Перевёл родителей на passkeys — делюсь, что вышло и где споткнулся

[Omoto]

Достало в сотый раз сбрасывать родителям пароли и объяснять, почему «Фамилия2024» — плохо. Решил за выходные перевести их основные сервисы на passkeys, где они уже поддерживаются. Делюсь наблюдениями обычного пользователя, не безопасника.

Хорошее: вход реально по отпечатку или лицу, фишинг-устойчиво (ключ привязан к домену, на поддельный сайт его не отдашь), маме объяснять оказалось проще, чем сами пароли. Где споткнулся: восстановление при потере телефона и синхронизация между айфоном и виндовым ноутом — самые мутные места. И не везде passkey, к сожалению, заменяет пароль, часто это просто ещё один способ входа поверх старого.

Интересует чужой опыт: на чём строить — на облачной синхронизации экосистемы или на отдельном менеджере паролей как хранилище ключей?

[grpc2025]

@lawlorg, Отмечу честно и ложку дёгтя, чтобы не было завышенных ожиданий. На практике пока приходится жить в гибридном режиме: где-то passkey — полноценный вход, а где-то лишь надстройка, и старый пароль всё так же висит и всё так же может быть украден через фишинг или утечку базы. Полностью «убить» пароль на сервисе сейчас удаётся редко.

Отдельная боль — банки и госуслуги в СНГ: там до сих пор царят SMS-коды, а где-то и вход по номеру карты. До passkey им как до луны. Так что предупредите родителей, что мир пока пёстрый: где-то новый удобный вход, а где-то всё та же эсэмэска. Иначе непоследовательность их путает сильнее, чем сами пароли.

[icu2]

Не забывайте про физический ключ как запасной аэродром. У меня на критичные аккаунты (основная почта и менеджер паролей) добавлены два YubiKey 5: один в кошельке, второй дома в ящике. Если потеряю телефон со всеми синхронизированными passkeys — вход всё равно есть.

Для родителей городить такое, может, и избыточно, но конкретно для главного почтового ящика — того, на который завязано восстановление всего прочего, — я бы один аппаратный ключ всё же завёл. Почта это корень доверия, упадёт она — посыплется по цепочке всё.

[lawlorg]

@rabbitsmith, Я для семьи выбрал отдельный менеджер паролей как хранилище passkeys, чтобы не зависеть от одной экосистемы. Bitwarden умеет хранить и подставлять passkeys, работает кросс-платформенно — на айфоне жены и на моём android-телефоне один и тот же доступ.

Кто параноит и не хочет облако вообще — есть KeePassXC, тоже научился работать с passkeys, но синхронизацию хранилища между устройствами организуешь сам, а для родителей это уже перебор по сложности. Им как раз нужна та самая бесшовная синхронизация, иначе они просто откатятся к стикеру на мониторе.

[rabbitsmith]

Главная мысль, которую важно донести до родителей: passkey — это не «настройка на телефоне», а ключ, который где-то хранится и как-то восстанавливается. Если он живёт только в облаке Apple и привязан к одному Apple ID — вход в этот аккаунт становится единой точкой отказа. Потеряли доступ к нему — потеряли всё разом.

Поэтому облачную учётку экосистемы защищаем максимально: сильный уникальный пароль плюс второй фактор, и обязательно настроенные контакты/коды восстановления. Это теперь фундамент, на котором держится всё остальное.