Passkey — это современный, hardware-backed стандарт аутентификации, заменяющий пароли криптографическими парами ключей, хранящимися на устройствах пользователя. Реализует FIDO2 / WebAuthn на уровне стандартов. На iPhone Passkey синхронизируется через iCloud Keychain. На Android — через Google Password Manager. На macOS — через системную keychain. Bybit, OKX, Bitget, WhiteBIT, GitHub, Apple ID, Google Account и большинство крупных международных онлайн-сервисов поддерживают Passkey-логин в 2026.
Что делает Passkey отличным от пароля
Два свойства безопасности имеют значение:
Первое, секрет никогда не покидает устройство. Где пароль набирается на фишинг-сайте и крадётся, Passkey привязан к домену, который его выдал. Фишинг-сайт не может запросить Passkey для аутентификации; браузер отказывается, потому что домены не совпадают. Это то же свойство привязки домена, которое аппаратные ключи безопасности (YubiKey, Solo Key) всегда предлагали, теперь расширено для потребительского мейнстрима.
Второе, секрет невозможно фишинговать в смысле социальной инженерии. Пользователь не может прочитать свой Passkey вслух "агенту поддержки". Пользователь не может случайно вставить его в Discord DM. Passkey инвокается только когда биометрика устройства (Face ID, отпечаток) или PIN-разблокировка авторизует.
Что Passkey заменяет в крипто-контексте
SMS 2FA, TOTP, и даже аппаратные ключи безопасности для многих случаев использования. Комбинированный логин "пароль + Passkey" функционально является hardware-key-backed аутентификацией с использованием устройства, которое вы уже носите, без необходимости покупать отдельный YubiKey. Для биржевого аккаунта это сворачивает поток входа в один шаг и полностью устраняет риск SIM-swap.
Bybit включил Passkey для всех логинов пользователей в конце 2023 года. OKX последовал в 2024. Bitget выпустил поддержку Passkey по мобильным и desktop в 2024. WhiteBIT также поддерживает. В 2026 любая международная биржа, обслуживающая россиян, которая не отправила Passkey, существенно отстаёт по базовой безопасности аккаунта.
Модель cross-device синхронизации
Passkey, созданные на iPhone, синхронизируются на iPad, Mac и другие устройства Apple через iCloud Keychain. Passkey, созданные на Android, синхронизируются на другие Android через Google Password Manager. Cross-platform синхронизация (iPhone на Android) технически поддерживается через стандарт WebAuthn, но UX для фактического перемещения Passkey между экосистемами остаётся неуклюжим в 2026.
Это свойство синхронизации делает Passkey отличным от YubiKey: Passkey по существу "в вашей iCloud Keychain" или "в вашем Google аккаунте", защищён биометрикой устройства. Модель безопасности теперь зависит от целостности вашего iCloud или Google аккаунта — не только от самого устройства.
Беспокойство о единой точке отказа
Если iCloud скомпрометирована, каждый Passkey-secured аккаунт под этим Apple ID под риском. Митигация: включите "Advanced Data Protection" iCloud (end-to-end шифрование iCloud-данных, включая Passkey), настройте контакт восстановления и ключ восстановления, и используйте Passkey-eligible аккаунты с критическими активами только после того, как это будет настроено.
Та же логика применяется к Google: включите Advanced Protection, настройте опции восстановления, и относитесь к компрометации Google-аккаунта как эквивалент компрометации каждого downstream Passkey-secured аккаунта.
Когда YubiKey всё ещё предпочтительнее Passkey
Для аккаунтов, держащих семизначные ставки, дискретный аппаратный ключ безопасности (YubiKey 5C NFC, Solo Key) остаётся золотым стандартом. Ключ физически отделён от вашего телефона, не имеет cloud-sync зависимости и сопротивляется вектору атаки "компрометация iCloud аккаунта", который Passkey один не может защитить. Для российского холдера за серединой шестизначной общей крипто-экспозиции стандартное расположение: Passkey на телефоне для повседневного использования, YubiKey 5C NFC × 2, зарегистрированные на биржевых аккаунтах и основной email, основной YubiKey на брелоке, backup YubiKey в банковской ячейке.
Дополнительное чтение: YubiKey, 2FA, Правда о 2FA.