Национальный центр кибербезопасности Великобритании (NCSC), входящий в состав разведслужбы GCHQ, объявил об отказе от пароля как рекомендуемого способа входа в онлайн-сервисы. На конференции CYBERUK 2026 в Глазго агентство опубликовало технический отчёт, в котором ключи доступа (passkeys) названы основной альтернативой паролю. По данным Google, в Великобритании более половины активных пользователей сервисов компании уже зарегистрировали хотя бы один ключ доступа — этот показатель стал одним из аргументов в пользу пересмотра рекомендаций.
Что объявил NCSC на CYBERUK 2026
В сопроводительной технической работе агентство сравнило ключи доступа с классической связкой из надёжного пароля и двухэтапной проверки входа (2SV). Вывод: ключи доступа не уступают лучшей реализации пароля + 2SV, а по устойчивости к фишингу и атакам с перехватом учётных данных превосходят её. Агентство указывает, что большинство инцидентов с компрометацией аккаунтов начинается именно со кражи логина и пароля, поэтому отказ от пароля снижает поверхность атаки для фишинга и повторного использования утёкших учёток.
Ключ доступа (passkey) — это пара криптографических ключей, которая создаётся на устройстве при регистрации в сервисе. Закрытый ключ хранится локально и никогда не покидает устройство, открытый передаётся на сервер. При входе устройство подписывает запрос сервера закрытым ключом, а подтверждение личности владельца происходит привычным способом разблокировки — отпечатком пальца, распознаванием лица или PIN-кодом.
Год назад NCSC не стал рекомендовать ключи доступа массовому пользователю из-за претензий к зрелости экосистемы: разнобой в названиях, пробелы в поддержке со стороны отдельных операционных систем и браузеров, ограниченная совместимость между менеджерами учётных данных. К весне 2026 года эти пробелы сократились настолько, что агентство изменило позицию. В блоге NCSC отдельно оговаривается, что переход будет отражён в обновляемом руководстве поэтапно, а не одномоментно.
Аргументы агентства в пользу ключей доступа
В отчёте NCSC приводит четыре довода. Первый — скорость: по оценке ведомства, вход по ключу доступа занимает до восьми раз меньше времени, чем ввод логина и пароля с последующим ожиданием кода из SMS. Второй — устойчивость к фишингу: закрытый ключ не покидает устройство, поэтому украсть или перехватить его через поддельную страницу входа практически невозможно. Третий — финансовый: сервисы, которые откажутся от SMS-подтверждений в пользу ключей доступа, сэкономят на оплате сообщений операторам связи. Британское правительство ранее объявляло, что перевод собственных цифровых сервисов на ключи доступа может экономить несколько миллионов фунтов в год. Четвёртый довод — отсутствие необходимости помнить пароль: за хранение закрытого ключа и его синхронизацию между устройствами отвечает менеджер учётных данных (операционная система или стороннее приложение).
В отчёте прямо говорится: все традиционные методы двухфакторной проверки — пароль + SMS, одноразовые коды из приложения-аутентификатора, push-подтверждения, аппаратные одноразовые токены — принципиально уязвимы перед фишингом, потому что передаваемый секрет можно подсмотреть и переиспользовать в реальном времени. Учётные данные по стандарту FIDO2, к которым относятся ключи доступа, привязаны к конкретному сайту криптографически, поэтому массово перехватывать их в ходе фишинговой кампании не получается.
FIDO2 — открытый стандарт аутентификации, разработанный альянсом FIDO Alliance и консорциумом W3C. Ключи доступа представляют собой частный случай учётных данных FIDO2, рассчитанный на массовое использование: они синхронизируются между устройствами пользователя через облачные службы операционных систем или сторонние менеджеры.
Где уже работают ключи доступа
Среди крупных площадок NCSC называет Google, eBay и PayPal. Microsoft сделала ключи доступа методом входа по умолчанию для новых учётных записей ещё в 2025 году: при регистрации пользователю сразу предлагают настроить ключ, push-подтверждение или аппаратный ключ безопасности вроде YubiKey, а не пароль. Apple реализовала технологию в iOS 16 в 2022 году и назвала её «ключом входа»; ключи доступа Apple синхронизируются между устройствами владельца через Связку ключей iCloud.
