Большинство пользователей по-прежнему входят в свои онлайн-аккаунты с помощью паролей. Хотя есть и исключения — например, использование аппаратных ключей, ключей доступа (passkey) и других продвинутых способов аутентификации — большинство по-прежнему сильно зависит от паролей.
И в этом, по мнению Google, кроется проблема. Компания опубликовала на своем официальном сайте «The Keyword» статью, в которой рассказывает о преимуществах отказа от паролей.
Google подкрепляет свои слова статистикой: 50% пользователей используют одни и те же пароли для разных аккаунтов, что повышает риск успешных атак. Кроме того, еще 50% пользователей записывают свои пароли или запоминают их.
Компания особо отмечает поколение Z, которое «обходит устаревшие методы безопасности вроде паролей» и чаще использует более современные средства аутентификации.
Так, представители поколения Z на 31% чаще используют passkey и на 32% чаще ежедневно применяют авторизацию через соцсети. Также Google указывает, что 60% зумеров проводят за телефоном не менее пяти часов в день.
Очевидно, что именно активное использование смартфонов и снижение роли компьютеров способствуют этим изменениям. Например, вход через соцсети позволяет быстро авторизоваться на сайтах с помощью уже существующего аккаунта, такого как Google или Meta.
Частично эта тенденция объясняется смещением пользовательских привычек в сторону мобильных устройств. Для многих удобство и скорость важнее всего.
Google рекомендует passkey и вход через соцсети
Google рекомендует переходить на ключи доступа и вход через соцсети. Очевидно, что компания сама выигрывает от использования входа через аккаунты Google — ведь она один из крупнейших поставщиков таких услуг.
Создавая аккаунт на поддерживаемом сервисе, пользователь может сразу воспользоваться учетной записью Google, Meta, Microsoft и других компаний, без необходимости придумывать новый пароль или вводить повторно e-mail и другие данные.
Вход через соцсети — это удобно, как единый ключ ко многим дверям. Но при утере или компрометации такого ключа последствия могут быть серьезными.
Кроме того, у пользователей вызывает обеспокоенность тот факт, что такие технологические гиганты, как Google или Meta, получают еще больше информации об их действиях в Интернете.
В отличие от этого, passkey представляют собой ключи безопасности, которые частично хранятся на устройствах пользователя. Это исключает классические атаки на пароли, такие как фишинг, поскольку при входе не нужно вводить пароль.
Согласно данным IBM, средняя стоимость утечки из-за фишинга — 4,8 миллиона долларов. Причем фишинговые атаки, основанные на ИИ, становятся все более изощренными и масштабируемыми.
Говоря простыми терминами: passkey создается на устройстве пользователя. Секретная часть остается на устройстве (или синхронизируется с другими его устройствами), а онлайн-сервис получает лишь часть, необходимую для подтверждения подлинности.
При входе пользователь подтверждает свою личность с помощью биометрии или PIN-кода устройства. Пароль при этом нигде не вводится и не передается.
Однако Google умалчивает о том, что passkey пока поддерживаются далеко не везде. Хотя, как сообщает FIDO Alliance в мае 2025 года, осведомленность и использование растут год от года, до полного вытеснения паролей ещё далеко.
Передача ключей доступа между устройствами пока тоже не очень удобна. Хотя, например, в Google Password Manager синхронизация уже поддерживается, многие другие менеджеры либо не умеют этого, либо имеют ограниченный функционал.
Ситуация будет улучшаться, но пока passkey работают только в ограниченных средах.
Аппаратные ключи безопасности (security keys) в статье Google почти не упоминаются. Это USB-устройства, которые обеспечивают повышенную безопасность и мобильность, но стоят денег и часто имеют ограничения по количеству хранимых ключей. Например, ключ безопасности Google Titan поддерживает работу с passkey, но способен хранить лишь до 250 ключей. Для обычного пользователя этого может хватить, но для продвинутых — уже нет.
Google также напоминает, что пользователи паролей могут повысить безопасность с помощью двухфакторной аутентификации (2FA). В идеале — через приложение-аутентификатор, а не по SMS или e-mail.
SMS и электронная почта считаются небезопасными, так как коды передаются в открытом виде, и их несложно перехватить.
Менеджеры паролей, такие как решение с открытым исходным кодом Bitwarden, значительно повышают безопасность: они создают надежные уникальные пароли в один клик, безопасно их хранят и синхронизируют между устройствами.
Будущее без паролей
Google продвигает passkey и вход через соцсети как альтернативу небезопасным паролям — ведь 50% пользователей продолжают их повторно использовать, что приводит к краже личных данных и другим проблемам. Поколение Z уже лидирует по использованию passkey (31%), но ограниченная поддержка со стороны приложений и вопросы конфиденциальности при входе через соцсети говорят о наличии компромиссов. Обычным пользователям стоит использовать бесплатные 2FA-приложения вроде Authy или попробовать использовать ключи доступа в сервисах вроде PayPal. Но для настоящей замены паролей нужно более широкое распространение и простая синхронизация.
Угрозы безопасности
• Google настоятельно рекомендует отказаться от паролей
• Trend Micro устранила критические уязвимости в Apex Central и Endpoint Encryption
• Mozilla запускает новую систему для обнаружения расширений в Firefox, ворующих криптовалюту
• Qualcomm устранила три эксплуатируемые уязвимости нулевого дня в Adreno GPU
• Утечка данных: в сеть слиты данные 184 миллионов аккаунтов, включая пароли от Google, PayPal и Netflix
• Вредоносные расширения для Chrome крадут данные, маскируясь под Fortinet, YouTube, ИИ-помощники и VPN