Мир цифровой идентификации стоит на пороге самого значительного изменения за последние десятилетия. Более 80% успешных кибератак по-прежнему начинаются с компрометации учётных данных, а средний пользователь сегодня управляет более чем 300 учётными записями. Пароли — устаревший, неудобный и, честно говоря, опасный механизм — постепенно уступают место технологии Passkeys. Но действительно ли мы готовы попрощаться с паролями навсегда? Давайте разбираться.
Что такое Passkeys: новый взгляд на аутентификацию
Passkeys (в русскоязычной среде их иногда называют «ключами пропуска» или «беспарольными ключами») — это криптографические учётные данные, построенные на открытых стандартах FIDO2 и WebAuthn. В отличие от паролей, которые пользователь должен запомнить и ввести, Passkeys используют асимметричную криптографию: закрытый ключ навсегда остаётся на устройстве пользователя, а открытый ключ передаётся на сервер приложения. Вход выполняется с помощью биометрии (Face ID, Touch ID, отпечаток пальца), PIN-кода устройства или аппаратного ключа безопасности (например, YubiKey или Рутокен MFA).
Технология Passkeys — это не очередной виток маркетинга, а закономерный результат многолетней эволюции стандартов FIDO. Первые протоколы (UAF и U2F) появились ещё в 2014 году, а в 2018 году на их основе возник полноценный стандарт FIDO2, объединивший спецификации WebAuthn (браузерный API для работы с аутентификацией) и CTAP (протокол взаимодействия клиентского устройства с внешними аппаратными аутентификаторами).
Как это работает: от криптографии до нажатия пальцем
В основе Passkeys лежит асимметричная криптография с открытым и закрытым ключом. Этот принцип схож с почтовым ящиком: любой может опустить письмо (аналогия с открытым ключом), но только владелец ключа от ящика (аналогия с закрытым ключом) способен его открыть и прочитать содержимое.
Регистрация нового Passkey выглядит так:
- Пользователь инициирует создание Passkey на сайте или в приложении.
- Сервер (Relying Party) генерирует уникальный криптографический вызов (challenge).
- Браузер через API
navigator.credentials.create()передаёт этот вызов аутентификатору устройства. - Аутентификатор (встроенный чип TPM/Secure Enclave либо внешний токен) генерирует уникальную пару ключей именно для этого домена.
- Закрытый ключ надёжно запирается в аппаратном хранилище устройства и никогда его не покидает; открытый ключ вместе с метаданными отправляется на сервер.
Процесс аутентификации выглядит ещё проще:
- Пользователь нажимает «Войти с помощью Passkey».
- Сервер отправляет устройству новый криптографический вызов.
- Устройство запрашивает подтверждение личности пользователя — по лицу, отпечатку пальца или PIN-коду.
- Аутентификатор подписывает вызов закрытым ключом, не раскрывая сам ключ.
- Сервер проверяет подпись с помощью хранящегося у него открытого ключа. Подпись верна — доступ предоставлен.
Вся эта магия возможна благодаря слаженной работе спецификаций: WebAuthn (API уровня приложения) обеспечивает взаимодействие между веб-приложением, браузером и аутентификатором, а CTAP2 (Client to Authenticator Protocol) используется для общения с внешними аппаратными токенами через USB, NFC или Bluetooth.
Код, который меняет реальность: примеры реализации
Разработчикам, желающим внедрить поддержку Passkeys, не нужно изобретать велосипед — современные браузеры уже предоставляют все необходимые API. Вот базовый сценарий регистрации нового Passkey с использованием WebAuthn на JavaScript:
// Регистрация нового Passkey (WebAuthn)
async function registerPasskey() {
// 1. Получаем challenge и параметры с бэкенда
const optionsResponse = await fetch('/api/passkey/register-options');
const options = await optionsResponse.json();
// 2. Создаём учётные данные через браузерное API
const credential = await navigator.credentials.create({
publicKey: {
challenge: Uint8Array.from(options.challenge, c => c.charCodeAt(0)),
rp: { name: 'Мой Сервис', id: 'example.com' },
user: {
id: Uint8Array.from(options.userId, c => c.charCodeAt(0)),
name: options.email,
displayName: options.name
},
pubKeyCredParams: [
{ type: 'public-key', alg: -7 }, // ES256
{ type: 'public-key', alg: -257 } // RS256
],
authenticatorSelection: {
residentKey: 'required',
userVerification: 'required'
},
timeout: 60000,
attestation: 'none'
}
});
// 3. Отправляем открытый ключ на сервер для сохранения
await fetch('/api/passkey/register-verify', {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({
id: credential.id,
rawId: btoa(String.fromCharCode(...new Uint8Array(credential.rawId))),
response: {
clientDataJSON: btoa(String.fromCharCode(...new Uint8Array(credential.response.clientDataJSON))),
attestationObject: btoa(String.fromCharCode(...new Uint8Array(credential.response.attestationObject)))
}
})
});
}Для упрощения разработки существуют готовые библиотеки, например SimpleWebAuthn, которые берут на себя рутинные операции по сериализации, десериализации и валидации данных.
