Пароли: как жить с ними сегодня и избавиться от них завтра

Каждый год нам обещают смерть паролей. Каждый год мы продолжаем вбивать в формочки «Qwerty123!» и страдать от очередного «пароль должен содержать: 12 знаков, заглавную букву, строчную букву, цифру, древний скандинавский рунный символ и эмодзи морковки».

Тем временем статистика остаётся унылой и однообразной. По данным отчёта Verizon Data Breach Investigations Report за 2025 год, скомпрометированные учётные данные стали причиной 22 % всех утечек — это больше, чем фишинг и даже эксплуатация уязвимостей в программном обеспечении. Из всех подтверждённых инцидентов, связанных с идентификацией пользователей, 73 % произошли именно из-за украденных или слабых паролей.

Но есть хорошая новость: мир действительно начал отходить от старой парадигмы «пароль всему голова». Американский Национальный институт стандартов и технологий (NIST) в июле 2025 года выпустил финальную версию стандарта SP 800-63-4, над которой работали почти четыре года. Документ честно признал две вещи, которые безопасники давно считали устаревшими: хватит мучить людей сложными правилами вида «минимум три типа символов» и хватит заставлять всех менять пароли каждые 90 дней «на всякий случай».

Вместо этого новый стандарт предлагает делать пароли длинными и проверять их на попадание в базы утечек, использовать менеджеры паролей, добавлять многофакторную аутентификацию и постепенно переходить в мир беспарольной аутентификации — FIDO2, WebAuthn, passkeys.

Крупнейшие игроки уже перешли от разговоров к делу. Google по умолчанию предлагает вход по passkey, Microsoft в мае 2025 года сделала passkeys способом входа по умолчанию для всех новых аккаунтов. Яндекс и Сбер раскатывают вход без пароля и ключи доступа; государственные сервисы параллельно развивают биометрию и «Госключ». По данным FIDO Alliance, более 15 миллиардов онлайн-аккаунтов теперь поддерживают passkeys — вдвое больше, чем год назад.

В этом посте — актуальное руководство о том, как жить с паролями сегодня и как от них постепенно избавляться. Без магии и истерики.

Как мы оказались в мире миллиардов паролей

История паролей — это история компромиссов между удобством и безопасностью. Понимание того, как мы пришли к нынешнему положению дел, помогает осознать, почему старые подходы перестали работать и почему индустрия ищет принципиально новые решения.

Когда пароли были нормой

Первые компьютерные пароли появились в мире мейнфреймов и университетских Unix-систем в 1960-х годах. Пользователей было мало, машины — большие, сеть — доверенная. В таком мире связка «логин плюс пароль» была дешёвым и достаточным решением. Системный администратор знал всех пользователей в лицо, а попытка подобрать чужой пароль требовала физического доступа к терминалу.

Потом случился веб: сайты, форумы, интернет-магазины, онлайн-банки. И внезапно у каждого человека оказались десятки, а то и сотни аккаунтов. При этом голова осталась одна, и она физически не способна помнить надёжные уникальные комбинации для каждого сервиса.

Ответ человеческого мозга был предсказуем: «Окей, сделаем один-два пароля и будем использовать их везде. Что может пойти не так?» Исследование Cybernews, проанализировавшее более 19 миллиардов паролей из утечек между апрелем 2024 и апрелем 2025 года, показало, что 94 % паролей переиспользуются или дублируются на разных аккаунтах.

Жёсткая парольная дисциплина начала 2000-х

Специалисты по безопасности посмотрели на происходящее и решили, что раз люди — слабое звено, их нужно дрессировать. Так появились классические корпоративные политики, знакомые каждому офисному работнику: минимум 8 символов, обязательно цифры, верхний и нижний регистр, спецсимволы, принудительная смена каждые 60–90 дней и запрет на повторение старых паролей.

Идея казалась логичной: если заставить пользователя страдать, он придумает что-то очень безопасное. Реальность оказалась иной. Люди начали создавать предсказуемые паттерны: «Лето2023!» превращался в «Лето2024!», затем в «Leto2024!», а потом пароль просто оказывался на стикере, приклеенном к монитору. По данным NordPass за 2024 год, 40 % самых популярных паролей у корпоративных пользователей совпадают с паролями обычных людей. Пятый год подряд «123456» остаётся самым распространённым паролем и в личных, и в рабочих аккаунтах.

Взрыв утечек и credential stuffing

Параллельно с ростом интернета начали «взрываться» базы данных. Форумы, интернет-магазины, почтовые сервисы, социальные сети — миллиарды комбинаций «логин плюс пароль» оказались в открытом виде или в слабом хеше, который легко взломать.

В июле 2024 года произошла крупнейшая компиляция паролей в истории: злоумышленник под ником ObamaCare выложил файл RockYou2024, содержащий почти 10 миллиардов уникальных паролей в открытом виде — 9 948 575 739 записей. Это обновлённая версия RockYou2021, которая выросла на 18 % за три года. База собиралась из почти 4000 различных утечек на протяжении более чем двух десятилетий.

