BTC
64134
GRAM
1.6469
ETH
1815.2
SOL
77.35
RU
EN

Passkey и крипто: будущее без паролей и сид-фраз

Содержание:

В мае 2026 года FIDO Alliance отчитался, что в мире используется около 5 миллиардов passkey, а 75% людей включили хотя бы один такой ключ. Это уже не технология для гиков, а массовый стандарт, за которым стоят Apple, Google и Microsoft. Крипта подключилась одной из первых: Coinbase Smart Wallet работает без сид-фразы с июня 2024-го, а вход в Binance, Kraken и Crypto.com теперь можно закрыть отпечатком пальца вместо пароля. Звучит как конец эпохи «12 слов на бумажке». Но у passkey есть жёсткая граница: он делает почти невозможным фишинг пароля — и при этом никак не мешает вам самому подписать транзакцию, которая опустошит кошелёк. Разберём, что passkey реально меняет, а что нет.

Главное за 30 секунд

  • Passkey — это пара ключей: приватный не покидает защищённый модуль вашего телефона, на сервер уходит только публичный. Красть на стороне сервиса нечего — пароля просто не существует.
  • Главная сила — устойчивость к фишингу: ключ привязан к домену, и на поддельном сайте-двойнике он физически не сработает. Код из приложения-аутентификатора так не умеет.
  • FIDO Alliance (май 2026): ~5 млрд passkey в мире, 90% людей о них слышали. В крипте вход без сид-фразы уже у Coinbase Smart Wallet; отпечатком заходят в Binance, Kraken, Crypto.com.
  • Граница защиты: passkey закрывает вход, но не подпись. Одобрили вредный контракт drainer'у — passkey это одобрение пропустит, он не проверяет транзакции.
  • «Без сид-фразы» не значит «без резервной копии»: у кошельков на passkey свой механизм восстановления, и его нужно настроить заранее — иначе потеря устройства равна потере денег.

Что такое passkey — и почему пароль ему проигрывает

Пароль — это общий секрет: одну и ту же строку знаете и вы, и сервис. Поэтому её можно подсмотреть, слить при утечке базы, выманить на фейковом сайте. Passkey устроен иначе. Это пара из приватного и публичного ключей. Приватный генерируется и хранится в защищённом модуле устройства — Secure Enclave у Apple, StrongBox у Android — и оттуда не выходит. Сервису достаётся только публичный ключ.

Вход выглядит так: сервер присылает случайный запрос, устройство подписывает его приватным ключом после того, как вы разблокировали телефон отпечатком или лицом, и отправляет обратно подпись. Сервер проверяет её публичным ключом. Секрет, который можно украсть и переиспользовать, при этом ни разу не передаётся. Утечка базы данных сервиса больше не отдаёт злоумышленнику ваш доступ: публичный ключ сам по себе бесполезен.

Почему об passkey ломается фишинг

Самое ценное для крипты — не удобство, а то, что passkey почти невозможно выманить. Каждый ключ привязан к конкретному домену (в стандарте это поле называется rpId). Когда вы входите на сайт, браузер отдаёт подпись только тому домену, для которого ключ был создан. Поддельная страница coinbse.com вместо coinbase.com валидную подпись не получит — браузер её просто не выдаст.

Сравните с обычной двухфакторкой: код из приложения-аутентификатора можно ввести на любой странице, в том числе на фишинговом двойнике, который тут же перебросит его на настоящий сервис. Passkey этот сценарий — его называют «атака-посредник» — закрывает на уровне механики, а не бдительности пользователя. Именно поэтому FIDO и крупные платформы толкают его так настойчиво.

Passkey в крипте: вход без «12 слов»

Самый заметный пример — Coinbase Smart Wallet, запущенный в июне 2024 года. Это смарт-контрактный кошелёк в сети Base: создаётся одним касанием сканера отпечатка, без установки приложения и без сид-фразы. Роль «12 слов» здесь играет passkey, который синхронизируется между устройствами через iCloud Keychain или Google Password Manager. Технически это ещё и пример абстракции аккаунтов — подхода, который мы подробно разбирали в статье про смарт-контрактные кошельки.

Здесь важно разделять два сценария — их постоянно путают.

  • Passkey как замена пароля для входа на биржу. Так уже работают Coinbase, Binance, Kraken и Crypto.com. Средства по-прежнему хранит биржа, passkey защищает только доступ к аккаунту. Потеряли ключ — восстанавливаетесь через поддержку.
  • Passkey как ключ от некастодиального кошелька, где активами владеете вы сами. Тут потерю passkey не решит никакая поддержка — только ваша заранее сделанная резервная копия.
Пароль Код 2FA (TOTP) Passkey
Что хранит сервис хеш пароля общий секрет публичный ключ
Можно украсть при утечке да, подбирается да нечего
Сработает на фейковом сайте да да нет, привязка к домену
Нужно что-то помнить да нет нет
Восстановление сброс по почте резервные коды облако или ключ восстановления

Вывод по таблице простой: как способ входа passkey превосходит и пароль, и код-подтверждение по всем строкам сразу. Вопросы начинаются там, где вход заканчивается.

