Все больше и больше новостей выходит про Passkey. Microsoft, Google и Apple уже делают этот метод аутентификации по умолчанию. Давайте разберёмся как работает Passkey и какой у него недостаток, а так же как его решить.
Оглавление
Введение
Passkey — это современная технология аутентификации, которая заменяет пароли на более безопасный и удобный способ входа. Вместо запоминания сложных комбинаций символов система использует криптографические ключи и биометрию.
Основные принципы работы Passkey
Асимметричное шифрование
Каждый Passkey состоит из двух частей:
- Закрытый ключ (private key) – хранится только на вашем устройстве (телефон, компьютер).
- Открытый ключ (public key) – передаётся серверу (например, Google, Apple, банковскому сайту).
Как происходит вход?
- Вы пытаетесь войти на сайт/в приложение.
- Сервер отправляет запрос на аутентификацию.
- Ваше устройство (с закрытым ключом) подписывает запрос и подтверждает вход.
- Сервер проверяет подпись с помощью открытого ключа и разрешает доступ.
Безопасность и удобство
- Не требует пароля – вход через Face ID, Touch ID, PIN или менеджер паролей.
- Защита от фишинга – ключи привязаны к домену сайта, мошенники не могут их украсть.
В 2025 году Microsoft окончательно закрепила переход на «Ключи доступа» (Passkey), сделав их основным методом аутентификации для новых учетных записей. Теперь при регистрации пользователям больше не предлагают создать пароль — вместо этого система сразу предлагает настроить Passkey, вход по push-уведомлениям или с помощью аппаратного ключа безопасности (например YubiKey). Это решение — часть глобальной стратегии Microsoft по отказу от уязвимых паролей в пользу более безопасных и удобных технологий.
Apple активно продвигает Passkey как основной способ аутентификации, интегрируя его во все свои устройства. Начиная с iOS 18 и macOS 15, пользователям при регистрации в сервисах Apple (iCloud, App Store) больше не предлагают создать пароль — вместо этого система автоматически генерирует Passkey, привязанный к Face ID, Touch ID или PIN-коду.
Google объявил, что с 2025 года все новые аккаунты будут создаваться без пароля, используя только Passkey. Технология уже работает в Gmail, YouTube и Google Drive, позволяя входить с помощью отпечатка пальца, Face ID или PIN-кода на Android и iOS.
Passkey — это будущее аутентификации хотите вы этого или нет: быстро, безопасно и без паролей. Технология уже работает в основных экосистемах (Apple, Google, Microsoft), и скоро её поддержат все остальные сервисы.
Не все сервисы работают с этой технологией. Проверьте список поддерживаемых сайтов:
- passkeys.directory — каталог сервисов с Passkey.
- Если сайт не поддерживает Passkey, используйте пароль + 2FA.
Ну и конечно Synology поддерживает Passkey ключ безопасности как первый фактор аутенфикации так и второй.
Главный и большой недостаток Passkey
Одним из главных недостатков Passkey, на мой взгляд, является способ его хранения и передачи на другое устройство. Как вы понимаете Passkey хранится на устройстве, на котором он был создан. В современном мире у вас несколько устройств, пара ПК, телефон, планшет и т.д. Для синхронизации Passkey между устройствами используются облачные хранилища и это главный минус.
Где хранится закрытый ключ?
Закрытый ключ (private key) в Passkey хранится в защищённом хранилище:
- На устройствах Apple (iPhone, Mac, iPad) – в iCloud Keychain (сквозное шифрование).
- На Android и ChromeOS – в Google Password Manager (синхронизация через аккаунт Google).
- В Windows (через Microsoft) – в Microsoft Account (через Windows Hello или Authenticator).
Как синхронизируются Passkey между устройствами?
Apple (iOS/macOS)
- Passkey сохраняются в iCloud Keychain и автоматически доступны на всех устройствах с одним Apple ID.
- Требуется двухфакторная аутентификация для защиты.
