Passkeys и современный вход в аккаунты
Passkey (ключ доступа, "pass key" — буквально "ключ для прохода") — способ войти в аккаунт без ввода пароля. На телефоне или компьютере хранится пара криптографических ключей (математически связанных, но разных строк данных); вы подтверждаете личность отпечатком, Face ID, PIN устройства или USB-ключом. Сайт проверяет цифровую подпись. Секретная строка-пароль на сервер не отправляется, поэтому её сложнее украсть через фишинг.
Стандарт называется WebAuthn / FIDO2 (открытые спецификации для входа без пароля в браузере и приложениях). Поддерживают Google, Apple, Microsoft, Яндекс и многие банки.
Базовые привычки безопасности — в Цифровой безопасности для пользователя. Как устроены обычные пароли на сервере — Как устроены пароли.
Маршрут чтения
| Цель | Раздел |
|---|---|
| Понять, зачем passkeys появились | История проблемы паролей |
| Сравнить способы входа | Сравнение способов входа |
| Настроить на своём устройстве | Настройка по платформам |
| Перейти с пароля на passkey | Миграция с пароля на passkey |
| Узнать, где уже работает | Какие сервисы поддерживают passkeys |
| Решить проблему | Типичные проблемы и решения |
| Семья и общие устройства | Passkeys в семье |
История проблемы паролей
Как мы пришли к passkeys
Десятилетиями пароль был единственным способом доказать, что вы — владелец аккаунта. Пароль — строка, которую вы знаете. Сервер хранит её копию (обычно в виде хеша — необратимого отпечатка).
С ростом интернета появились системные проблемы:
| Проблема | Что происходит |
|---|---|
| Повторное использование | Один пароль на 50 сайтов — утечка одного сайта открывает все |
| Слабые пароли | Люди выбирают "123456", "password", даты рождения |
| Утечки баз данных | Хакеры выкладывают миллионы паролей в открытый доступ |
| Фишинг | Поддельная страница просит ввести пароль — вы вводите сами |
| Сложность запоминания | Длинные случайные пароли нужен менеджер паролей |
2FA (двухфакторная аутентификация) добавила второй шаг — код из SMS или приложения. Это помогло, но:
- SMS можно перехватить (SIM-swap);
- фишинг в реальном времени может переслать код на сервер мошенника, пока он действует;
- пользователю всё равно нужно помнить или хранить пароль.
Идея FIDO и passkeys
В 2010-х консорциум FIDO Alliance (Fast IDentity Online) предложил другой подход:
- секретный ключ никогда не покидает ваше устройство;
- сайт получает только открытый ключ (public key) для проверки подписи;
- подтверждение — биометрия или PIN на устройстве.
С 2022–2023 годов Apple, Google и Microsoft договорились о синхронизации passkeys между устройствами через iCloud Keychain, Google Password Manager и Microsoft account — passkeys стали массовым продуктом, а не только USB-ключом для IT-отделов.
Сравнение способов входа
Краткая таблица
| Способ | Как работает | Слабое место |
|---|---|---|
| Только пароль | Строка, которую вы помните или хранит менеджер | Утечки баз, повторное использование, фишинг |
| Пароль + SMS | После пароля — код в SMS | SIM-swap, перехват SMS |
| Пароль + TOTP | После пароля — код из приложения (30 сек) | Фишинг в реальном времени (реже, но возможен) |
| Passkey | Ключ на устройстве; сайт проверяет подпись | Потеря всех устройств без резервного способа |
| Аппаратный ключ | Passkey на USB/NFC-носителе | Потеря ключа без запасного |
Развёрнутое сравнение
| Критерий | Пароль | TOTP (приложение) | Passkey | Аппаратный ключ |
|---|---|---|---|---|
| Защита от фишинга | Слабая | Средняя | Сильная | Сильная |
| Удобство | Нужно вводить | Нужно копировать код | Отпечаток / Face ID | Достать ключ |
| Синхронизация | Менеджер паролей | Обычно одно устройство | iCloud / Google / Bitwarden | Нет (физический носитель) |
| Восстановление | Email, SMS | Резервные коды | Другой passkey, резервные коды | Запасной ключ |
| Поддержка сайтов | Везде | Большинство | Растёт | Крупные сервисы |
TOTP (Time-based One-Time Password) — одноразовый код, который меняется каждые 30 секунд в приложении вроде Google Authenticator или Яндекс.Ключ.