Пароль против Passkey: почему старый подход проигрывает
Сравнение паролей и Passkeys — это не сопоставление равных технологий, а скорее эволюционный скачок от каменного века к цифровой эре.
| Критерий | Пароли | Passkeys |
| Тип фактора | Знание (knowledge factor) | Владение + неотъемлемость (possession + inherence) |
| Фишинг | Уязвимы, пользователя легко обмануть | Устойчивы — ключ привязан к домену |
| Утечка базы | Критична, хеши можно взломать | Некритична — открытый ключ бесполезен для атак |
| Повторное использование | Распространённая проблема | Каждый Passkey уникален для конкретного сервиса |
| Пользовательский опыт | Сложные правила, необходимость запоминать | Мгновенный вход по биометрии |
| Скорость входа | Может занимать до 30+ секунд | В среднем 8.5 секунды (−73%) |
Вдумайтесь в цифры: пароль плюс SMS-код обеспечивают лишь 13.8% успешных попыток входа, тогда как Passkeys демонстрируют впечатляющие 98% успеха. Кроме того, Passkeys сокращают время аутентификации на 73% по сравнению с традиционными методами — с 31.2 до 8.5 секунд. Британский Национальный центр кибербезопасности (NCSC) в апреле 2026 года официально заявил, что Passkeys «как минимум так же безопасны, а обычно более безопасны», чем комбинация пароля и двухфакторной верификации, и рекомендовал их в качестве стандарта по умолчанию.
Мир переходит на Passkeys: цифры и факты
2025–2026 годы стали переломными для массового внедрения Passkeys. Ключевые показатели говорят сами за себя:
- Количество ежемесячных Passkey-аутентификаций превысило 1.3 миллиона, увеличившись вдвое за один год.
- 40% пользователей менеджера паролей Dashlane уже хранят минимум один Passkey — годом ранее таких было лишь 20%.
- По данным FIDO Alliance, в среднем 93% учётных записей на поддерживающих платформах уже имеют возможность использования Passkeys; 36% аккаунтов содержат зарегистрированный Passkey; 26% всех входов осуществляются именно через Passkeys.
- Внедрение Passkeys снижает число обращений в службу поддержки, связанных со входом, на 81%.
Лидируют по внедрению крупнейшие технологические компании: Google, сделавший Passkeys опцией по умолчанию для личных аккаунтов, зафиксировал рост аутентификаций на 352% за год. Amazon, который первым среди гигантов электронной коммерции включил Passkeys в качестве стандартного метода входа в мобильном приложении, сегодня генерирует почти 40% всех Passkey-аутентификаций в мире. Криптовалютная биржа Gemini пошла ещё дальше: с мая 2025 года она требует обязательного создания Passkey для всех пользователей, что привело к росту аутентификаций на 269%.
Среди B2B-сегмента заметен впечатляющий прогресс: HubSpot, внедривший Passkeys в декабре 2024 года, увеличил успешность входов на 25% и сократил время логина в 4 раза по сравнению с паролями.
Passkeys в России: первые шаги большой технологии
Российский рынок, традиционно осторожный в вопросах внедрения новых технологий аутентификации, тем не менее демонстрирует заметный интерес к Passkeys. По данным опроса «Лаборатории Касперского», более трети российских пользователей выразили готовность полностью отказаться от паролей в пользу альтернативных способов авторизации. Среди сервисов, уже поддерживающих технологию, можно отметить Яндекс, VK, экосистему МТС, Сбер и портал mos.ru.
