Passkeys заменят SMS-коды: как новая технология меняет безопасность онлайн
Рост популярности passkeys, более устойчивых к фишингу методов аутентификации, наблюдается среди крупных технологических компаний, внедряющих их вместо уязвимых одноразовых кодов. Их применение сокращает время входа в систему и снижает нагрузку на службы поддержки, однако остаются вызовы при масштабировании и переходе между разными экосистемами.
По данным The Register, большинство современных сервисов, включая банки, системы здравоохранения и почтовые платформы, уже не полагаются исключительно на пароли. Вместо этого они используют многофакторную аутентификацию (МФА), которая требует от пользователя предоставить два или три доказательства своей идентичности. Однако не все методы МФА одинаково надёжны. Особенно уязвимы одноразовые пароли (OTP), которые отправляются по SMS или электронной почте.
Уязвимости традиционной МФА
Согласно данным Microsoft, идентификация остаётся основным вектором атак. В ходе атак типа фишинга злоумышленники могут не только украсть логин и пароль, но и перехватить OTP. Такие инциденты уже фиксировались в университетских системах, где злоумышленники обманом заставили пользователей ввести одноразовые коды. Это подчёркивает необходимость перехода к более надёжным методам аутентификации.
Рост популярности passkeys
Среди наиболее перспективных решений — passkeys, которые считаются устойчивыми к фишингу. В отличие от традиционных OTP, они основаны на криптографических ключевых парах. Публичный ключ хранится на сервере, а приватный — на устройстве пользователя. Такой подход исключает необходимость передачи секретной информации, что делает атаки типа фишинга невозможными.
Поддержка от ключевых игроков
Amazon, Google, Microsoft, Apple, PayPal и WhatsApp уже внедрили passkeys в своих системах. По оценке FIDO Alliance, к настоящему времени количество используемых passkeys превышает 2 млрд. Это указывает на ускоренное принятие технологии, особенно среди крупных технологических компаний.
Анализ, проведённый Liminal, показал, что 63% IT-специалистов рассматривают passkeys как приоритетное направление развития аутентификации в 2026 году. Среди тех, кто уже внедрил passkeys, 85% отметили высокий уровень удовлетворённости. По данным исследования, время входа в систему с passkeys сократилось на 73% — в среднем до 8,5 секунд, что в несколько раз быстрее, чем при использовании SMS-кодов или электронной почты.
Снижение нагрузки на службы поддержки
Ранние пользователи passkeys сообщили, что количество обращений в службу поддержки по вопросам входа сократилось на 81%. Это связано с тем, что passkeys минимизируют необходимость сброса паролей и перенастройки OTP. Кроме того, они уменьшают риски, связанные с фишингом и мошенничеством через SMS.
Несмотря на рост популярности, у passkeys остаются ограничения. Например, ключи, привязанные к определённой операционной системе (iOS, Android), требуют дополнительных инструментов для перехода в другую экосистему. Также остаётся проблема баланса между безопасностью и удобством, особенно при работе с внешними клиентами.
По мнению экспертов, при внедрении passkeys в корпоративных системах приоритет отдаётся безопасности, а при работе с клиентами — удобству. Такой подход требует тщательного анализа и адаптации под конкретные сценарии использования.
Интересно: Какие компромиссы между безопасностью и удобством могут потребоваться при переходе на passkeys, и как они повлияют на пользовательский опыт в разных секторах бизнеса?
Переход от кодов к ключам: как меняется логика безопасности в цифровом мире
Современные системы безопасности всё чаще отказываются от традиционных методов аутентификации, таких как SMS-коды или электронные пароли. Вместо этого они переходят на более надёжные схемы, основанные на криптографии. Один из таких примеров — passkeys, которые уже используются в крупных корпорациях и становятся частью повседневной цифровой жизни. По данным FIDO Alliance, к настоящему времени количество используемых passkeys превышает 2 млрд, что указывает на ускоренное принятие технологии, особенно среди крупных технологических компаний [!].
Когда безопасность становится удобной
Passkeys — это не просто улучшенная версия одноразовых кодов. Это радикальное изменение подхода к идентификации. В отличие от OTP, которые передают секретную информацию, passkeys используют криптографические ключевые пары: публичный ключ хранится у провайдера, а приватный — у пользователя. Это делает систему устойчивой к фишингу, поскольку злоумышленник не может украсть секрет, не имея физического доступа к устройству.
Ключевая особенность passkeys — их способность минимизировать человеческий фактор. Вместо того чтобы вводить код, пользователь просто подтверждает действие на своём устройстве, например, с помощью отпечатка пальца или Face ID. Это не только ускоряет процесс входа, но и снижает вероятность ошибок. По данным Liminal, время входа в систему с passkeys сократилось на 73% — в среднем до 8,5 секунд, что в несколько раз быстрее, чем при использовании SMS-кодов или электронной почты.