В первой половине 2025 года, по данным Check Point, объём скомпрометированных учётных данных вырос на 160 % по сравнению с аналогичным периодом прошлого года. За шесть месяцев утекло 3,8 миллиарда учётных записей. Трой Хант, создатель сервиса Have I Been Pwned, в 2025 году добавил в базу почти 2 миллиарда уникальных email-адресов и 1,3 миллиарда паролей, 625 миллионов из которых никогда раньше не встречались.

Как только пароль утекает хотя бы на одном сайте, его начинают автоматически проверять на всех остальных — этот метод называется credential stuffing. Атаки такого типа имеют успешность от 0,2 % до 2 %, что звучит незначительно, но при переборе миллионов учётных записей превращается в тысячи взломанных аккаунтов. По данным Verizon, в 2024 году credential stuffing составлял 19 % от всех попыток аутентификации в системах с единым входом.

Если вы используете один и тот же пароль на почте, в банке и в любимом фитнес-приложении, вы становитесь идеальной мишенью. Утечка из забытого форума десятилетней давности может открыть злоумышленнику дверь к вашим финансам.

Ситуация в России

Россия не осталась в стороне от глобального тренда. По данным Роскомнадзора, в 2024 году было зафиксировано 135 случаев утечек баз данных, содержащих более 710 миллионов записей о гражданах. В феврале 2024 года произошла крупнейшая утечка данных россиян за всю историю — более 500 миллионов записей.

«Лаборатория Касперского» сообщает, что в первом квартале 2024 года в даркнете было обнаружено более 19 миллионов паролей российских пользователей — в шесть раз больше, чем за аналогичный период 2023 года. Более 87 % утёкших данных относятся к финансовым организациям: банкам, микрофинансовым организациям, страховым компаниям. Лидерами по количеству инцидентов стали интернет-магазины — 39 % от всех утечек.

Среди громких случаев — утечка из инфраструктуры KIA Россия и СНГ (172 тысячи email-адресов, 448 тысяч телефонных номеров, хешированные пароли) и публикация базы данных онлайн-казино 1Win объёмом 29 ГБ с именами, паролями и персональными данными клиентов.

Что говорит NIST сегодня: смена парадигмы

NIST — Национальный институт стандартов и технологий США — организация, чьи рекомендации де-факто определяют практики информационной безопасности по всему миру. Их документ SP 800-63 (Digital Identity Guidelines) — это референсный стандарт по цифровой идентификации и аутентификации. В июле 2025 года вышла финальная версия четвёртой редакции, которая зафиксировала радикальный сдвиг в философии работы с паролями.

Суть изменений можно описать одной фразой: перестаньте мучить пользователей — займитесь системой. Вместо того чтобы перекладывать ответственность за безопасность на человека, заставляя его запоминать сложные комбинации и менять их каждые три месяца, стандарт требует, чтобы сама система обеспечивала защиту.

Длина важнее «зоопарка символов»

Новые рекомендации NIST переворачивают привычную логику парольных политик. Раньше считалось: чем больше разных типов символов (цифры, заглавные, строчные, спецсимволы), тем надёжнее пароль. Исследования показали, что это не так. Люди создают предсказуемые паттерны: ставят заглавную букву в начало, цифры и восклицательный знак — в конец. Пароль «Password1!» формально соответствует всем требованиям, но взламывается за доли секунды.

Новый стандарт устанавливает следующие требования:

• пароль, придуманный пользователем, должен быть минимум 15 символов (увеличено с 8);
• система должна позволять длинные пароли — 64 символа и больше, включая пробелы и символы Unicode;
• принудительные «комбинации символов» (обязательно цифра, обязательно заглавная и тому подобное) больше не считаются хорошей практикой.

Логика проста: человеку значительно легче запомнить осмысленную длинную фразу вроде «мой рыжий кот не любит понедельники», чем бессмысленный набор «xK9#mLp2». При этом длинная фраза криптографически надёжнее короткого «сложного» пароля.

Конец эпохи принудительных смен

Это, пожалуй, самое значительное изменение в стандарте. В NIST SP 800-63-4 прямо сказано: сервисы не должны требовать от пользователей периодической смены паролей. Обязательная смена допускается только при подозрении на компрометацию — если произошла утечка, взлом или пользователь сам сообщил о подозрительной активности.

Почему так? Десятилетия наблюдений показали, что принудительная смена паролей приводит к обратному эффекту:

• люди придумывают шаблоны, меняя только год или последнюю цифру: «Qwerty2023!» превращается в «Qwerty2024!», затем в «Qwerty2024!1», потом в «Qwerty2025!» — и так по кругу; «Company@Summer23» становится «Company@Autumn23», затем «Company@Winter24»;
• записывают пароли на бумажках и в незащищённых заметках;
• массово переиспользуют вариации одного и того же пароля.