Где passkey не поможет — честная граница

Маркетинг подаёт passkey как броню от любого взлома. На деле он закрывает ровно один слой — аутентификацию, то есть «докажи, что это ты». Слой авторизации — «что именно ты разрешаешь сделать» — passkey не трогает.

Для крипты это критично. Кошелёк-пылесос не крадёт ваш пароль и не подделывает вход. Он показывает красивый сайт и подсовывает на подпись вредную транзакцию или бессрочное разрешение на распоряжение токенами. Вы подписываете его сами — своим отпечатком, через тот самый защищённый passkey. С точки зрения кошелька всё легитимно: владелец подтвердил операцию. Passkey удостоверяет, что это вы, но не оценивает, что вы одобряете. От социальной инженерии он не защищает в принципе.

Вторая тонкость — про синхронизацию. Если passkey хранится в iCloud Keychain или Google Password Manager, безопасность кошелька упирается в безопасность вашего аккаунта Apple или Google. Скомпрометировали его — получили доступ и к синхронизированным ключам. Единая точка отказа никуда не делась: она переехала с бумажки с сид-фразой на облачный аккаунт. Поэтому двухфакторка на самом аккаунте Apple или Google — не паранойя, а часть той же защиты кошелька.

Потеря устройства: что с восстановлением

«Без сид-фразы» звучит как «нечего терять». Но восстановление не исчезло — оно просто выглядит иначе.

Если passkey синхронизируется с облаком, потеря телефона не страшна: заходите в свой аккаунт Apple или Google на новом устройстве, и ключ подтягивается автоматически. Если же passkey привязан только к устройству, он исчезает вместе с телефоном. На этот случай Coinbase Smart Wallet позволяет заранее добавить фразу восстановления или запасной ключ-подписант. Деталь из документации Coinbase, о которую спотыкаются: настроить резервный способ можно только пока у вас ещё есть доступ к рабочему passkey, а поскольку кошелёк — это смарт-контракт, смена подписанта стоит комиссии сети. Не сделали резервную копию и облачной синхронизации нет — средства могут стать недоступны навсегда, ровно как с потерянной сид-фразой.

По сути это тот же принцип, что и в социальном восстановлении кошелька: порог входа снизился, но ответственность за запасной путь всё равно на вас. И вопрос «что будет с доступом потом» — тема нашего разбора про крипто-завещание — passkey не отменяет.

Привязка к экосистеме — и что с ней стало к 2026

Главный упрёк passkey последних лет — замок экосистемы: ключ, заведённый в мире Apple, трудно было перенести в мир Google, и наоборот. Для актива, которым вы владеете годами, это серьёзный вопрос.

К 2026 году индустрия на него ответила. FIDO Alliance выпустил стандарты переносимости — Credential Exchange Format и Credential Exchange Protocol: первый описывает, какие данные передаются, второй — как их зашифровать при переносе. Формат получил статус предложенного стандарта FIDO в августе 2025 года, протокол дозревал к началу 2026-го, а первой платформенную поддержку добавила Apple в iOS и macOS версии 26; среди менеджеров паролей перенос ключей одним из первых поддержал Bitwarden. Пока это ранняя стадия: переносимость работает не везде и не между всеми. Но направление задано — passkey перестаёт быть пожизненным замком на один бренд.

Что делать прямо сейчас

Шаг 1. Включите passkey там, где он уже доступен, — на бирже, в почте, в облаке. Как минимум для входа и подтверждения вывода это сразу закрывает фишинг пароля.

Шаг 2. Пробуете кошелёк без сид-фразы — первым делом настройте резервный доступ (ключ или фразу восстановления) и продублируйте его, пока рабочий passkey под рукой. Восстановления, о котором вспоминают после потери телефона, не существует.

Шаг 3. Защитите сам аккаунт Apple или Google двухфакторкой: синхронизированные passkey живут там, и это ваша новая единая точка отказа.

Шаг 4. Не путайте вход и подпись. Passkey подтверждает, что за экраном вы, но не проверяет транзакцию. Перед подтверждением смотрите, что именно одобряете, и периодически отзывайте лишние разрешения.

Дисклеймер: Материал актуален на июль 2026 года. Не является финансовой или юридической рекомендацией.