Кто выигрывает, а кто теряет
Переход на passkeys выгоден крупным технологическим компаниям, таким как Apple, Google и Microsoft. Они не только устанавливают стандарты безопасности, но и упрощают опыт взаимодействия с пользователем. Это особенно важно для сервисов, где скорость и надёжность критичны — например, в банковской сфере или в системах здравоохранения. Например, Microsoft инвестирует $5 млрд в компанию Anthropic, предоставляя ей $30 млрд на закупку облачных услуг Azure. В рамках сотрудничества клиенты Microsoft получат доступ к ИИ-ассистенту Claude, а Anthropic будет использовать чипы и модели NVIDIA [!].
Однако малые и средние игроки могут столкнуться с проблемами. Многие из них используют устаревшие системы аутентификации, и переход на passkeys потребует значительных инвестиций в инфраструктуру. Кроме того, passkeys, привязанные к определённым операционным системам, могут создать барьеры для межплатформенной совместимости. Это особенно чувствительно в российском бизнесе, где часто используется смешанная техническая экосистема.
Скрытые компромиссы и системные риски
Одной из ключевых сложностей при внедрении passkeys остаётся баланс между безопасностью и удобством. В корпоративной среде приоритет отдаётся максимальной защите, что может привести к увеличению времени входа и сложностям при использовании несколькими сотрудниками одного устройства. В клиентских системах, наоборот, важнее скорость и простота, что требует иных подходов к настройке.
Ещё один важный момент — масштабирование. Хотя passkeys уже используются более чем 2 млрд человек, их применение в масштабах, например, государственных систем, может столкнуться с техническими и юридическими ограничениями. Например, в России, где значительная часть сервисов находится под государственным контролем, внедрение новых технологий требует согласования с несколькими регуляторами.
Важный нюанс: Переход на passkeys — это не просто обновление интерфейса, а сдвиг в парадигме безопасности. Он меняет не только то, как мы защищаем данные, но и то, как мы думаем о взаимодействии с цифровым миром.
Что дальше?
С ростом популярности passkeys можно ожидать снижения числа атак через фишинг и уменьшения нагрузки на службы поддержки. В то же время, технология будет вынуждать бизнес пересмотреть подходы к управлению доступом и взаимодействию с клиентами. Ранние пользователи passkeys сообщили, что количество обращений в службу поддержки по вопросам входа сократилось на 81% [!].
Для российского рынка особенно важно учитывать экосистемные зависимости. Если большинство passkeys привязаны к решениям Apple и Google, то локальные разработчики могут столкнуться с проблемой контроля над данными и зависимостью от внешней инфраструктуры. Это требует продуманной стратегии адаптации и, возможно, развития альтернативных решений.
Важный нюанс: Успех passkeys зависит не только от их технической реализации, но и от того, как они интегрируются в существующие бизнес-процессы. Без гибкости и адаптивности даже самые продвинутые технологии могут стать препятствием, а не решением.
Угрозы и вызовы в эпоху ИИ
Параллельно с переходом на более надёжные методы аутентификации, бизнес сталкивается с новыми вызовами, связанными с развитием искусственного интеллекта. Например, исследователи из DEXAI и европейских университетов обнаружили, что стихотворные запросы снижают эффективность защитных функций крупных языковых моделей, обходя фильтры в 65% случаев. Особенно высокую уязвимость показали модели, связанные с вредоносным манипулированием, где успех атаки составил 24%, в то время как модель Claude от Anthropic оказалась наиболее устойчивой, с показателем 5,24% [!].
Это подчёркивает, что даже при переходе на более надёжные схемы аутентификации, бизнесу нужно учитывать новые векторы атак, связанные с генеративными ИИ-моделями. Например, мошенники активно используют ИИ для создания фейковых интернет-магазинов, дипфейковых видео и фишинговых атак в соцсетях и мессенджерах. Организованные группы быстро разрабатывают поддельные сайты и рекламные кампании, что затрудняет их своевременное выявление и блокировку [!].
Роль платежных систем в обеспечении безопасности
В условиях роста киберугроз становится особенно важным использование надёжных платежных систем. Например, PayPal рекомендуется как платежный метод, позволяющий минимизировать риски мошенничества в интернете. Сервис предоставляет возможность возврата средств, что делает его более надёжным по сравнению с другими способами оплаты. Эксперты советуют использовать такие платёжные системы при покупках в неизвестных интернет-магазинах, чтобы снизить вероятность потери денег или утечки личных данных [!].
Однако стоит отметить, что в 2025 году на форуме, посвящённом утечкам данных, появилось объявление о продаже базы, якобы содержащей 15,8 млн учётных записей PayPal. Компания опровергла информацию об утечке, заявив, что речь идёт о старом инциденте 2022 года, связанном с атакой Credential Stuffing. Специалисты по кибербезопасности сомневаются в аутентичности данных, отмечая малый размер предоставленного фрагмента базы и подозрительно низкую цену за весь архив [!].
Заключение
Переход от традиционных методов аутентификации к более надёжным схемам, таким как passkeys, — это не только шаг в сторону повышения безопасности, но и стратегическое решение, которое влияет на пользовательский опыт, инфраструктуру и бизнес-процессы. В условиях роста киберугроз и активного использования ИИ в атаках, бизнесу необходимо не только внедрять новые технологии, но и пересматривать подходы к защите данных и управления доступом. Без гибкости и адаптивности даже самые продвинутые решения могут стать препятствием.
Источник: The Register