SMS-код — самый слабый второй фактор: SIM можно подменить, код перехватить.
Passkey на поддерживающих сайтах заменяет пароль; фишинговая страница не получит ваш секретный ключ — браузер привязывает вход к домену сайта.
На старых сайтах passkeys пока нет — оставляйте менеджер паролей + TOTP. См. Цифровая безопасность.
Как это работает (упрощённо)
Регистрация passkey
- Вы уже вошли на сайт (паролем или другим способом).
- Сайт предлагает "Создать passkey".
- Устройство генерирует пару ключей:
- приватный ключ (private key) — остаётся только на устройстве, защищён PIN или биометрией;
- публичный ключ (public key) — отправляется на сервер сайта.
- Сервер сохраняет публичный ключ и связывает его с вашим аккаунтом.
Вход с passkey
- Вы нажимаете "Войти с passkey".
- Сайт отправляет случайный вызов (challenge).
- Устройство подписывает вызов приватным ключом после вашего Face ID / PIN.
- Сайт проверяет подпись публичным ключом — если совпало, вход разрешён.
Поддельная страница на другом домене не сможет использовать ваш ключ — браузер проверяет соответствие домена (origin binding).
Биометрия
Биометрия (отпечаток пальца, Face ID, Windows Hello) здесь подтверждает, что ключ используете именно вы, а не хранит пароль на сервере компании. Отпечаток остаётся в защищённом чипе телефона или ноутбука (Secure Enclave, TPM).
Подробнее про криптографию с открытым ключом — шифрование и SSH.
Настройка по платформам
Общие требования для всех платформ:
- Обновите ОС и браузер — Chrome, Edge, Safari, Firefox последних версий.
- Включите блокировку экрана и биометрию или надёжный PIN на телефоне.
- Сохраните резервные коды и второй способ входа до удаления пароля.
iPhone и iPad (iOS / iPadOS)
Где хранятся passkeys: iCloud Keychain (Связка ключей iCloud) — синхронизация между iPhone, iPad и Mac с тем же Apple ID.
Шаг 1. Подготовка Apple ID
- Настройки → имя аккаунта → Вход и безопасность.
- Включите Двухфакторную аутентификацию Apple ID (обычно уже включена).
- Face ID / Touch ID → настройте биометрию.
- Запишите код восстановления (Recovery Key) — 28 символов.
Шаг 2. Создание passkey на сайте
- Откройте Safari (или Chrome на iOS).
- Войдите на сайт с поддержкой passkeys (Google, Microsoft, PayPal, eBay и др.).
- В настройках безопасности аккаунта → Добавить passkey / Ключ доступа.
- Появится запрос Face ID / Touch ID → подтвердите.
- Passkey сохранится в iCloud Keychain.
Шаг 3. Вход с passkey
- На странице входа нажмите Sign in with passkey / Войти с ключом доступа.
- Подтвердите Face ID.
- Если passkey на другом устройстве — iPhone предложит QR-код для сканирования (cross-device authentication).
Шаг 4. Просмотр сохранённых passkeys
Настройки → Пароли → Ключи доступа (или через поиск "passkey" в настройках). Здесь видны passkeys по приложениям и сайтам.
Android
Где хранятся passkeys: Google Password Manager (встроен в Android 9+ и Chrome) или сторонний менеджер (Bitwarden, 1Password).
Шаг 1. Подготовка
- Обновите Android до актуальной версии.
