен. Физические ключи требуют наличия конкретного устройства, а passkey привязаны к биометрическим данным конкретного пользователя.

Партнерство с Yubico: доступные физические ключи

Одновременно с анонсом новой системы OpenAI объявила о стратегическом партнерстве с Yubico — ведущим производителем аппаратных ключей безопасности YubiKey. В рамках этого сотрудничества пользователям ChatGPT предлагается специальный пакет: пара YubiKey за $68 вместо стандартных $126.

Почему YubiKey?

YubiKey является одним из самых популярных и надежных физических ключей безопасности на рынке. Поддерживаемые модели:

• YubiKey 5C NFC: Компактный ключ с поддержкой NFC, который работает с большинством современных смартфонов.
• YubiKey 5 Nano: Миниатюрный ключ, идеально подходящий для использования с ноутбуками.
• YubiKey 5C: Стандартная модель с интерфейсами USB-C и NFC.

Эти ключи поддерживают различные стандарты аутентификации, включая FIDO2/WebAuthn, U2F и OTP, что делает их универсальным решением для защиты различных онлайн-сервисов.

Коммерческая сторона партнерства

Партнерство OpenAI и Yubico взаимовыгодно:

• Для Yubico это прямой доступ к многомиллионной аудитории пользователей ChatGPT, что может значительно увеличить их рыночную долю.
• Для OpenAI это возможность снизить барьер входа для пользователей, желающих перейти на аппаратный ключ, но не готовых платить полную цену.
• Пользователи получают доступ к качественным устройствам по сниженной цене, что повышает привлекательность новой системы безопасности.

Обязательный переход для корпоративных клиентов

Хотя для большинства пользователей новый режим остается добровольным, ситуация меняется для участников программы Trusted Access for Cyber. Это специальная программа OpenAI, ориентированная на организации в сфере кибербезопасности, которым предоставлен доступ к наиболее мощным и гибко настраиваемым моделям ИИ.

Для индивидуальных участников программы Trusted Access for Cyber активация Advanced Account Security станет обязательной с 1 июня 2026 года. Такое требование объясняется повышенными требованиями безопасности для клиентов, работающих с чувствительными данными и передовыми технологиями.

Исключение возможно для организаций, которые смогут подтвердить, что уже используют фишинг-устойчивую аутентификацию в рамках своей корпоративной системы единого входа (Single Sign-On, SSO). Это может включать использование корпоративных систем аутентификации, таких как Azure AD, Okta или аналогичные решения.

Доступность и ожидаемая популярность

Новая система доступна для всех типов учетных записей ChatGPT, включая бесплатный тариф. OpenAI позиционирует ее как важный шаг в повышении безопасности для пользователей с повышенным риском цифровых атак:

• Журналисты, работающие со_sensitive информацией
• Правозащитники и активисты
• Исследователи кибербезопасности
• Корпоративные пользователи, обрабатывающие коммерчески важные данные
• Разработчики, работающие с проприетарным кодом

Проблемы массового внедрения

Несмотря на очевидные преимущества безопасности, ожидается, что реальная активация режима произойдет лишь у небольшого числа пользователей. Причины такого скептицизма:

1. Привычка к паролям: Большинство пользователей десятилетиями использовали пароли и неохотно меняют привычный способ аутентификации.
2. Дополнительные затраты: Хотя YubKey предлагается со скидкой, покупка физических устройств все равно требует дополнительных расходов.
3. Сложность настройки: Процесс настройки двух методов аутентификации может показаться сложным для обычных пользователей.
4. Риск блокировки: Опасения потерять доступ к аккаунту в случае потери или выхода из строя обоих устройств подтверждения.
5. Отсутствие обязательных требований: В отличие от некоторых банков или финансовых сервисов, где двухфакторная аутентификация обязательна, в ChatGPT она остается добровольной.

Как повысить распространение новой системы?

Чтобы увеличить количество пользователей, использующих Advanced Account Security, OpenAI может рассмотреть следующие шаги:

• Автоматическое активация для новых пользователей: Настроить систему так, чтобы новые пользователи сразу получали возможность использовать passkey в качестве основного метода аутентификации.
• Обязательное использование для платных тарифов: Внедрить режим по умолчанию для платных подписчиков, которые чаще всего используют сервис для рабочих задач.
• Упрощенная настройка: Разработать мастер настройки, который проведет пользователя через все необходимые шаги и объяснит преимущества нового подхода.
• Образовательные кампании: Запустить информационную кампанию, объясняющую преимущества passkey и физических ключей по сравнению с паролями.
• Снижение стоимости оборудования: Расширить партнерство с производителями ключей безопасности для еще большего снижения стоимости устройств.

Практические советы по переходу на Advanced Account Security

Для пользователей, решивших перейти на новую систему безопасности, следующие рекомендации помогут сделать процесс максимально безопасным и удобным:

1. Начните с резервного копирования: Перед настройкой основной системы создайте резервные копии важных данных.
2. Используйте несколько устройств для passkey: Настройте passkey на разных устройствах (телефон, планшет, компьютер), чтобы снизить риск блокировки в случае поломки одного из них.
3. Храните физический ключ в безопасном месте: Если вы выбираете физический ключ, храните его в сейфе или другом надежном месте отдельно от основного устройства.
4. Сохраните код восстановления: Распечатайте код восстановления и храните его в физическом сейфе или зашифруйте с помощью надежного менеджера паролей.
5. Регулярно проверяйте работу системы: Периодически тестируйте оба метода аутентификации, чтобы убедиться, что они работают корректно.
6. Обновляйте программное обеспечение: Держите операционную систему и приложения на устройствах обновленными для максимальной безопасности.

Заключение

Введение Advanced Account Security от OpenAI является важным шагом в развитии кибербезопасности веб-сервисов. Полный отказ от паролей в пользу современных технологий аутентификации может стать новым стандартом для отрасли, хотя массовое внедрение таких систем займет время.

Несмотря на потенциальные сложности перехода, преимущества новой системы безопасности очевидны: защита от фишинга, устойчивость к утечкам данных и более удобный опыт аутентификации в долгосрочной перспективе. Для пользователей, работающих со_sensitive информацией или просто желающих повысить безопасность своего аккаунта, переход на Advanced Account Security будет разумным решением.