Что такое passkeys и как входить в сервисы без пароля

Passkeys — это цифровой ключ, который создается на устройстве и заменяет собой пароль. Пользователю не нужно придумывать и запоминать сложную комбинацию символов, достаточно подтвердить вход по отпечатку пальца, лицу или PIN-коду.

Вход по паролю десятилетиями считался нормой. Мы придумывали сложные комбинации, записывали их в заметки, забывали, восстанавливали и снова усложняли. В этом материале подробно разберем, что такое Passkeys, как эта технология изменила игру и насколько она безопасна и надежна. 

Что такое passkeys

Passkeys — это сервисы, которые позволяют входить в приложения без пароля, используя то, что уже есть под рукой: смартфон, ноутбук, отпечаток пальца или распознавание лица.

Под разными названиями этот способ входа на сайты рекомендуют десятки популярных сервисов. Где-то это называется «ключ доступа», где-то — «вход без пароля», но по сути речь идет об одном и том же. 

Как работают Passkeys?

Ключ хранится локально — на смартфоне, компьютере или аппаратном токене, например YubiKey или Google Titan Security Key. В момент авторизации устройство сначала подтверждает личность владельца, а затем отправляет сервису защищенный криптографический ответ, сформированный на основе уникального приватного ключа.

Технология основана на асимметричной криптографии. При регистрации создается пара ключей: публичный передается сервису, приватный остается на устройстве и не покидает его. При входе проверяется цифровая подпись, а не совпадение пароля, что снижает риск перехвата или повторного использования учетных данных.

Passkeys — это безопасно?

С точки зрения криптографии passkeys считаются более устойчивым способом аутентификации по сравнению с паролями. Однако перед переходом важно оценить не только уровень защиты, но и практическую сторону использования. Технология широко поддерживается, но разные сайты и платформы реализуют ее по-своему. Интерфейсы, названия совпадающих функций могут различаться, перенос и синхронизация ключей иногда требуют дополнительных настроек.

Если используется одно основное устройство, например только смартфон, или все устройства работают в одной экосистеме, например Apple, переход на passkeys обычно проходит без сложностей. То же касается нескольких современных устройств на Android и ChromeOS.

При использовании разных платформ и большого количества устройств ситуация может быть сложнее. Для удобства синхронизации в этом случае часто рекомендуют сторонние менеджеры паролей и ключей доступа. Даже при этом возможны отдельные несовместимости или особенности интерфейса на разных сайтах и в приложениях.

Если же используются редкие браузеры, устройства на Linux или устаревшие смартфоны и компьютеры, поддержка passkeys может быть ограниченной или отсутствовать вовсе. Это важно учитывать до отказа от привычного способа входа.

Еще один нюанс — резервная аутентификация. В большинстве сервисов активация passkeys не отключает вход по паролю автоматически. Это означает, что общий уровень защиты зависит от того, оставлен ли пароль как альтернативный способ входа. С одной стороны, наличие пароля снижает эффект от перехода на новую технологию. С другой — резервный доступ уменьшает риск потери учетной записи в случае проблем с ключами доступа.

В чем минусы passkeys

Часть из них связана с самой логикой технологии, часть — с текущей реализацией на разных устройствах и сервисах.

1. Доступ к аккаунтам напрямую зависит от безопасности устройства. Если кто-то может разблокировать смартфон или компьютер, например знает PIN-код или способен пройти биометрическую проверку, он сможет войти и в связанные аккаунты. Это особенно критично для домашних компьютеров, которыми пользуются несколько человек.
2. При хранении ключей только на одном устройстве возрастает риск потери доступа. Кража, поломка или утеря смартфона могут привести к тому, что вход в аккаунты станет невозможен. Если заранее не настроены резервные способы авторизации (пароль, дополнительный email или телефон), восстановление доступа может занять много времени. В отдельных случаях есть риск полностью потерять учетную запись, особенно если вход по passkey настроен и для основной электронной почты.
3. Еще одна сложность возникает при использовании нескольких устройств на разных операционных системах и в разных браузерах. Синхронизация ключей может работать не так стабильно, как внутри одной экосистемы.
4. Отдельный сценарий — вход с чужого устройства, например в библиотеке или отеле. Если программное обеспечение устарело или не поддерживает нужные стандарты, авторизация по ключу может быть недоступна. В таких случаях необходим резервный способ входа.
5. Наконец, важно учитывать, что большинство сервисов при подключении passkeys не отключают пароль автоматически. Если пароль остается слабым или используется на нескольких сайтах, злоумышленник может обойти новый механизм и войти по старой схеме. Поэтому уровень защиты зависит не только от самой технологии, но и от того, как настроена учетная запись.