- Настройки → Безопасность → Блокировка экрана — PIN или биометрия.
- Войдите в аккаунт Google на устройстве.
Шаг 2. Включение Google Password Manager
- Настройки Google → Автозаполнение → Google.
- Или в Chrome: Настройки → Google Password Manager → Настройки → включите синхронизацию passkeys.
Шаг 3. Создание passkey
- Откройте Chrome, войдите на сайт (например, google.com или github.com).
- Настройки аккаунта → Passkeys → Create a passkey.
- Подтвердите отпечаток или PIN.
- Passkey синхронизируется на другие Android-устройства и Chrome под тем же Google-аккаунтом.
Шаг 4. Вход
- На странице входа — Sign in with a passkey.
- Выберите аккаунт Google → отпечаток.
- Для входа с компьютера — телефон покажет уведомление для подтверждения (если passkey только на телефоне).
Windows 10 / 11
Где хранятся passkeys: Windows Hello + синхронизация через Microsoft account (для потребительских аккаунтов) или Windows Hello for Business (корпоративные).
Шаг 1. Настройка Windows Hello
- Параметры → Учётные записи → Параметры входа.
- Настройте PIN, отпечаток или распознавание лиц (Windows Hello).
- Убедитесь, что используете Microsoft account (не только локальную учётную запись) — для синхронизации passkeys между устройствами.
Шаг 2. Браузер
- Edge — полная поддержка passkeys из коробки.
- Chrome — поддержка через Windows Hello API.
Шаг 3. Создание passkey
- В Edge откройте сайт (microsoft.com, google.com).
- Войдите паролем → Security → Advanced security options → Passkeys.
- Add a passkey → подтвердите Windows Hello (PIN или биометрия).
Шаг 4. Управление passkeys в Windows
Параметры → Учётные записи → Параметры входа → Управление ключами доступа (Passkeys) — список сохранённых ключей.
macOS
Где хранятся passkeys: iCloud Keychain — те же passkeys, что на iPhone, если один Apple ID.
Шаг 1. Подготовка
- Системные настройки → Apple ID → iCloud → включите Связка ключей (Keychain).
- Настройте Touch ID или Apple Watch для подтверждения.
Шаг 2. Создание passkey
- Safari → сайт с поддержкой → настройки безопасности → Add passkey.
- Подтвердите Touch ID или пароль пользователя Mac.
Шаг 3. Синхронизация
Passkey, созданный на Mac, появится на iPhone через iCloud через несколько секунд (нужен интернет).
Linux
Поддержка passkeys на Linux растёт, но менее однородна, чем на Windows и Mac.
- Chrome и Firefox поддерживают WebAuthn через системные API.
- Нужен менеджер: Bitwarden, KeePassXC (с поддержкой FIDO), или GNOME Keyring / KWallet в зависимости от дистрибутива.
- Для надёжной работы проверьте документацию вашего дистрибутива (Ubuntu 22.04+, Fedora 38+ обычно работают с Chrome).
Практичный путь для Linux-пользователя: Bitwarden с passkeys и TOTP как резерв.
Какие сервисы поддерживают passkeys
Список меняется — проверяйте настройки безопасности конкретного сервиса. По состоянию на 2024–2025 год:
| Категория | Сервис | Примечание |
|---|---|---|
| Почта и облако | Google (Gmail, Drive) | Passkey + TOTP |
| Почта и облако | Microsoft (Outlook, OneDrive) | Passkey через Microsoft account |
| Почта и облако | Apple (iCloud) | Apple ID passkey |
| Почта | Yahoo, Proton Mail | Passkey в настройках |
| Разработка | GitHub, GitLab | Passkey для входа и git-операций |
| Платежи | PayPal, Stripe Dashboard | Passkey для входа |
| Маркетплейсы | eBay, Amazon (частично) | Региональные отличия |
| Соцсети | LinkedIn, X (Twitter) | В настройках безопасности |
| Россия | Яндекс ID | Passkey в id.yandex.ru |
| Банки | Крупные банки (Сбер, Тинькофф и др.) | Зависит от приложения; часто биометрия в приложении по тому же принципу |
| Менеджеры паролей | Bitwarden, 1Password, Dashlane | Хранение и синхронизация passkeys |
| Корпоративные | Microsoft Entra, Okta | Для рабочих аккаунтов |
Если passkey недоступен — используйте менеджер паролей + TOTP. Список поддержки FIDO — на passkeys.directory (англоязычный каталог).
