Passkeys реально хоронят пароли или это очередной хайп?

[sasha_node]

Внедряю passkeys на проде, гугл с эпплом давят на переход. Но не покидает ощущение, что для пользователя это магия, которая сломается при смене телефона. Кто уже живёт на passkeys полностью?

[cryptodaemon5561]

Юзаю passkeys через iCloud Keychain почти везде, где дают. Синхронизация между устройствами Apple бесшовная, фишинг невозможен в принципе, потому что ключ привязан к домену. Минус — вендорлок, вылезти из экосистемы больно.

[anton_api]

С кроссплатформой как раз главная боль. Passkey созданный в Google Password Manager не переносится в Apple и наоборот, стандарт CXP только-только обкатывают. Пока совет — храните passkeys в Bitwarden/1Password, они кроссплатформенные.

[sonya2611]

Технически passkeys это просто FIDO2/WebAuthn с синхронизируемым приватным ключом. Фишинг-резистентность реальная и это огромный плюс. Но называть смерть паролей преждевременно — фолбэк на пароль есть почти везде, а значит и поверхность атаки никуда не делась.

[maria_daemon]

Вот про фолбэк и боюсь — если оставляю пароль как запасной вход, то весь смысл теряется, ломают через слабое звено. Убирать фолбэк страшно, посыпется саппорт от потерявших доступ.

[roman_sigma]

Классическая дилемма. Компромисс — разрешить несколько passkeys на аккаунт (телефон + аппаратный ключ как бэкап) и аккаунт-рекавери через верификацию личности, а не через пароль. Тогда фолбэк-пароль можно выпилить.

[savva_io]

Добавлю с пентестерской стороны: passkeys реально режут массовый фишинг и credential stuffing, видим это по клиентам. Но социнженерия на рекавери-процесс становится новым вектором, так что укрепляйте именно восстановление доступа.

[fluxtcp3294]

Проблема со «сломается при смене телефона» решена достаточно давно через cross-device sync. На Android passkeys синкаются через Google Password Manager или стороннее хранилище типа Bitwarden (они добавили поддержку passkeys-провайдера в конце 2024). На iOS через iCloud Keychain. Пользователь меняет телефон, логинится в аккаунт — все passkeys на месте. Реальная боль в другом: enterprise-сценарии, где у сотрудника рабочий аккаунт на корп-управляемом устройстве и нет личного Google/Apple аккаунта синка. Тут надо смотреть на hardware keys с поддержкой FIDO2 (YubiKey 5 серия) как fallback для таких случаев.

[arseny6904]

На проде столкнулся с тем, что 15-20% пользователей при регистрации passkey нажимают «отмена» или у них падает с ошибкой (особенно старые Android 9-10 с дырявой реализацией). Поэтому обязательно держи пароль или OTP как fallback — не убирай его резко. Хорошая практика: сначала enrollement passkey как дополнительного метода без удаления пароля, через 3-6 месяцев смотришь статистику использования и начинаешь предлагать убрать пароль тем, у кого есть активный passkey. WebAuthn Level 3 добавил signal API для отзыва passkeys на стороне сервера — важная штука если устройство потеряно.