- Если устройство не Apple (например, Windows), можно войти через QR-код с iPhone, но на момент написания статьи протестировать такой способ не получилось (используется как физический ключ).
Android/Google
- Passkey синхронизируются через Google Password Manager.
- Доступны на Android-устройствах и в браузере Chrome (на Windows/Mac/Linux).
- Можно использовать телефон для входа на другие устройства (например, ПК через Bluetooth).
Windows (Microsoft)
- Passkey хранятся в учётной записи Microsoft и работают через Windows Hello (Face ID, отпечаток, PIN).
- Частично поддерживается синхронизация с Android/iOS через приложение Microsoft Authenticator.
Централизованное хранение Passkey в облаке (iCloud, Google, Microsoft) создаёт риски потери доступа. Это главный уязвимый момент технологии, о котором редко говорят. Разберём конкретные сценарии и решения:
🔥 Критические риски облачного хранения Passkey 🔥
1. Блокировка аккаунта провайдером
- Санкционные отключения (Apple ID/Google/Microsoft могут заблокировать аккаунт для определённых стран)
- Автоматические блокировки (например, если алгоритмы сочтут ваши действия “подозрительными”)
- Юридические требования (правительства могут обязать компании ограничить доступ)
2. Технические сбои облака
- Ошибки синхронизации (например, если iCloud “забудет” ваши ключи после обновления)
- Хакерские атаки на инфраструктуру провайдера
3. Потеря доступа к экосистеме
- Удаление аккаунта Google/Apple = мгновенная потеря всех Passkey
- Смена платформы (переход с iPhone на Android может создать проблемы с переносом ключей)
4. Отсутствие кроссплатформенности
- Если у вас устройства разных экосистем, то синхронизация ключей Passkey между ними это непреодалимая проблема на данный момент
- Отсутствие кроссплатформенности у Google, Apple и Microsoft. Когда у вас одна экосистема, например Apple, то вроде как такой проблемы нет. Хотя есть, вы сильно привязаны к этой экосистеме, то вам очень трудно или не возможно из нее выйти, если вы захотите. Я считаю это очень большой проблемой и никогда не храню пароли в менеджерах паролей от Google, Apple и Microsoft. Решением этой проблемы является менеджеры паролей или аппаратные ключи. Про эти методы ниже.
Хранение паролей и Passkey в экосистемах Apple (iCloud Keychain), Google (Google Password Manager) и Microsoft (Microsoft Authenticator) может быть удобным, но имеет серьёзные недостатки по сравнению с независимыми менеджерами паролей (Bitwarden, Enpass) или аппаратными ключами. Браузерные пароли это как оставлять ключи от дома под ковриком. Переход на менеджер + аппаратные ключи снижает риски на 90%. Начните с Bitwarden — это займёт 10 минут, но спасёт от взлома.
| Метод хранения | Риск кражи | Шифрование | Защита от фишинга |
|---|---|---|---|
| Браузер (Chrome/Safari) | ⚠️ Высокий | ❌ Без E2EE | ❌ Нет |
| Bitwarden/Enpass | ✅ Низкий | ✅ AES-256 + E2EE | ✅ Да (автозаполнение только на доверенных сайтах) |
| Аппаратный ключ (YubiKey) | ✅ Минимальный | ✅ FIDO2/U2F | ✅ Максимальная |
Как пользоваться Passkey безопасно
Менеджеры паролей (Bitwarden, Enpass) решают ключевые проблемы с Passkey, делая технологию более универсальной и защищённой. Менеджеры паролей хранят базу паролей у себя локально или в базе, не передают ее сторонним облачным системам или могут синхронизировать базу через облачные системы, в том числе вашу собственную на базе Synology. Это делает технологию Passkey по настоящему безопасной и удобной. Потому что база паролей зашифрована и никто не может ее расшифровать да же если она храниться в iCloud или Google Disk.
Поскольку менеджер паролей (Enpass, Bitwarden) синхронизирует или хранит ваши хранилища в вашем собственном надежном облачном хранилище, ваши ключи защищены не только шифрованием хранилища и вашим мастер-паролем, но и дополнительной безопасностью ваших облачных учетных записей.