Миграция с пароля на passkey
Переход безопаснее делать постепенно, не удаляя пароль сразу.
Этап 1. Подготовка (день 1)
- Менеджер паролей настроен — инструкция
- 2FA включена (TOTP, не только SMS)
- Резервные коды сохранены (распечатка или зашифрованная заметка)
- Второе устройство или запасной passkey запланирован
Этап 2. Добавление passkey (день 2–7)
- Войдите на сайт обычным паролем.
- Настройки → Безопасность → Add passkey.
- Создайте passkey на основном телефоне.
- Проверьте вход: выйдите и войдите только через passkey.
- Добавьте второй passkey на другом устройстве (ноутбук, планшет).
Этап 3. Passkey как основной способ (неделя 2)
- Используйте passkey для ежедневного входа.
- Пароль пока не удаляйте — он резерв.
- Убедитесь, что passkey синхронизируется (iCloud / Google / Bitwarden).
Этап 4. Отключение пароля (опционально)
Некоторые сервисы позволяют удалить пароль и оставить только passkey (Google Advanced Protection, Apple). Делайте это только если:
- есть passkey на двух устройствах или аппаратный ключ;
- резервные коды сохранены;
- email восстановления актуален.
Этап 5. Старые сайты без passkeys
Оставьте уникальный пароль в менеджере + TOTP. Passkey и пароль могут сосуществовать на одном аккаунте на переходный период.
Синхронизация и резервные копии
| Способ синхронизации | Плюсы | Минусы |
|---|---|---|
| iCloud Keychain | Бесшовно на Apple | Привязка к Apple ID |
| Google Password Manager | Бесшовно на Android / Chrome | Привязка к Google |
| Microsoft account | Windows + Edge | Меньше сайтов |
| Bitwarden / 1Password | Кроссплатформенность | Нужна подписка / настройка |
| USB YubiKey | Не зависит от облака | Можно потерять; нужен второй ключ |
Резервные коды восстановления — одноразовые коды (обычно 8–10 штук), которые выдаёт сервис при настройке 2FA. Сохраните их до потери телефона.
Второй passkey — лучший резерв: создайте ключ на телефоне и на ноутбуке, или телефон + USB YubiKey.
См. облако и бэкап — принципы резервного копирования применимы и к кодам восстановления (хранить отдельно от основного устройства).
Аппаратные ключи (YubiKey и аналоги)
Аппаратный ключ безопасности — USB- или NFC-устройство (YubiKey, Google Titan, Feitian), которое хранит passkey вне телефона и компьютера.
Когда имеет смысл
- почта и облако с конфиденциальными данными;
- работа с криптовалютой или финансами;
- журналисты, активисты, публичные персоны;
- требование корпоративной политики.
Настройка (общая схема)
- Купите ключ у официального продавца (не с маркетплейса без проверки).
- В настройках безопасности Google / Microsoft / GitHub → Add security key.
- Вставьте USB или приложите NFC → коснитесь кнопки на ключе.
- Купите второй ключ — храните в другом месте (сейф, у родственников).
Passkey на ключе и passkey в телефоне
Можно иметь несколько passkeys на одном аккаунте: один в iCloud, второй на YubiKey. При потере телефона войдёте через ключ.