Формальные требования создавали иллюзию безопасности, а на практике стимулировали плохие привычки. Даже некоторые современные российские рекомендации по парольной политике продолжают по инерции советовать «регулярную смену каждые 90 дней», хотя это уже официально признано устаревшим подходом.

Умный бэкенд вместо мучений пользователя

Ключевая идея нового стандарта — перенос ответственности с пользователя на систему. Сервис должен активно защищать пользователя, а не просто устанавливать правила и надеяться на их соблюдение. Требования к системам включают несколько важных пунктов.

Во-первых, проверка паролей на утечки. Сервис обязан сверять вводимые пароли с базами известных утечек, словарями и списками популярных комбинаций вроде «123456», «qwerty» или «password». Такие пароли должны отклоняться с понятным объяснением причины.

Во-вторых, поддержка менеджеров паролей. Сервис должен разрешать вставку пароля из буфера обмена. Запрет на копирование и вставку — это атавизм, который мешает использовать надёжные инструменты.

В-третьих, отсутствие искусственных ограничений. Нельзя обрезать пароль по длине до 16 символов, запрещать пробелы или «нестандартные» символы. Если пользователь хочет использовать эмодзи или кириллицу — система должна это поддерживать.

В-четвёртых, рекомендация passkeys. NIST прямо говорит о том, что по возможности следует уходить от паролей к беспарольным методам аутентификации. Сопутствующий документ SP 800-63B рекомендует организациям внедрять биометрические методы и passkeys.

Как правильно обращаться с паролями сегодня

Теория — это хорошо, но что конкретно делать обычному человеку, который не планирует становиться экспертом по безопасности? Если отфильтровать весь технический шум, остаётся практичный набор действий, которые реально повышают защищённость без превращения жизни в паранойю.

Менеджер паролей: не рекомендация, а необходимость

В 2025 году пытаться «держать всё в голове» — это осознанно выбирать небезопасную жизнь. Человеческая память не предназначена для хранения десятков уникальных случайных строк. Попытка справиться без инструментов неизбежно приводит к одному из двух сценариев: либо переиспользование паролей, либо их упрощение до уровня, который взламывается за секунды.

Менеджер паролей решает эту проблему элегантно. Вы запоминаете одну вещь — мастер-пароль. Всё остальное делает программа: генерирует длинные случайные пароли для каждого сервиса, хранит их в зашифрованном виде, автоматически заполняет формы входа. Современные менеджеры синхронизируются между устройствами, проверяют ваши пароли на попадание в базы утечек и предупреждают о слабых или повторяющихся комбинациях.

При выборе менеджера обратите внимание на несколько критериев:

• кроссплатформенность — приложение должно работать на всех ваших устройствах: компьютер, телефон, планшет;
• поддержка автозаполнения — менеджер должен интегрироваться с браузерами и приложениями;
• аудит безопасности — проверка паролей на утечки и слабость;
• поддержка passkeys — многие менеджеры уже умеют хранить ключи доступа, и эта функция становится всё важнее.

Среди проверенных вариантов: Bitwarden (есть бесплатная версия с открытым исходным кодом, работает в России), KeePass и его производные (KeePassXC, Strongbox — полностью локальное хранение, без привязки к облаку), встроенные менеджеры экосистем Apple (iCloud Keychain) и Google. Для пользователей из России стоит учитывать, что некоторые западные сервисы вроде 1Password ограничили работу — не принимают оплату и не создают новые аккаунты. Главное — выбрать то, чему вы доверяете и чем будете реально пользоваться.

Каким должен быть пароль в 2025 году

Хотя NIST формально говорит про минимум 15 символов, на практике для важных аккаунтов (почта, банк, основной Apple/Google/Яндекс/Сбер-аккаунт) разумно ориентироваться на 16–20+ символов. Для менее критичных сервисов можно ограничиться рекомендованным минимумом.

Существуют две рабочие модели создания паролей, и они дополняют друг друга.

Парольная фраза подходит для того, что вам нужно реально запомнить: мастер-пароль менеджера, пароль от рабочего компьютера, PIN разблокировки устройства. Это осмысленная последовательность слов, которую легко запомнить, но сложно угадать или перебрать. Например: «рыжий_кот_прыгает_через_лужу_по_утрам» или «тридцать три коровы на зелёном лугу 42». Важно: фраза должна быть достаточно длинной и не представлять собой известную цитату или строчку из песни.

Полностью случайный пароль подходит для всего остального. Его генерирует менеджер — что-то вроде «T4p~yiekohJ8Z=nu0cAq». Вы не пытаетесь его запомнить, просто копируете из менеджера при необходимости.

Главный принцип остаётся неизменным: один пароль — только для одного сервиса. Никаких исключений. Если сервис кажется вам незначительным — это не повод использовать для него тот же пароль, что и для почты. Утечка происходит именно там, где её не ждут.