Выбирайте такой менеджер паролей, который хранит базу паролей в вашем собственном облачном хранилище.
Давайте продемонстрирую работу менеджеров паролей с Passkey на примере Enpass на MacOS и Bitwarden на Windows. Естественно, что эти менеджеры паролей кроссплатформенные и можно комбинировать ОС. Для демонстрации я буду использовать сайт webauthn.io, который специально создан для тестирования Passkey.
Вот пример с Enpass. Сначала я регистрируюсь, а потом прохожу аутентификацию.
Вот пример с Bitwarden. Сначала я регистрируюсь, а потом прохожу аутентификацию.
В любом случаи успешная аутентификация была как в Enapss так и в Bitwarden используя вход без пароля по технологии Passkey
В самих менеджерах паролей Passkey выглядит так
Про менеджеры паролей я делал отдельные материалы. Enpass, которым пользуюсь купить сейчас тяжело из-за санкций. Его плюсом является то, что он может синхронизировать через разные облачные системы свою базу паролей, в том числе через Synology с WebDAV. Я покупал LifiTime лицензию еще до 2022 года, поэтому пользуюсь Enpass.
Если бы сейчас у меня не было купленной лицензии Enpass, то я бы точно использовал Bitwarden или Vaultwarden. Последний является форком первого и оба бесплатны. Устанавливаются в контейнер Docker на Synology ну или где угодно. Vaultwarden для меня выглядит предпочтительнее, т.к. он легче, функциональнее в бесплатной форме и проще обновляется в Docker для неподготовленного пользователя.
Минус у менеджера паролей то же есть. Например если попробовать зайти на чужом ПК, временно, на котором нет менеджера паролей или вообще вашего закрытого ключа Passkey, то тут наступают проблемы и как их решить без пароля прям не представляю. Возможно по этой причине в ближайшее время пароли не будут запрещены. Хотя такую ситуацию легко решает аппаратный ключ. Нужно войти на чужом устройстве, вставил ключ и вошел. Аппаратный ключ самое безопасное и без отказное средство не подверженное никаким санкциям.
Для решения это проблемы сайты должны поддерживать вход по QR-коду через FIDO Cross-Device Authentication. Правда и менеджеры паролей в этом слкучаи должны поддерживать такой способ. На данный момент я не нашел информации по данной теме в интернете и как показано на картинке выше протестировать не удалось.
Что делать если не хочу Passkey
Если вы не хотите использовать Passkey и в то же время использовать современный безопасный вход без пароля, то можно воспользоваться оффлайн вариантом (аппаратные ключи). Например, такими ключами являются YubiKey, Titan Security Key – ключи хранятся на физическом устройстве (USB/NFC). Такой способ менее удобный, у меня как раз такой вариант, но зато подходят для максимальной безопасности (нет риска утечки в облаке).
Я пользуюсь YubiKey уже пару лет и не испытываю каких либо проблем. Немного неудобно, если вам на телефоне или ПК нужно зайти в учетку, например Google, нужно идти брать ключи, на которых висит аппаратный ключ. В остальном все супер.
Подведем итог
Passkey это революция в безопасности и будущее, а возможно скоро пароли будут запрещены. В то же время Passkey обладает недостатком синхронизации закрытого ключа между устройствами. Это решают менеджеры паролей, т.к. во-первых кроссплатформенные, а во вторых не зависят от сторонних облачных систем и не подвержены блокировкам. Если хочется прям совсем надежности и безопасности, то использовать аппаратный ключ. Комбинируйте эти инструменты, чтобы оставаться защищённым в любом сценарии.
Мне как пользователю Passkey как нравится так и не нравится. С одной стороны удобно и безопасно, с другой стороны это явная попытка привязать вас к сторонним облачным системам. Благо есть менеджеры паролей, которые пока еще могут решить базовые недостатки Passkey, хотя и сами имеют некоторые особенности и проблемы.