Passkeys в семье и на общих устройствах
Семейный iPad или "общий компьютер"
Passkey привязан к Apple ID / Google account того, кто его создал. На общем устройстве:
- каждый член семьи должен войти в свой аккаунт Google / Apple;
- не создавайте passkey для вашего банка в профиле ребёнка;
- используйте отдельные профили Windows / macOS / Chrome для каждого человека.
Семейный доступ Apple / Google
Семейный доступ Apple и Google Family Link не делят passkeys между взрослыми и детьми автоматически — у каждого свой ключ доступа в своей связке.
Смерть или incapacitation близкого
Passkeys не передаются по наследству так же просто, как бумажный список паролей. Рекомендации:
- для критичных аккаунтов оставьте резервный пароль в сейфе (запечатанный конверт);
- используйте менеджер паролей с экстренным доступом (Bitwarden Emergency Access, 1Password Emergency Kit);
- аппаратный ключ в сейфе с инструкцией.
Дети
- для детских аккаунтов — родительский контроль — статья;
- passkey на детском телефоне — нормально, если у ребёнка свой Apple ID / Google account под вашим контролем.
Если потеряли телефон
- Заблокируйте SIM у оператора — защита от SMS-2FA.
- С другого устройства, где уже есть passkey или активная сессия:
- войдите в аккаунт;
- проверьте активные сессии, удалите подозрительные;
- при необходимости удалите passkey потерянного телефона из настроек безопасности.
- Find My iPhone / Google Find My Device → режим потери → удалённое стирание.
- Используйте резервные коды или второй passkey / аппаратный ключ.
- Если остались только passkey на потерянном телефоне — восстановление через поддержку Google / Apple / Microsoft (может занять дни, нужны документы).
Подробный чек-лист — Цифровая безопасность.
Типичные проблемы и решения
Passkey не предлагается на сайте
Причины:
- сайт ещё не поддерживает WebAuthn;
- вы используете старый браузер — обновите Chrome / Edge / Safari;
- на Linux не настроен системный хранили ключей.
Решение: менеджер паролей + TOTP. Проверьте passkeys.directory.
"Не удалось создать passkey"
Причины:
- не настроен Windows Hello / Face ID / PIN;
- iCloud Keychain выключен на Mac / iPhone;
- корпоративная политика блокирует FIDO.
Решение:
- Windows: Параметры → Учётные записи → PIN Windows Hello;
- iPhone: Настройки → Face ID → настроить заново;
- Mac: iCloud → Связка ключей → включить.
Passkey есть на телефоне, но не на компьютере
Причины:
- разные аккаунты Google / Apple на устройствах;
- синхронизация iCloud / Google отключена;
- passkey создан только локально без синхронизации.
Решение:
- проверьте один ли Apple ID / Google account;
- создайте второй passkey прямо на компьютере (оба будут работать);
- или используйте Bitwarden для кроссплатформенной синхронизации.
Браузер просит телефон при входе с ноутбука
Это нормально — cross-device authentication. На экране ноутбука QR-код → сканируете камерой телефона → подтверждаете Face ID. Убедитесь, что Bluetooth включён на обоих устройствах (для некоторых сценариев).
Сменил телефон — passkeys пропали
Если была синхронизация iCloud / Google — войдите в новый телефон под тем же аккаунтом, passkeys подтянутся автоматически (может занять до часа).
Если passkey был только на старом телефоне без облака:
- войдите резервным паролем (если не удаляли);
- используйте резервные коды;
- обратитесь в поддержку сервиса.
Passkey и корпоративный аккаунт
IT-отдел может запретить личные passkeys или требовать аппаратный ключ. Уточните политику — не привязывайте рабочий Entra / AD к личному iCloud.
Firefox не видит passkey
В Firefox включите about:config → security.webauthn или используйте последнюю версию с поддержкой passkeys. Альтернатива — Edge / Chrome для сайтов с passkey.