Как придумать надёжный пароль, который вы запомните

Даже если вы используете менеджер паролей, вам всё равно нужно запомнить хотя бы один пароль — мастер-пароль от самого менеджера. Возможно, ещё пароль от рабочего компьютера или PIN для входа в систему. Эти пароли нельзя хранить в менеджере — иначе получится замкнутый круг. Вот несколько проверенных техник создания запоминающихся, но надёжных паролей.

Метод случайных слов (Diceware). Возьмите четыре-шесть случайных, не связанных между собой слов. Не придумывайте их сами — мозг склонен выбирать предсказуемые комбинации. Используйте генератор случайных слов или, в классическом варианте, игральные кости и словарь. Результат: «кирпич облако вилка семнадцать закат». Такую фразу легко представить визуально (кирпич летит сквозь облако к вилке…) и поэтому легко запомнить. При этом для взлома перебором потребуются астрономические ресурсы.

Метод первых букв. Возьмите строчку из песни, стихотворения или личное воспоминание — но не слишком известное. Используйте первые буквы каждого слова, добавьте цифры и знаки. «В лесу родилась ёлочка, в лесу она росла» превращается в «ВлрЁ,влОр» — но это слишком известная фраза. Лучше взять что-то личное: «В 2019 мы с Машей впервые поехали в Сочи на поезде» → «В19мсМвпвСнп». Добавьте разделитель: «В19-мсМвпвСнп!».

Метод искажённой фразы. Возьмите обычную фразу и внесите в неё системные искажения, которые знаете только вы. Например, замените все «о» на «0», все «а» на «@», добавьте цифру после каждого слова. «Моя собака любит гулять» становится «М0я1с0б@к@2люб1т3гулять4». Схему искажения нужно помнить, но применять её можно к любой фразе.

Как безопасно записать пароль. Иногда пароль всё-таки нужно куда-то записать — на случай, если вы его забудете. Делать это в открытом виде опасно. Используйте технику «соли» — добавьте к паролю фрагмент, который вы помните, но не записываете.

Например, ваш реальный пароль: «кирпич-облако-вилка-закат-73». Вы записываете только: «кирпич-облако-вилка-закат». Число 73 (ваша «соль») вы помните — это может быть год рождения родителя, номер дома, где выросли, или любое значимое для вас число. Даже если записку найдут, без «соли» пароль бесполезен.

Другой вариант — записать пароль с намеренной ошибкой в фиксированной позиции. Вы знаете, что третий символ всегда нужно заменить на другой. Записано: «кАрпич-облако», реально: «кирпич-облако». Злоумышленник не знает вашей системы и не сможет воспользоваться записью.

Чего точно не стоит делать:

• использовать личные данные, которые можно найти в социальных сетях (дата рождения, имя питомца, девичья фамилия матери);
• брать цитаты из популярных книг, фильмов и песен — они есть в словарях для перебора;
• использовать клавиатурные паттерны («qwerty», «йцукен», «1qaz2wsx»);
• заменять буквы на «похожие» цифры очевидным образом («p@ssw0rd» — это не хитрость, а стандартная подстановка, которую проверяют первой).

Двухфакторная аутентификация: обязательный второй рубеж

Даже идеальный пароль — не абсолютная защита. Его можно украсть через фишинг, перехватить при вводе на заражённом устройстве, получить из утечки базы данных сервиса. Двухфакторная аутентификация (2FA, MFA) добавляет второй независимый рубеж: чтобы войти в аккаунт, злоумышленнику нужен не только пароль, но и что-то ещё — код из приложения, подтверждение на телефоне, физический ключ.

Минимальный стандарт для 2025 года: включить двухфакторку везде, где есть важные данные. По возможности избегайте SMS-кодов, если доступен вариант с приложением или аппаратным ключом.

Различные методы второго фактора отличаются по надёжности. От менее надёжных к более надёжным:

1. SMS-коды — самый слабый вариант. SIM-карту можно клонировать или перевыпустить через социальную инженерию, сообщения перехватываются, бывают задержки доставки. Тем не менее SMS лучше, чем ничего.
2. Одноразовые коды из приложения (TOTP) — Google Authenticator, Microsoft Authenticator, Authy, 1Password и многие другие. Коды генерируются локально на устройстве и не передаются по сети.
3. Push-уведомления в приложении банка или сервиса. Удобно и достаточно надёжно, хотя теоретически уязвимо к атакам «усталости от уведомлений», когда жертву заваливают запросами, пока она случайно не нажмёт «подтвердить».
4. Аппаратные ключи (FIDO2-токены) — YubiKey, SoloKey и аналоги. Максимальная защита: ключ нельзя скопировать, украсть удалённо или обманом получить код. Даже если вы зайдёте на фишинговый сайт, ключ не подпишет запрос для неправильного домена.

