
Рубрика 9to5Mac Security Bite подготовлена эксклюзивно при поддержке Mosyle, единственной унифицированной платформы для Apple. Наша специализация — обеспечение готовности устройств Apple к работе и их корпоративная безопасность. Наш уникальный комплексный подход к управлению и защите сочетает в себе самые современные решения для Apple: полностью автоматизированную настройку безопасности и соответствие требованиям (Hardening & Compliance), системы обнаружения и реагирования следующего поколения (Next Generation EDR), модель Zero Trust на базе ИИ и эксклюзивное управление привилегиями, объединенные с самой мощной и современной MDM-системой для Apple на рынке. Результат — полностью автоматизированная унифицированная платформа Apple, которой доверяют более 45 000 организаций, позволяющая подготовить миллионы устройств к работе без лишних усилий и затрат. Запросите РАСШИРЕННУЮ ВЕРСИЮ (EXTENDED TRIAL) сегодня и узнайте, почему Mosyle — это все, что нужно для работы с Apple.
Годами сторонники прогресса провозглашали ключи доступа (passkeys) будущим аутентификации, в то время как традиционные пароли считались пережитком прошлого. Их хвалили как более удобную и безопасную альтернативу. Но на этой неделе я использовал обычные пароли для входа в систему столько раз, что даже не смог сосчитать.
Поймите меня правильно: внедрение ключей доступа впечатляет. Об этом позже. Однако я не могу не задуматься о текущем состоянии систем авторизации и о том, почему менее совершенные методы по-прежнему доминируют, несмотря на наличие гораздо более качественных технологий.
Ключ доступа (passkey) на самом деле представляет собой два криптографических ключа. Закрытый ключ, который никогда не покидает ваше устройство, и открытый, который хранится на сайте, куда вы входите. При входе в систему ваше устройство доказывает наличие закрытого ключа, не передавая ничего, что мог бы перехватить злоумышленник («человек посередине»), поэтому ключи доступа невозможно скомпрометировать фишингом так же легко, как обычный пароль.
Проще говоря: пароли — это то, что вы знаете; ключи доступа — это то, что у вас есть (устройство) или то, кем вы являетесь (биометрический идентификатор).
На устройствах Apple Face ID или Touch ID выполняют проверку, а ваш закрытый ключ хранится в защищенном анклаве (Secure Enclave). Если вы используете несколько устройств, «Связка ключей iCloud» безопасно синхронизирует закрытые ключи между iPhone, iPad и Mac в рамках их защищенных областей Secure Enclave.
Более 15 миллиардов учетных записей теперь могут входить в систему с помощью ключа доступа, согласно данным FIDO Alliance, а Google заявляет, что их собственные ключи доступа были использованы пользователями более миллиарда раз для входа в более чем 400 миллионов учетных записей. На WWDC 2025 компания Apple представила новый инструмент создания учетных записей, который позволяет приложениям регистрировать вас с помощью ключа доступа с самого начала, чтобы пароль не требовался вовсе. Microsoft пошла еще дальше, сделав новые учетные записи беспарольными по умолчанию.
Однако среди компаний все еще наблюдается значительное сопротивление внедрению ключей доступа. Недавно даже был запущен новый сайт, который позорит популярные ресурсы, до сих пор не предлагающие пользователям поддержку ключей доступа. Некоторые названия в этом списке шокируют: Instagram, Spotify, Netflix.
Сопротивление внедрению в основном связано с процессом восстановления доступа.
FIDO2, стандартный протокол для ключей доступа, не имеет встроенного механизма восстановления. Если вы потеряете все устройства, на которых хранятся ключи, вашим запасным вариантом останется ссылка для сброса пароля по электронной почте. Тот самый уязвимый момент, который ключи доступа должны были устранить. Вот почему SaaS-компании и другие сайты сохраняют старое поле ввода пароля на экране входа в качестве резервного.
Портативность — еще одна проблема, но она быстро решается.
Поскольку ключи доступа хранятся в «Связке ключей iCloud», менеджере паролей Google, различных браузерах и т. д., эти хранилища не взаимодействуют друг с другом и не могут передавать учетные данные. Но ситуация постепенно меняется. Apple добавила кроссплатформенный импорт и экспорт ключей доступа в iOS 26. Это заявление стало заметным изменением тона, учитывая, насколько тесно была интегрирована экосистема «Связки ключей» Apple.
Пока протокол обмена учетными данными (Credential Exchange Protocol) не заработает должным образом на всех платформах, переход между экосистемами может превратить отказ от паролей в «запирание» пользователя внутри одной системы.

TL;DR (Коротко о главном)
Сама криптография надежна и чрезвычайно устойчива к фишингу. Это не панацея в техническом плане. Проблема с ключами доступа носит скорее операционный характер. Восстановление должно быть надежным, портативность — бесшовной, а веб-сайтам необходимо фактически удалить поле ввода пароля, прежде чем эпоха паролей закончится окончательно.
Apple опережает большинство конкурентов, предлагая самый плавный опыт работы в экосистеме (неудивительно) и внедрив поддержку экспорта раньше Google. Но пока вышеуказанные пробелы не будут устранены, я не думаю, что привычные окна для ввода пароля скоро исчезнут.
Ключи доступа станут будущим аутентификации… в конце концов.
Security Bite — это еженедельный глубокий анализ мира безопасности Apple от 9to5Mac. Каждую неделю Арин Вайчулис разбирает новые угрозы, проблемы конфиденциальности, уязвимости и многое другое, формируя облик экосистемы из более чем 2 миллиардов устройств.
