Я Максим, веб-разработчик. Пароли — слабое место почти любого сайта: их крадут, подбирают, переиспользуют, теряют. Passkeys (ключи доступа) убирают пароль как таковой: человек входит по отпечатку, лицу или PIN устройства, а сайт не хранит никакого секрета, который можно украсть. Технология уже поддерживается основными браузерами и устройствами. Разбираю, как работают passkeys, кому они реально нужны и что учесть при внедрении.

Что такое passkey простыми словами

Passkey работает на криптографии с открытым ключом. При регистрации устройство создаёт пару ключей: закрытый остаётся на устройстве в защищённом хранилище, открытый отдаётся сайту. При входе сайт присылает запрос, устройство подписывает его закрытым ключом, подтвердив операцию биометрией или PIN. Пароль никуда не передаётся и нигде не хранится. Воровать на стороне сайта нечего.

Чем это лучше паролей

  • нечего украсть с сервера: утечка базы не отдаёт пароли, потому что их там нет;
  • устойчивость к фишингу: passkey привязан к конкретному сайту и на поддельном не сработает;
  • нечего подобрать: перебор и словарные атаки не применимы;
  • удобство: вход по лицу или отпечатку быстрее ввода пароля;
  • passkeys синхронизируются между устройствами пользователя через его экосистему — связки ключей Apple, менеджер Google.

Кому это реально нужно

Passkeys оправданы там, где есть аккаунты и важна безопасность входа:

  • личные кабинеты с чувствительными данными;
  • сервисы, SaaS, подписки;
  • интернет-магазины с сохранёнными данными и историей заказов;
  • любой сайт, где утечка паролей или взлом аккаунта становится проблемой.

На сайте без авторизации passkeys не нужны — там просто нет входа.

Как внедрять, не ломая привычное

Главное правило — добавлять новое поверх привычного, не выкидывая всё разом:

  • passkeys строятся на стандарте WebAuthn (он же FIDO2) — именно его реализуют на сайте;
  • предложите passkey как дополнительный способ входа рядом с существующим;
  • дайте человеку зарегистрировать passkey в личном кабинете;
  • оставьте запасной путь на случай, если устройство недоступно: вход другим способом, восстановление;
  • не заставляйте всех переходить мгновенно — пусть привыкают.

Что учесть

Честные нюансы:

  • синхронизация passkeys между устройствами зависит от экосистемы пользователя (Apple, Google), и здесь бывают тонкости;
  • нужен запасной механизм входа и восстановления доступа — без него человек рискует заблокировать сам себя;
  • для бизнес-аккаунтов продумайте, что делать при смене или утере устройства сотрудником;
  • поддержка в браузерах широкая, включая Chromium и Яндекс Браузер, но проверьте свою аудиторию.

Passkeys и закон о данных

Побочный плюс для российского сайта: меньше паролей — меньше чувствительных данных, которые надо защищать и которые могут утечь. Это снижает поверхность риска под оборотные штрафы за утечки. Биометрия при этом остаётся на устройстве пользователя: сайт её не получает и не хранит, он работает только с открытым ключом.

Чек-лист

  1. Оцените, есть ли на сайте авторизация и насколько критична безопасность входа.
  2. Реализуйте passkeys на стандарте WebAuthn (FIDO2).
  3. Добавьте passkey как дополнительный способ входа, не убирая старый сразу.
  4. Дайте регистрацию passkey в личном кабинете.
  5. Обеспечьте запасной вход и восстановление доступа.
  6. Продумайте сценарий смены и утери устройства.
  7. Проверьте поддержку под вашу аудиторию браузеров.

Мой совет

Passkeys — зрелая технология, которая решает корень проблемы с паролями: убирает сам секрет, который воруют и подбирают. Для сайтов с личными кабинетами и чувствительными данными это и безопаснее, и удобнее для пользователя. Внедрять стоит мягко — рядом с привычным входом и с запасным путём восстановления. Хотите добавить беспарольный вход на сайт с личными кабинетами — пишите, реализую на WebAuthn.