Почему мир движется к жизни без паролей

Даже идеальный пароль из 30 случайных символов, хранящийся в менеджере и защищённый двухфакторкой, не решает двух фундаментальных проблем.

Проблема фишинга. Пароль — это секрет, который вы передаёте сервису. Если злоумышленник создаст убедительную копию сайта банка и вы введёте туда свои данные, пароль окажется у него. Никакая сложность и длина пароля не защитят от добровольной передачи секрета мошеннику.

Проблема утечек на стороне сервиса. Пароль где-то хранится — пусть и в хешированном виде. Если база данных утечёт, её будут брутфорсить. Достаточно мощное оборудование и достаточно времени — и даже хороший хеш будет взломан. 78 % паролей из списка 200 самых популярных взламываются менее чем за секунду.

Идея беспарольного мира проста: перестать передавать секрет целиком. Вместо этого — доказывать, что у вас есть правильный ключ, не раскрывая сам ключ.

FIDO2 и WebAuthn: как это работает

За аббревиатурами FIDO2 и WebAuthn скрывается набор стандартов, которые делают возможной беспарольную аутентификацию. Технически это работает через криптографию с открытым ключом — ту же, что защищает ваше соединение с сайтами по HTTPS.

Процесс выглядит следующим образом. На вашем устройстве — телефоне, ноутбуке или аппаратном токене — генерируется пара ключей: приватный и публичный. Публичный ключ отправляется на сервер, приватный остаётся локально и никогда не покидает устройство. При входе сервис отправляет вам случайную «задачу» (challenge), ваше устройство подписывает её приватным ключом и возвращает подпись. Сервер проверяет подпись публичным ключом и убеждается, что вы — это вы.

Пароль вы нигде не вводите. Секрет никуда не передаётся. Даже если злоумышленник перехватит трафик, он получит только подпись конкретного challenge, которая бесполезна для повторного использования.

Именно это лежит под капотом современного «входа по отпечатку» или «входа по лицу» в браузере и приложениях. FaceID или TouchID разблокируют доступ к приватному ключу, а дальше работает криптография.

Passkeys: понятная упаковка сложной технологии

Passkeys — это маркетинговое название, которое крупные компании придумали, чтобы обычные люди не пугались терминов вроде FIDO2 и WebAuthn. По сути, passkey — это удобная упаковка той же технологии, адаптированная для массового пользователя.

Для каждого сайта создаётся уникальный криптографический ключ. Приватный ключ хранится в защищённом хранилище устройства (Secure Enclave на iPhone, TPM на Windows-компьютере) или в менеджере паролей. Вы входите по FaceID, TouchID, Windows Hello или локальному PIN — без ввода пароля.

Статистика внедрения впечатляет. По данным FIDO Alliance на конец 2024 года, более 15 миллиардов онлайн-аккаунтов поддерживают passkeys — вдвое больше, чем год назад. Более миллиарда человек уже активировали хотя бы один passkey. Осведомлённость потребителей выросла с 39 % в 2022 году до 57 % в 2024-м, а по данным отчёта FIDO за 2024 год, 84 % пользователей знакомы с технологией passkeys.

Большие игроки активно продвигают эту технологию:

• Google сделал passkeys способом входа по умолчанию для личных аккаунтов ещё в 2023 году;
• Microsoft в мае 2025 года перевёл все новые аккаунты на passkeys по умолчанию, что привело к росту использования этой технологии на 120 %;
• Apple интегрировал passkeys в iCloud Keychain и в 2025 году с выходом iOS 26 добавил возможность экспорта ключей в сторонние менеджеры через новый стандарт Credential Exchange.

По данным Bitwarden, в 2024 году количество ежедневно создаваемых passkeys выросло на 550 %. За последний квартал года пользователи создали более миллиона новых ключей доступа.

Беспарольная аутентификация в русскоязычном пространстве

Технологии беспарольного входа развиваются не только в западных сервисах. Крупнейшие российские платформы активно внедряют альтернативы традиционным паролям, и многие из этих решений уже доступны обычным пользователям.

Яндекс ID

Яндекс одним из первых на российском рынке начал экспериментировать с беспарольным входом. Сегодня Яндекс ID предлагает несколько альтернатив вводу пароля.

«Яндекс Ключ» — это приложение, которое позволяет входить в аккаунт по картинке или QR-коду. Вместо пароля вам показывают несколько изображений, и вы выбираете то, которое соответствует картинке в приложении. Это защищает от кейлоггеров и подглядывания через плечо.

Вход по QR-коду работает ещё проще: на странице входа отображается код, вы сканируете его приложением Яндекса на телефоне и подтверждаете вход. Пароль не вводится вообще.

Параллельно Яндекс внедряет ключи доступа (passkeys) с использованием биометрии смартфона. Вы один раз создаёте ключ, и дальше вход подтверждается FaceID или TouchID — без ввода пароля в браузере.