Passkeys и 2FA одновременно
На многих сервисах passkey заменяет пароль, но 2FA для чувствительных операций (смена email, удаление аккаунта) может остаться.
| Ситуация | Рекомендация |
|---|---|
| Только passkey | Минимум для входа на современном сайте |
| Passkey + TOTP | Максимальная защита; TOTP как второй фактор для настроек |
| Passkey + аппаратный ключ | Два passkey на одном аккаунте |
| Passkey + резервные коды | Обязательный минимум резерва |
Passkey не отменяет необходимость резервных кодов — сохраните их при любой конфигурации.
Частые вопросы (FAQ)
Passkey — это то же самое, что пароль?
Нет. Пароль — строка, которую вы вводите и которую можно украсть через фишинг. Passkey — пара ключей на устройстве; секретная часть никогда не передаётся на сайт.
Можно ли украсть passkey через фишинг?
Классический фишинг с поддельной страницей не получает ваш приватный ключ — браузер проверяет домен. Это главное преимущество passkeys.
Нужен ли менеджер паролей, если есть passkeys?
Да, для сайтов без passkeys и для резервных паролей. Bitwarden и 1Password сами хранят passkeys.
Passkey заменяет 2FA?
На многих сайтах passkey заменяет связку пароль+2FA для входа. Для восстановления аккаунта часто нужны резервные коды или второй passkey — это отдельный слой.
Безопасно ли хранить passkeys в iCloud / Google?
Ключи зашифрованы; Apple и Google не могут использовать их без вашего устройства и биометрии. Риск — компрометация всего Apple ID / Google account — защищайте его 2FA и длинным паролем.
Сколько passkeys нужно на один аккаунт?
Минимум два на разных устройствах или один passkey + аппаратный ключ. Один passkey на одном телефоне без резерва — рискованно.
Работают ли passkeys offline?
Вход на уже известный сайт иногда возможен без интернета на устройстве, но первичная регистрация и проверка на сервере требуют сети. Практически — нужен интернет.
Можно ли использовать passkey в приложении на телефоне?
Да, если приложение поддерживает FIDO2 / passkey (банки, Google apps). Логика та же — биометрия вместо пароля.
Что лучше для бабушки — passkey или пароль?
Если телефон с Face ID / отпечатком и один Apple ID — passkey проще (не нужно помнить пароль). Обязательно настройте доверенный контакт Apple / резервные коды с вашей помощью — телефон для пожилых.
Passkeys в России — legal?
Да. Яндекс ID и российские банки внедряют passkeys / биометрический вход. Стандарт FIDO — международный, не привязан к санкциям на конкретные бренды ключей (проверяйте доступность YubiKey в вашем регионе).
Удалят ли пароли полностью?
Переход займёт годы. Пароли останутся для старых систем, корпоративных VPN, локальных учётных записей. Passkeys — дополнение и постепенная замена на современных сервисах.
Настройка passkey в Bitwarden
Bitwarden — кроссплатформенный менеджер паролей, который с 2023 года хранит и синхронизирует passkeys между Windows, macOS, Linux, Android и iOS. Удобен, если вы не хотите привязываться только к iCloud или Google.
Шаг 1. Аккаунт и расширение
- Зарегистрируйтесь на bitwarden.com — см. настройку менеджера.
- Установите расширение Bitwarden для Chrome, Edge или Firefox.
- Войдите в аккаунт Bitwarden в расширении.
Шаг 2. Включение passkeys в Bitwarden
- В веб-кабинете Bitwarden: Settings → Account settings → включите Allow passkeys.
- На телефоне в приложении Bitwarden: Настройки → Unlock with biometrics — для быстрого доступа к ключам.
Шаг 3. Сохранение passkey с сайта
- Войдите на сайт с поддержкой passkeys (например, github.com) обычным паролем.
- В настройках безопасности сайта → Add passkey.
- Браузер предложит выбрать хранилище — выберите Bitwarden.
- Подтвердите мастер-пароль Bitwarden или биометрию.