Поддержка ключей доступа реализована в Windows, macOS, ChromeOS, Android, iOS и ряде дистрибутивов Linux, а также в браузерах Chrome, Firefox, Edge и Safari. В Chrome и Safari с 2025 года доступна автоматическая замена сохранённого пароля на ключ доступа при первом входе на сайт, если сервис начал поддерживать passkey-аутентификацию.
Вход по ключу доступа работает и в Яндекс ID. В разделе «Способ входа» на странице управления аккаунтом есть пункт «Вход по лицу или отпечатку», который создаёт ключ доступа на смартфоне или компьютере. После настройки вход в сервисы Яндекса проходит без пароля и без SMS-кода, подтверждение выполняется биометрией или PIN-кодом устройства.
Терминология: passkey, ключ доступа, ключ входа
В FIDO Alliance не закрепили канонический перевод слова passkey на другие языки, поэтому крупные компании выбирали термин самостоятельно. В русскоязычных интерфейсах Google и Microsoft закрепилось «ключ доступа», Apple называет ту же технологию «ключом входа». В Яндекс ID функция выведена под нейтральным названием «Вход по лицу или отпечатку», хотя технически это тот же passkey. Такая разноголосица не уникальна для русского — то же наблюдается во французских, испанских и португальских локализациях сервисов.
Короткая история: 65 лет паролю
Компьютерный пароль как способ разграничить доступ пользователей к одной машине появился в начале 1960-х годов в Массачусетском технологическом институте. Его автором принято считать Фернандо Корбато, руководителя проекта Compatible Time-Sharing System (CTSS) — одной из первых систем, которая позволила нескольким исследователям одновременно работать за терминалами, подключёнными к одному большому компьютеру. До CTSS программисты запускали задачи по очереди, передавая оператору стопки перфокарт. Первая публичная демонстрация CTSS прошла в 1961 году. Пароль был не чертежом будущей системы безопасности, а рабочим компромиссом: несколько исследователей делили одну машину и одно дисковое хранилище, и нужен был самый простой способ отделить чужие файлы от своих. Сам Корбато позднее называл повсеместное распространение паролей «кошмаром».
Первая зафиксированная кража паролей на компьютере случилась уже в 1960-е годы. Аспирант MIT Аллан Шерр, недовольный лимитом в четыре часа машинного времени в неделю, воспользовался тем, что на CTSS любой файл можно было отправить на печать по запросу. Шерр распечатал мастер-файл с паролями всех пользователей и раздал копии знакомым — чтобы след от его действий размазался по нескольким учёткам. Хеширование паролей вместо хранения в открытом виде появилось только в 1970-е годы в Unix благодаря Роберту Моррису из Bell Labs — и тот же алгоритмический подход с хешем и «солью» лежит в основе современных менеджеров паролей.
Что делать, если сайт не поддерживает ключи доступа
Массовое распространение технологии ещё впереди: многие популярные сайты и приложения поддержки ключей доступа пока не добавили. Рекомендация NCSC для таких случаев прежняя: использовать менеджер паролей для генерации и хранения длинных уникальных паролей и обязательно включать двухэтапную проверку входа. Главный смысл уникальных паролей в том, что при утечке одной базы учётные данные не открывают доступ к другим сервисам.
Отдельная оговорка NCSC касается бизнеса. Рекомендация по умолчанию относится к потребительским сервисам: компаниям, у которых в инфраструктуре есть унаследованные системы без поддержки ключей доступа или 2SV, переход займёт больше времени, и универсального совета агентство пока не даёт.
Заключение
Решение NCSC — первый случай, когда крупное государственное ведомство открыто говорит о необходимости отказаться от пароля там, где есть альтернатива. Для обычного пользователя это повод проверить настройки безопасности в Google, Apple ID, Microsoft, Яндекс ID и включить ключ доступа хотя бы в одном из сервисов, где он уже поддерживается. Для сайтов и приложений без поддержки passkey-аутентификации базовая связка «менеджер паролей + 2SV» по-прежнему остаётся разумным минимумом.