Сбер ID

Сбер ID развивается под лозунгом «забудьте пароли — вход в один клик». Система уже сейчас позволяет входить на сайты и в приложения партнёров без отдельной регистрации и ввода пароля.

Подтверждение входа происходит через приложение «Сбербанк Онлайн»: вам приходит push-уведомление, вы подтверждаете его биометрией — и вы внутри. Никаких паролей, никаких кодов из SMS.

Сбер также внедряет passkey-авторизацию для онлайн-банкинга и связанных сервисов. Вход по ключу доступа с использованием FIDO-совместимых механизмов уже доступен для части пользователей.

Госуслуги, Госключ и ЕБС

Государственные сервисы пока ещё во многом живут в мире «логин плюс пароль плюс SMS или приложение», но параллельно развивается инфраструктура Единой биометрической системы (ЕБС) и сервиса «Госключ».

«Госключ» позволяет выпускать квалифицированную электронную подпись по биометрии. Вы можете подписывать документы и совершать юридически значимые действия через приложение, без физической флешки с сертификатом. Это не совсем беспарольный вход в классическом понимании, но это шаг к тому же принципу: вместо «знания» (пароля) используется «владение» (устройство) плюс «свойство» (биометрия).

Банки подключаются к ЕБС, чтобы удалённо идентифицировать клиентов по лицу и голосу без посещения офиса. Формально это не passkeys, но по сути — тот же тренд: уход от «голого пароля» к сильным связкам «устройство плюс биометрия плюс криптография».

Виды беспарольной аутентификации: что выбрать

Беспарольная аутентификация — это не одна технология, а целый спектр решений с разными характеристиками. Чтобы сделать осознанный выбор, полезно понимать плюсы и минусы каждого подхода.

Passkeys на телефоне или ноутбуке

С точки зрения пользователя это выглядит максимально просто. Вы заходите на сайт, он предлагает войти по ключу доступа, всплывает системное окно с предложением подтвердить вход по FaceID, TouchID или PIN. Вы прикладываете палец или смотрите в камеру — и вы внутри.

Преимущества. Устойчивость к фишингу — главное достоинство технологии. Нельзя подсунуть «такой же» сайт и украсть пароль, потому что пароль вообще не передаётся. Криптографический ключ привязан к конкретному домену, и поддельный сайт просто не сможет получить валидную подпись. Кроме того, для каждого сервиса создаётся уникальный ключ, так что проблема переиспользования паролей исчезает. И наконец, ничего не нужно запоминать.

Ограничения. Passkeys привязаны к экосистеме — Apple, Google, Microsoft или конкретному менеджеру паролей. Если вы потеряете все устройства, восстановление доступа может оказаться нетривиальным. Поэтому важно предусмотреть резервный способ входа: второе устройство, аппаратный ключ или recovery-коды.

Аппаратные ключи (FIDO2-токены)

Физический «брелок», который умеет FIDO2/WebAuthn: YubiKey, SoloKey, Titan Security Key от Google и аналоги. Подключается по USB, NFC или Bluetooth.

Преимущества. Максимальный уровень защиты для критичных аккаунтов — администраторских, финансовых, криптовалютных. Аппаратный ключ невозможно скопировать или украсть удалённо. Устойчивость к фишингу даже выше, чем у программных passkeys: даже если вас заманили на поддельный сайт, ключ не подпишет challenge для неправильного домена.

Ограничения. Цена и логистика. Для надёжности нужно минимум два ключа — основной и запасной на случай утери. Качественный токен стоит от нескольких тысяч рублей. Пользовательский опыт для «обычного человека» всё ещё оставляет желать лучшего: нужно помнить, где лежит ключ, носить его с собой, втыкать в устройство.

Push-уведомления, одноразовые коды, QR

Это промежуточный уровень между паролями и полноценной беспарольной аутентификацией. При входе вам не предлагают вводить пароль, а присылают запрос в приложение банка или сервиса. Или показывают QR-код, который нужно отсканировать. Или генерируют одноразовый код в приложении.

Преимущества. Не нужно ничего запоминать. Достаточно высокий уровень безопасности для большинства сценариев. Привычный интерфейс, который не требует изучения новых технологий.

Ограничения. Решение завязано на конкретный сервис и его приложение. Зависимость от телефона: если он разрядился, сломался или был украден — могут возникнуть проблемы. Push-уведомления теоретически уязвимы к атакам «усталости», когда жертву заваливают запросами.

Биометрия

Важно понимать, как работает биометрия в современных системах. В нормальных реализациях ваше лицо или отпечаток пальца не отправляются на сервер. Биометрические данные хранятся в защищённом модуле устройства — Secure Enclave на устройствах Apple, TPM на Windows-компьютерах. На сервер отправляется только результат локальной проверки, а не сами биометрические данные.

Схема работы такая: FaceID или TouchID разблокируют локальное хранилище ключа или менеджер паролей, а аутентификация на сервисе происходит уже по криптографии. Биометрия здесь — не способ идентификации на сервере, а способ доказать устройству, что им пользуется законный владелец.