В чем плюсы passkeys

1. Главное преимущество passkeys — можно больше не запоминать пароли. Пользователю не нужно придумывать сложные комбинации, хранить их в заметках или регулярно менять. 
2. Второй важный плюс — устойчивость к фишингу. Ключ доступа привязан к конкретному сайту и не передается в виде «секрета», который можно перехватить. Даже если пользователь по ошибке откроет поддельную страницу, механизм аутентификации просто не сработает.
3. Passkeys также снижают последствия взлома серверов. При традиционной схеме в базе данных хранятся пароли или их хеши, которые потенциально можно подобрать или расшифровать. В случае с ключами доступа сервис хранит только публичную часть ключа, которая сама по себе не позволяет войти в аккаунт.
4. Еще одно преимущество — скорость. Авторизация занимает несколько секунд. Это упрощает повседневную работу и снижает количество ошибок.
5. Наконец, при использовании современных экосистем и синхронизации между устройствами ключи могут автоматически быть доступны на смартфоне, ноутбуке и планшете. В этом случае passkeys сочетают высокий уровень защиты с удобством, которое раньше было сложно обеспечить при работе с паролями.

Как используют passkeys в российских сервисах

В России технология Passkey развивается специфично в отличие от глобальных трендов. Внедряют ее постепенно, собственные разработки беспарольного входа функционально дублируют возможности Passkey, но могут отличаться архитектурой хранения ключей. 

Яндекс ID

Один из наиболее заметных примеров реализации такой технологии — экосистема Яндекс. Компания реализовала возможность входа в Яндекс ID с использованием биометрических данных устройства, что по пользовательскому опыту практически неотличимо от использования Passkey. 

Технически это решение опирается на стандарт WebAuthn, позволяющий генерировать криптографические ключи непосредственно на устройстве пользователя. Приватная часть ключа остается защищенной в безопасной среде смартфона или компьютера, а на сервер передается только публичный ключ и подпись. Такая архитектура устраняет риск утечки паролей через фишинговые сайты, поскольку аутентификация привязана к домену сервиса. Поддержка распространяется на мобильные платформы iOS и Android, а также на десктопные браузеры, совместимые со стандартом.

Аналоги passkeys в российских банках

Банковский сектор и государственные сервисы движутся в сторону беспарольного доступа несколько иным путем. Крупные финансовые организации, такие как «Сбер» и «Т-Банк», активно внедряют биометрическую авторизацию внутри своих мобильных приложений. Хотя это не всегда классический Passkey в веб-понимании, принцип работы схож: доступ защищается отпечатком пальца или сканом лица, хранящимся в защищенном анклаве устройства. 

На уровне государственных услуг биометрическая идентификация реализуется через Единую биометрическую систему (ЕБС). Пользователи могут подтверждать вход на портал Госуслуг или в партнерские сервисы с помощью биометрии, что снижает зависимость от SMS-кодов и бумажных носителей. 

Однако веб-реализация этих методов часто требует наличия специализированного программного обеспечения или расширений, что создает определенный порог входа для массового пользователя.

Быстрый вход в социальных сетях

Социальные сети и коммуникационные платформы тоже тестируют решения для упрощения входа. «ВКонтакте» и другие крупные сервисы внедряют механизмы быстрого входа, использующие доверенные устройства. Пользователю предлагается подтвердить вход на новом гаджете через уведомление на уже авторизованном смартфоне. Это метод push-аутентификации — промежуточный этап на пути к полному отказу от паролей. 

Несмотря на то, что терминология может различаться, технологии стремятся к одной цели: устранению человеческого фактора как слабого звена в цепи безопасности. Для разработчиков это значит, что нужно изучать протоколы асинхронной проверки подлинности и работы с криптографическими подписями.

Passkeys — главное

Passkeys — это попытка сделать вход в сервисы проще и безопаснее. Вместо пароля используется криптографический ключ, который хранится на устройстве и подтверждается отпечатком пальца, распознаванием лица или PIN-кодом. 

Ключ нельзя перехватить на фишинговом сайте или украсть из базы данных в виде списка паролей. Удобство использования во многом определяется набором устройств. В пределах одной экосистемы переход обычно проходит без сложностей, тогда как при работе с разными платформами могут возникать ограничения или оказываются необходимы дополнительные шаги.