Однако говорить о массовом внедрении пока рано. По оценкам специалистов компании «Аванпост», лишь около 10% корпоративных информационных систем в России поддерживают современные механизмы аутентификации. Компания «Актив», ставшая пионером внедрения Passkeys на российском рынке, отмечает, что, хотя технология перспективна, требуется учитывать множество платформенно-зависимых нюансов.
Для российских компаний, рассматривающих переход на Passkeys, важно понимать: стандарт FIDO2 открыт, и при должной компетенции можно построить полностью импортонезависимое решение, не требующее облачных сервисов Google или Apple.
Обратная сторона медали: ограничения и вызовы
Несмотря на очевидные преимущества, Passkeys — не «серебряная пуля». Среди главных ограничений эксперты выделяют:
- Аппаратные требования. Для работы Passkeys необходимы модули безопасности — TPM, Secure Enclave или Trusted Execution Environment. Устаревшие устройства (например, Android версии ниже 9.0 или iOS ниже 16.0) не поддерживают Passkeys.
- Совместимость между платформами. Бесшовная синхронизация Passkeys между устройствами разных экосистем — например, с iOS на Windows — до сих пор может вызывать затруднения.
- Восстановление доступа. Потеря устройства, на котором хранился Passkey, без настроенной облачной синхронизации может привести к необратимой утрате доступа к учётной записи. Механизмы восстановления всё ещё остаются предметом дискуссий разработчиков.
- Сопротивление пользователей. Далеко не все готовы отказаться от привычных паролей в пользу биометрии, опасаясь за конфиденциальность и сохранность своих биометрических данных.
Внедрение с умом: пошаговая стратегия перехода
Успешное внедрение Passkeys — это не технический вопрос, а организационный и UX-вызов. Рекомендуемая пошаговая стратегия включает четыре фазы:
Фаза 1 — Предложение как опции. Добавьте Passkeys в существующий интерфейс входа наравне с паролем. Пользователи должны иметь возможность выбора.
Фаза 2 — Стимулирование принятия. Разместите заметные, но ненавязчивые подсказки: «Защитите свой аккаунт — попробуйте вход по лицу». UX-триггеры, такие как автоматическое предложение создать Passkey после успешного входа по паролю, способны повысить конверсию на 102%, как показал опыт eBay.
Фаза 3 — Стандартный метод для новых пользователей. Сделайте Passkeys вариантом по умолчанию при регистрации. Именно такой подход привёл Google к взрывному росту аутентификаций на 352%.
Фаза 4 — Отказ от паролей. После достижения критической массы пользователей с Passkey можно начинать поэтапный отказ от парольной аутентификации для существующих учётных записей.
Для корпоративного сектора эксперты рекомендуют создать кросс-функциональную команду, включающую ИТ-специалистов, службу безопасности, бизнес-владельцев, HR и службу поддержки.
Будущее уже наступило: прогнозы на 2026–2030 годы
Рынок беспарольной аутентификации растёт взрывными темпами. По данным Straits Research, к концу 2025 года его глобальный объём достиг почти $22 млрд, а к 2033 году прогнозируется практически четырёхкратный рост.
Ключевые тренды ближайших лет:
- Консолидация поддержки Passkeys как обязательного стандарта безопасности на уровне крупнейших платформ. Парольная аутентификация будет всё чаще восприниматься как «красный флаг» уязвимости.
- Распространение синхронизируемых Passkeys через менеджеры паролей (1Password, Bitwarden и другие), что сделает технологию по-настоящему кроссплатформенной.
- Рост нормативных требований. Ужесточение регуляторики в области защиты персональных данных будет дополнительно стимулировать бизнес к отказу от паролей.
Прощание с эпохой паролей
Passkeys — это фундаментальный сдвиг в том, как мы доказываем свою цифровую идентичность. Отказ от концепции «общего секрета» (shared secret) в пользу криптографического доказательства владения ключом закрывает целые классы атак — от фишинга до утечек баз данных.
Конечно, переход займёт время — годы, а возможно, и десятилетие. Но направление движения уже необратимо. Как точно заметили в британском NCSC: «Головные боли, которые десятилетиями вызывали пароли, больше не должны быть частью процесса входа».