- Passkey сохранится в вашем vault и синхронизируется на все устройства с Bitwarden.
Шаг 4. Вход через Bitwarden
- На странице входа нажмите Sign in with passkey.
- Расширение Bitwarden предложит ключ → подтвердите.
- Если passkey на телефоне — откроется приложение Bitwarden с запросом биометрии.
Плюсы Bitwarden для passkeys
- один vault для паролей, TOTP и passkeys;
- работает на Linux и смешанных экосистемах (iPhone + Windows PC);
- семейный план — отдельные vault для каждого, passkeys не смешиваются.
Passkeys в браузерах
Каждый браузер делегирует хранение passkeys операционной системе или менеджеру паролей.
| Браузер | Где хранятся passkeys | Примечание |
|---|---|---|
| Safari (Mac, iOS) | iCloud Keychain | Лучшая интеграция в экосистеме Apple |
| Chrome (Windows, Android) | Google Password Manager / Windows Hello | Синхронизация через Google account |
| Edge (Windows) | Microsoft account + Windows Hello | Встроено в Windows 11 |
| Firefox | OS keychain или Bitwarden | Может потребовать ручной выбор хранилища |
| Chrome (Mac) | iCloud Keychain или Google | При установке спросит предпочтение |
Как выбрать хранилище при первом passkey
При создании passkey браузер покажет диалог:
- "Save passkey to …" — выберите iCloud, Google, Bitwarden или Windows Hello;
- решение можно изменить позже, создав второй passkey в другом хранилище;
- для кроссплатформенности удобнее Bitwarden или 1Password.
Очистка старых passkeys
Если passkey создан по ошибке в не том хранилище:
- Зайдите в настройки безопасности аккаунта на сайте → список passkeys → удалите лишний.
- Удалите ключ из локального хранилища (iCloud Keychain, Google Password Manager).
- Создайте passkey заново в нужном месте.
Мифы о passkeys
| Миф | Правда |
|---|---|
| "Passkey — это просто Face ID" | Face ID разблокирует ключ на устройстве; сам passkey — криптографическая пара, привязанная к сайту |
| "Если украдут телефон — украдут все аккаунты" | Без Face ID / PIN ключ недоступен; можно удалённо стереть телефон |
| "Passkeys заменят менеджеры паролей завтра" | Переход займёт годы; старые сайты останутся на паролях |
| "Passkey привязан к одному устройству навсегда" | Синхронизация через iCloud / Google / Bitwarden; можно добавить несколько ключей |
| "Биометрия отправляется на сервер" | На сервер уходит только подпись; отпечаток остаётся в чипе телефона |
| "Passkeys не работают в России" | Яндекс ID и российские банки внедряют поддержку |
| "Нужно покупать YubiKey обязательно" | Для большинства достаточно passkey в телефоне; YubiKey — дополнительная защита |
| "Passkey = пароль в файле на диске" | Секретный ключ защищён Secure Enclave / TPM, не экспортируется как текст |
Сценарии использования
Ежедневный вход в почту
- Открываете gmail.com.
- Браузер предлагает войти с passkey.
- Face ID — вы внутри за 2 секунды.
- Пароль не вводите, фишинговая страница не получит секрет.
Новый ноутбук
- Включаете ноутбук, входите в Apple ID / Google account.
- Passkeys синхронизируются автоматически (iCloud Keychain / Google Password Manager).
- На github.com / google.com входите passkey без повторной настройки.
- Если синхронизация задержалась — создайте второй passkey на ноутбуке при первом входе паролем.
Банковское приложение
Многие банки используют биометрический вход по тому же принципу FIDO:
- ключ хранится в защищённой области телефона;
- подтверждение — отпечаток;
- пароль от приложения может не понадобиться после первой настройки.
Уточняйте в вашем банке: раздел "Безопасность" → "Биометрия" / "Ключ доступа".
Работа с GitHub
- github.com → Settings → Password and authentication → Passkeys.
