Passkeys: Почему Крупные Сервисы Всё Ещё Отказываются От Золотого Стандарта Защиты Аккаунтов

Ключевые выводы

• Passkeys — это аутентификация, генерируемая устройством и привязанная к сайту, что делает её гораздо надёжнее паролей.
• Несмотря на поддержку Apple, Google и Microsoft, почти 25 % популярных сервисов (например, Instagram***, Netflix, Spotify) всё ещё не предлагают passkeys.
• Инициатива whynopasskeys.com призвана «публично позорить» компании, отказывающиеся внедрять эту технологию, и уже заставила некоторых изменить политику.

Мы живём в эпоху, когда кража паролей стала обыденностью. Passkeys дают шанс избавиться от этой проблемы буквально «одним нажатием». Если ваш любимый сервис ещё не поддерживает их, стоит обратить на это внимание.

Что такое passkeys и почему они лучше паролей?

Passkeys — это криптографический набор, который генерируется на устройстве пользователя (смартфоне, ноутбуке) и привязывается к конкретному сайту. В отличие от обычных паролей, он хранится в безопасной «секретной зоне» аппарата и может использовать биометрию (Face ID, Touch ID) или физический USB‑ключ.

Главные преимущества:

• Нет необходимости запоминать сложные строки.
• Невозможность фишинга — злоумышленник не может «выудить» passkey через поддельный сайт.
• Кратность использования: один passkey работает только с тем сервисом, для которого создан.

Эти свойства делают passkeys золотым стандартом защиты от хакеров, особенно в мобильных сценариях, где устройство обычно находится у владельца.

Кто уже использует passkeys?

Тройка технологических гигантов — Apple, Google и Microsoft — встроила поддержку passkeys в свои экосистемы. Пользователи iOS могут сохранять их в «Ключах» (iCloud Keychain), Android — в «Google Password Manager», а Windows — в «Microsoft Authenticator».

Эти компании активно продвигают технологию, публикуя руководства для разработчиков и предлагая готовые SDK. Как результат, тысячи приложений уже позволяют входить без пароля.

Почему же такие популярные сервисы отказываются?

Согласно данным сайта whynopasskeys.com, около 25 % крупнейших онлайн‑сервисов всё ещё не дают возможности использовать passkeys. Среди них Instagram***, Netflix и Spotify.

Причины обычно следующие:

• Техническая сложность интеграции — требуется изменение бэкенда и поддержка WebAuthn.
• Боязнь потерять контроль над пользовательским опытом — некоторые бренды считают биометрию «неочевидной» для части аудитории.
• Отсутствие давления со стороны регуляторов — пока нет обязательных требований к внедрению password‑less аутентификации.

Если же сервис уже поддерживает passkeys в отдельных случаях (например, Instagram*** позволяет их только при привязке к Facebook**‑аккаунту), это указывает на частичную, но ещё не полную готовность.

Как работает проект whynopasskeys.com?

Инициатор проекта — Скотт Хелм (Scott Helme), известный исследователь в сфере веб‑безопасности. Он создал сайт, который публикует список компаний, не поддерживающих passkeys, с целью «публичного позора».

Подход прост: вывести компанию в открытый список, и она захочет исчезнуть оттуда, чтобы не потерять репутацию. По словам Хелма, «Никто не хочет увидеть своё имя в списке».

Сайт автоматически собирает информацию о поддержке WebAuthn и обновляет её, поэтому список остаётся актуальным.

Что делать пользователям сейчас?

Если ваш любимый сервис не поддерживает passkeys, есть несколько обходных вариантов:

• Включите двухфакторную аутентификацию (2FA) через приложение‑генератор (Google Authenticator, Authy).
• Используйте менеджер паролей, который предлагает генерацию уникальных сложных паролей.
• Следите за обновлениями сервиса — часто поддержка появляется в новых версиях приложений.

И помните: даже если passkeys недоступны, сильный пароль + 2FA всё равно лучше, чем только пароль.

Будущее без паролей

Эксперты предсказывают, что к 2025 году более 70 % публичных веб‑приложений будут предлагать password‑less вход. Это связано с ростом кибератак, где фишинг паролей занимает большую часть нагрузки на службы безопасности.

Ожидается, что регуляторы (например, GDPR‑партнёры в ЕС) начнут требовать более строгие меры аутентификации, что ускорит внедрение passkeys.

Справка

Passkeys — криптографический набор, реализованный через протокол WebAuthn, позволяющий входить без пароля.

Apple — компания, основанная Стивом Джобсом, Стивом Возняком и Роном Уэйном в 1976 году; в 2017 году представила «Ключи iCloud», поддерживающие passkeys.

Google — основан в 1998 году Ларри Пейджем и Сергеем Брином; с 2021 года интегрирует WebAuthn в Chrome и Android.

Microsoft — корпорация, основанная в 1975 году Биллом Гейтсом и Полом Алленом; в 2022 году запустила «Passwordless» в Azure AD.

Instagram*** — социальная сеть для обмена фото, запущена в 2010 году; часть Meta*, пока полностью не поддерживает passkeys, но позволяет их через Facebook**‑аккаунт.

Netflix — стриминговый сервис, основанный в 1997 году; известен своей рекомендационной системой, но пока не реализовал passkeys.

Spotify — музыкальный сервис, основанный в 2006 году; предлагает широкий каталог, но также отстаёт в поддержке password‑less входа.

Если вы цените своё время и безопасность, следите за тем, какие сервисы уже используют passkeys. Чем быстрее они станут мейнстримом, тем меньше будет места для привычных паролей и фишинговых атак.