Passkey, або ключ доступу, — це спосіб входу без звичайного пароля. Замість спільного секрету, який ви вводите на сайті, використовується криптографічна пара ключів. Закрита частина залишається у вашому пристрої або захищеному менеджері облікових даних, а сервіс зберігає відкриту частину. Вхід підтверджується розблокуванням пристрою: PIN-кодом, відбитком або розпізнаванням обличчя.
Чому пароль вразливіший
Пароль можна повторно використати, вгадати, викрасти з бази або виманити на підробленому сайті. Навіть складний пароль не допоможе, якщо користувач введе його у фішингову форму, яка виглядає як справжня.
Passkey прив’язаний до конкретного сайту або застосунку. Браузер і операційна система перевіряють адресу сервісу, тому ключ не спрацює на іншому домені. Google та Apple описують це як захист від фішингу: користувача не можна переконати «ввести» passkey на шахрайському сайті так само, як пароль.
Як відбувається реєстрація
- Сайт пропонує створити ключ доступу.
- Пристрій створює унікальну криптографічну пару.
- Відкритий ключ передається сервісу.
- Закритий ключ залишається у захищеному сховищі.
- Під час наступного входу сервіс надсилає криптографічний виклик.
- Ви підтверджуєте дію розблокуванням пристрою, а закритий ключ підписує відповідь.
Відбиток або обличчя не передаються сайту. Біометрія лише допомагає локально розблокувати ключ. Залежно від пристрою замість неї можна використовувати PIN чи графічний ключ.
Де зберігається passkey
Ключ може зберігатися на одному апаратному ключі безпеки або синхронізуватися через менеджер облікових даних екосистеми. Наприклад, Apple описує синхронізацію passkeys через iCloud Keychain з наскрізним шифруванням. Google Password Manager може робити ключі доступними на підтримуваних пристроях користувача.
Це зручно, але створює практичне питання: як ви відновите доступ, якщо втратите всі пристрої. Перед переходом перевірте recovery email, номер телефону, резервні коди й можливість додати passkey на другому пристрої.
Чи бачить сайт вашу біометрію
Ні, у стандартному процесі сайт отримує підтвердження криптографічної операції, а не фотографію обличчя чи шаблон відбитка. Перевірка користувача відбувається на пристрої. Це схоже на те, як розблокування банківського застосунку відбитком не означає передачу відбитка банку.
Що робити при втраті телефона
Не чекайте на втрату пристрою, щоб з’ясувати процес відновлення.
- додайте другий надійний пристрій або апаратний ключ, якщо сервіс дозволяє;
- перевірте актуальність recovery email і номера;
- збережіть резервні коди офлайн;
- захистіть обліковий запис менеджера паролів сильною автентифікацією;
- увімкніть дистанційне блокування або стирання телефона;
- не видаляйте останній звичний спосіб входу, поки не перевірите passkey на іншому пристрої.
Деякі сервіси залишають пароль як резервний спосіб. Це зручно для відновлення, але загальна безпека тоді частково залежить від захисту старого пароля та recovery-процесу.
Вхід на чужому комп’ютері
Підтримуваний сервіс може дозволити підтвердити вхід через ваш телефон, часто після сканування QR-коду та перевірки близькості пристроїв. Закритий ключ при цьому не копіюється на чужий комп’ютер. Завершивши роботу, все одно вийдіть з акаунта й не погоджуйтеся зберігати локальні дані у публічному браузері.
Чи працює passkey між Apple, Android і Windows
Стандарт створений для роботи між платформами, але зручність перенесення залежить від версій системи, браузера та менеджера облікових даних. Синхронізація всередині однієї екосистеми зазвичай найпростіша. Перед повним переходом перевірте сценарій входу на всіх пристроях, якими ви реально користуєтеся.
Не вважайте, що ключ автоматично з’явиться всюди. Іноді потрібно підтвердити вхід через телефон, імпортувати облікові дані підтримуваним способом або створити додатковий passkey.
Passkey чи двофакторна автентифікація
Passkey може одночасно підтверджувати володіння ключем і локальну перевірку користувача, тому деякі сервіси не просять окремий SMS-код. Але реалізація залежить від сервісу. Не вимикайте додатковий захист лише тому, що побачили слово passkey: прочитайте пояснення конкретного сайту та переконайтеся, що recovery-канали теж захищені.
SMS-коди залишаються кращими за один слабкий пароль, але мають власні ризики. Для важливих акаунтів надавайте перевагу passkey, застосунку-автентифікатору або апаратному ключу, якщо сервіс це підтримує.
Безпечний порядок переходу
- Почніть із важливого акаунта, який має зрозумілий recovery-процес.
- Оновіть операційну систему та браузер.
- Створіть passkey на особистому пристрої.
- Вийдіть і перевірте повторний вхід.
- Перевірте вхід на другому пристрої.
- Додайте резервний спосіб відновлення.
- Перегляньте список активних сеансів і старих пристроїв.
Висновок
Passkey прибирає головну слабкість пароля: секрет, який користувач може повторно використати або віддати фішинговому сайту. Але він не скасовує потребу захищати пристрій і процес відновлення. Найкраща стратегія — переходити поступово, мати другий спосіб доступу й перевірити реальний сценарій втрати телефона до того, як він знадобиться.
Читайте також: Як розпізнати AI-фішинг і клонування голосу.

Долучайтеся до розмови
Пишіть по суті й поважайте інших читачів. Перший коментар може з’явитися після перевірки редакцією.