Passkeys and Modern Authentication
Passkeys и современная аутентификация
Armin Ronacher, 2 сентября 2025
Индустрия стремится отказаться от паролей в пользу passkeys (WebAuthn). Это в целом полезно для обычных пользователей, но стандарт содержит подводные камни.
Аттестации
Аттестация позволяет сайту узнать, какое именно устройство используется: аппаратный ключ или программный менеджер. Австрийское правительство, например, запрещает вход в налоговую и медицинские сервисы без аппаратного токена из «белого списка». Apple и Google не передают аттестацию в своих потребительских решениях, но делают это для корпоративных MDM. Такой механизм уже используется для ограничения выбора устройств.
Блокировка в экосистеме
Нет способа экспортировать приватные ключи между менеджерами паролей. Приходится регистрировать каждое устройство заново. Попытка открытого менеджера добавить экспорт была признана небезопасной. Уходя из экосистемы Apple, я обнаружил, что десятки сервисов привязаны к iCloud-passkey; без подписки на iCloud переход на Android затруднён. Платные решения вроде 1Password доступны не всем.
Скрытая регистрация
Passkeys часто создаются автоматически. Amazon после каждого входа тихо предлагает добавить passkey, показывая лишь запрос отпечатка. Пользователи даже не замечают, что «подписались». Если у вас устройства разных платформ, вы можете оказаться привязаны сразу к нескольким экосистемам, что затруднит полный переход.
Корпорации как хранители
Люди ежедневно теряют доступ к Google-аккаунтам без объяснений и вместе с ними — ко всем связанным сервисам. Апелляций нет. Попытка восстановить доступ к аккаунту умершего ребёнка в Facebook превратилась в бюрократический кошмар. Чем сложнее система, тем труднее семьям получить доступ при утрате или смерти. Даже вход со стороннего устройства стал мучением: приходится прыгать между приложениями и потоками.
Сложность и посредники
Любительские эксперименты «с нуля» всё труднее: OAuth вытеснил простые логины-пароли, а теперь на смену приходят passkeys.