Это важно понимать, чтобы не бояться «отправки своего лица в интернет». При правильной реализации ваша биометрия не покидает устройство.

Что делать прямо сейчас: практический план

Хватит теории. Вот конкретный план действий, который можно выполнить за несколько вечеров и который заметно повысит вашу безопасность без превращения жизни в паранойю.

Шаг 1. Завести или настроить менеджер паролей

Если у вас ещё нет менеджера паролей — самое время это исправить. Выберите любой взрослый вариант: Bitwarden, KeePass-совместимые решения (KeePassXC, Strongbox) или встроенный менеджер экосистемы (iCloud Keychain, менеджер паролей Google). Главное — чтобы вы ему доверяли и чтобы он работал на всех ваших устройствах.

Придумайте один сильный мастер-пароль. Это должна быть фраза, а не слово с цифрой и восклицательным знаком. Что-то вроде «четыре зелёных слона танцуют польку» — длинное, запоминающееся и уникальное. Этот пароль вы больше нигде не используете.

Включите синхронизацию между устройствами. Сохраните recovery-коды или настройте резервное устройство — на случай, если потеряете доступ к основному.

Шаг 2. Разобраться с «корневой четвёркой»

Есть четыре категории аккаунтов, компрометация которых создаёт каскадный эффект — через них можно получить доступ ко всему остальному.

Первая — основная почта. Через неё восстанавливаются пароли от большинства сервисов. Если злоумышленник получил доступ к вашей почте, он может сбросить пароли везде.

Вторая — аккаунт экосистемы: Apple ID, Google Account, Microsoft Account, Яндекс ID, Сбер ID. Через них часто реализован вход на множество сторонних сервисов.

Третья — банки. Здесь комментарии излишни — это ваши деньги.

Четвёртая — основные мессенджеры и социальные сети, которые привязаны к вашей почте и телефону. Telegram, WhatsApp, VK — через них можно провести атаку на ваше окружение.

Для каждого из этих аккаунтов нужно сделать две вещи: задать новый уникальный пароль, сгенерированный менеджером (длинный, случайный), и включить двухфакторную аутентификацию. Желательно не через SMS — используйте приложение-аутентификатор или аппаратный ключ, если это возможно.

Шаг 3. Начать включать passkeys

Технология уже достаточно зрелая, чтобы использовать её в повседневной жизни. Начните с крупных сервисов, где passkeys уже поддерживаются.

В Google: зайдите на g.co/passkeys и создайте ключи доступа для аккаунта, если ещё не сделали этого. Google покажет пошаговую инструкцию.

В Microsoft: в настройках безопасности аккаунта включите вход без пароля и настройте FIDO2-ключи или passkeys. Особенно важно для тех, кто работает в корпоративной среде с Entra ID.

В Apple: passkeys включены по умолчанию и синхронизируются через iCloud Keychain. При регистрации на новых сайтах Safari будет предлагать создать passkey.

В Яндексе и Сбере: включите вход без пароля в настройках безопасности. Попробуйте вход по QR-коду или биометрии — это первый шаг к отказу от паролей.

Шаг 4. Навести порядок на устройствах

Безопасность аккаунтов бессмысленна, если само устройство скомпрометировано. Несколько базовых действий снизят риски.

Проведите ревизию расширений в браузере. Удалите всё, чем не пользуетесь, и всё, что вызывает сомнения — особенно «улучшатели» на базе ИИ и прочий софт с доступом ко всем сайтам. Каждое расширение с широкими правами — это потенциальная точка входа для злоумышленника.

Включите блокировку устройства по PIN, паролю или биометрии. Без неё украденный телефон — это открытая дверь ко всем вашим аккаунтам.

Зашифруйте диск. На macOS FileVault обычно включён по умолчанию. На Windows используйте BitLocker (доступен в Pro-версиях) или VeraCrypt. Без шифрования данные с украденного ноутбука можно прочитать, просто подключив диск к другому компьютеру.

Чек-лист: минимальная гигиена паролей и беспарольной жизни

Этот чек-лист можно сохранить и периодически использовать для самопроверки. Он охватывает основные аспекты парольной безопасности и постепенного перехода к беспарольным технологиям.

Пароли и менеджер

Базовые правила, без которых всё остальное теряет смысл:

• У меня нет одного пароля «на всё».
• Для почты, банков и основных аккаунтов используются уникальные пароли.
• Эти пароли длинные (16+ символов) и сгенерированы менеджером или оформлены как осмысленные фразы.
• Я использую менеджер паролей, а не держу всё в заметках или Excel.
• Мастер-пароль — отдельная длинная фраза, которая не используется больше нигде.
• Есть резервный способ восстановить доступ к менеджеру (recovery-коды, второе устройство).