- Add a passkey → подтвердите Windows Hello / Face ID.
- При
git pushчерез HTTPS может потребоваться passkey или Personal Access Token — passkey покрывает вход в веб-интерфейс.
Passkeys и корпоративная безопасность
На работе IT-отдел может управлять входом через Microsoft Entra ID (бывший Azure AD), Okta или Google Workspace.
| Политика компании | Что делать |
|---|---|
| Passkeys разрешены | Создайте passkey на рабочем аккаунте, не смешивайте с личным iCloud |
| Только аппаратный ключ | Используйте YubiKey, выданный IT, или купленный по списку моделей |
| Passkeys запрещены | Оставьте пароль + TOTP по корпоративным правилам |
| BYOD (личный телефон) | Уточните, не получит ли IT доступ к личным passkeys при MDM-профиле |
MDM (Mobile Device Management) — корпоративное управление телефоном. При установке рабочего профиля passkeys рабочего аккаунта могут храниться отдельно от личных — зависит от настроек.
Подробнее про рабочую безопасность — Цифровая безопасность.
Будущее passkeys
Тренды на 2025–2026 год:
- Passkeys по умолчанию — Google и Apple предлагают создать passkey при регистрации на новых сайтах;
- Cross-platform sync — Bitwarden, 1Password, Dashlane конкурируют с iCloud / Google за хранение ключей;
- Passkeys для приложений — не только сайты, но и нативные apps (банки, госуслуги);
- Удаление паролей — Google Account позволяет жить только на passkeys для продвинутых пользователей;
- Regulation — регуляторы (в т.ч. в ЕС) подталкивают банки к сильной аутентификации; FIDO2 подходит под требования SCA (Strong Customer Authentication).
Пароли полностью не исчезнут ещё долго: старые системы, embedded-устройства, корпоративные VPN. Стратегия — passkeys на новых сервисах, менеджер паролей + TOTP на остальных.
Глоссарий
| Термин | Объяснение |
|---|---|
| WebAuthn | Web Authentication — стандарт W3C для входа через браузер без пароля |
| FIDO2 | Вторая версия стандарта FIDO Alliance; включает WebAuthn и CTAP (протокол для USB/NFC-ключей) |
| CTAP | Client to Authenticator Protocol — как браузер общается с USB-ключом или телефоном |
| Authenticator | Устройство, хранящее ключ: телефон, YubiKey, Windows Hello |
| Relying Party | Сайт или сервис, в который вы входите (Google, GitHub, банк) |
| Challenge | Случайное число от сайта, которое устройство подписывает для доказательства владения ключом |
| Credential | Сохранённая пара ключей для конкретного сайта |
| Cross-device | Вход на ноутбуке с passkey, хранящимся на телефоне (через QR и Bluetooth) |
| Platform authenticator | Встроенный в устройство (Face ID, Windows Hello) |
| Roaming authenticator | Переносной USB/NFC-ключ (YubiKey) |
Термины аутентификации подробнее — Аутентификация и авторизация.
Чек-лист настройки passkeys
- Обновлены ОС и браузер
- Блокировка экрана и биометрия / PIN на телефоне
- Passkey создан на Google / Apple / Microsoft account
- Passkey добавлен на 2–3 важных сервиса (почта, банк, GitHub)
- Второй passkey на другом устройстве или аппаратный ключ
- Резервные коды 2FA сохранены
- Старые сайты — менеджер паролей + TOTP
- Семья знает, где лежат резервные коды (сейф, не в открытом доступе)
Куда дальше
- Цифровая безопасность для пользователя — фишинг, 2FA, менеджер паролей
- Как устроены пароли — хеши, соль, утечки
- Аутентификация и авторизация — кто вы и что вам разрешено
- Шифрование и SSH — криптография с открытым ключом
- Интернет и сетевые сервисы — браузер и HTTPS
- Облако и бэкап — резервные копии кодов и данных