Технология ключей доступа (passkeys) должна была покончить с паролями: она объединяет криптографическую пару ключей с локальной биометрией - отпечатком пальца или сканом лица - и исключает передачу секрета на сервер. Когда всё работает, вход в аккаунт занимает секунды. Но на практике большинство пользователей по-прежнему открывают менеджер паролей и вводят привычную комбинацию символов. Проблема не в самой технологии - в том, как индустрия подошла к её внедрению: без объяснений, без обязательности и с реальными сбоями в повседневных сценариях.
Большинство пользователей не понимают, что такое ключ доступа
Ключи доступа появились без предупреждения. Пользователи просто однажды увидели новую кнопку на странице входа - и в большинстве случаев нажали «Пропустить». Те, кто всё же пошёл дальше, оказывались без какого-либо внятного объяснения. Даже автор этого материала, профессионально пишущий об интернет-безопасности, не смог понять из подсказок на сайтах, что такое ключ доступа и как он работает. Ни один крупный сайт не объяснил технологию простым языком - пользователей просто проводили по шагам мастера настройки, и в итоге они оказывались привязаны к методу аутентификации, о котором почти ничего не знают.
Сайты не решились сделать ключи доступа обязательными
Когда платформы внедряли двухфакторную аутентификацию или ужесточали требования к паролям, они не спрашивали разрешения. С ключами доступа всё иначе: везде это лишь дополнительная опция. Причина - в реальной уязвимости технологии. Ключ доступа привязан к конкретному физическому устройству, на котором хранится приватный ключ шифрования. Потеря или поломка устройства без резервной копии в облаке означает полную потерю доступа к аккаунту. Можно хранить ключи на нескольких устройствах, но резервная система всё равно нужна.
Здесь возникает и более фундаментальный вопрос: если традиционный пароль остаётся как запасной вариант, действительно ли ключи доступа делают систему безопаснее? Вектор атаки через пароль никуда не исчезает. Единственное реальное преимущество - чуть меньше трения при входе. Но если пользователь и без того авторизует автозаполнение пароля через биометрию, практическая разница невелика.
Опыт использования ключей доступа в реальной жизни
На практике ключи доступа нередко создают больше неудобств, чем простой ввод кода из менеджера паролей. Сканирование QR-кода для входа через ключ, хранящийся на iPhone, работает слишком медленно. Хуже того - успешное прохождение всей процедуры не гарантирует результата: некоторые сайты сообщают о непригодности ключа только в самом конце и вынуждают возвращаться к паролю с двухфакторной аутентификацией.
Именно из-за этого автор материала создал ключи доступа на нескольких устройствах - ключ на том же устройстве, с которого выполняется вход, работает заметно надёжнее, чем синхронизированный через облако или считываемый через QR-код с iPhone. При этом хранить ключи доступа на множестве устройств некомфортно - это создаёт новую точку беспокойства вместо того, чтобы снять старую.
Предсказуемая причина провала - путь наименьшего сопротивления
Ключи доступа - шаг в верном направлении, но запуск вышел сырым. Когда пользователю дают выбор между чем-то новым и привычным, он выбирает привычное. Чтобы переломить эту инерцию, сайтам нужно активно продвигать новый метод входа, а индустрии - всерьёз заняться совместимостью и удобством ключей доступа. Пароли объективно слабы и уязвимы к длинному списку атак, но пока ключи доступа не стали понятнее и надёжнее, пользователи продолжат набирать пароли вручную.
Обновления программ, что нового
• One UI 9 Beta 3 для Samsung Galaxy S26: исправления камеры
• Samsung усилит защиту от фишинга в One UI 9 блокировкой запуска
• Samsung отключила Samsung Max для Android – приложение с функциями «Экономия трафика» и «Защита конфиденциальности»
• Яндекс Карты и Навигатор получили режим «По шагам» в Apple CarPlay и Android Auto
• Galaxy Book6 Edge стоит 2099 долларов с 16 ГБ оперативной памяти
• Apple выпустила вторые бета-версии iOS 26.6, iPadOS 26.6 и macOS Tahoe 26.6 для разработчиков