Двухфакторная аутентификация

Второй рубеж защиты, который работает, даже если пароль скомпрометирован:

• Для почты, банков, экосистемных аккаунтов и ключевых сервисов включена 2FA.
• Где возможно, я использую приложение-аутентификатор или аппаратный ключ, а не SMS.
• Recovery-коды для 2FA сохранены в надёжном месте.

Беспарольная аутентификация

Технологии будущего, которые уже доступны сегодня:

• Я включил passkeys хотя бы в одном крупном сервисе (Google, Apple, Microsoft, Яндекс, Сбер).
• Я понимаю, как войти в аккаунт, если потеряю устройство (есть запасной ключ, устройство или recovery-механизм).
• Я использую биометрию на устройстве, понимая, что это способ разблокировать локальное хранилище, а не «отправка лица в интернет».

Здравый смысл

Технические меры не заменяют критического мышления:

• Не отправляю пароли в мессенджерах и письмах в открытом виде.
• Не отвечаю на письма и сайты, где «внезапно» требуют ввести пароль — сначала открываю сервис по сохранённой закладке.
• Не верю в сообщения вида «ваш пароль истекает, срочно смените по этой ссылке».
• Меняю пароль, когда есть повод (утечка, подозрительная активность), а не «по расписанию».

Заключение

Пароли ещё не умерли и в ближайшие годы не умрут. Слишком много систем на них завязано, слишком велика инерция. Но они уже перестали быть центром вселенной.

Если сегодня вы всё ещё живёте с одним-двумя паролями на все случаи жизни — это не «хитрость» и не «хак системы». Это добровольная табличка «ломай меня полностью». При 94 % переиспользования паролей и почти 10 миллиардах записей в открытом доступе вероятность того, что ваш пароль уже где-то утёк, стремится к единице.

Хорошая новость: чтобы кардинально улучшить ситуацию, не нужно становиться параноиком по безопасности. Достаточно сделать несколько конкретных шагов: завести менеджер паролей, привести в порядок «корневую четвёрку» аккаунтов, включить двухфакторку и начать осваивать passkeys там, где они уже доступны.

Мир постепенно движется к тому, что вход в сервисы будет работать как разблокировка телефона — приложил палец, посмотрел в камеру, и ты внутри. Никаких Qwerty123!, никаких «пароль должен содержать эмодзи звездолёта». Можно наблюдать за этим переходом с интересом — и быть в числе тех, кто воспользовался новыми возможностями раньше других.

Источники

Стандарты и рекомендации

• NIST SP 800-63-4 Digital Identity Guidelines — финальная версия американского стандарта по цифровой идентификации (июль 2025). Раздел SP 800-63B посвящён аутентификации и паролям: требования к длине, отказ от принудительной смены, рекомендации по passkeys.
• FIDO Alliance — альянс, разрабатывающий стандарты беспарольной аутентификации FIDO2 и WebAuthn. На сайте — спецификации, статистика внедрения passkeys и список сервисов с поддержкой технологии.

Исследования и статистика

• Verizon Data Breach Investigations Report — ежегодный отчёт об утечках данных. Анализ причин инцидентов, роль скомпрометированных учётных данных, статистика по credential stuffing.
• NordPass: Top 200 Most Common Passwords — ежегодное исследование самых популярных паролей в мире и по странам. Данные о том, как быстро взламываются типичные пароли.
• Cybernews: RockYou2024 — анализ крупнейшей компиляции паролей (почти 10 млрд записей). Методология сбора, структура данных, рекомендации по защите.
• Check Point: Credential Theft Surge 2025 — отчёт о росте краж учётных данных на 160 % в первой половине 2025 года.
• «Лаборатория Касперского»: утечки паролей в России — статистика по российскому сегменту: рост утечек в 6 раз, распределение по отраслям.

Инструменты и сервисы

• Have I Been Pwned — бесплатный сервис Троя Ханта для проверки, попали ли ваши email или пароль в известные утечки. Можно подписаться на уведомления о новых утечках.
• Bitwarden — менеджер паролей с открытым исходным кодом. Бесплатная версия с базовым функционалом, поддержка passkeys, работает в России.
• KeePass — локальный менеджер паролей с открытым кодом. Данные хранятся только на вашем устройстве, без облачной синхронизации.
• KeePassXC — кроссплатформенная версия KeePass с современным интерфейсом для Windows, macOS и Linux.
• Strongbox — KeePass-совместимый менеджер для iOS и macOS с поддержкой FaceID/TouchID.

Дополнительное чтение

• Troy Hunt: 2 Billion Email Addresses Indexed — блог создателя Have I Been Pwned о масштабах утечек и работе сервиса.
• State of Passkeys — актуальная статистика по внедрению passkeys: какие сервисы поддерживают, готовность платформ, тренды.
• FIDO Alliance: Passkey Adoption Report — отчёт о росте adoption passkeys в 2024 году: 15 млрд аккаунтов, миллиард активированных ключей.