Passkey — це сучасний, hardware-backed стандарт автентифікації, що замінює паролі криптографічними парами ключів, що зберігаються на пристроях користувача. Реалізує FIDO2 / WebAuthn на рівні стандартів. На iPhone Passkey синхронізується через iCloud Keychain. На Android — через Google Password Manager. На macOS — через системну keychain. WhiteBIT, Bybit, OKX, Bitget, GitHub, Apple ID, Google Account і більшість великих міжнародних онлайн-сервісів підтримують Passkey-логін у 2026.
Що робить Passkey відмінним від пароля
Дві властивості безпеки мають значення:
Перше, секрет ніколи не покидає пристрій. Де пароль набирається на фішинг-сайті і краде, Passkey прив'язаний до домена, що його видав. Фішинг-сайт не може запитати Passkey для автентифікації; браузер відмовляється, бо домени не збігаються. Це та сама властивість прив'язки домена, яку апаратні ключі безпеки (YubiKey, Solo Key) завжди пропонували, тепер розширена для споживчого мейнстріму.
Друге, секрет неможливо фішингувати в сенсі соціальної інженерії. Користувач не може прочитати свій Passkey вголос "агенту підтримки". Користувач не може випадково вставити його в Discord DM. Passkey інвокається лише коли біометрика пристрою (Face ID, відбиток) або PIN-розблокування авторизує.
Що Passkey замінює у крипто-контексті
SMS 2FA, TOTP, і навіть апаратні ключі безпеки для багатьох випадків використання. Комбінований логін "пароль + Passkey" функціонально є hardware-key-backed автентифікацією з використанням пристрою, який ви вже носите, без необхідності купувати окремий YubiKey. Для біржового акаунта це згортає потік входу в один крок і повністю усуває ризик SIM-swap.
WhiteBIT увімкнув Passkey для всіх логінів користувачів у 2024 році. Bybit і OKX підтримують з 2024. У 2026 будь-яка міжнародна біржа, що обслуговує українців, що не відправила Passkey, суттєво відстає за базовою безпекою акаунта.
Модель cross-device синхронізації
Passkey, створені на iPhone, синхронізуються на iPad, Mac та інші пристрої Apple через iCloud Keychain. Passkey, створені на Android, синхронізуються на інші Android через Google Password Manager. Cross-platform синхронізація (iPhone на Android) технічно підтримується через стандарт WebAuthn, але UX для фактичного переміщення Passkey між екосистемами залишається незграбним у 2026.
Ця властивість синхронізації робить Passkey відмінним від YubiKey: Passkey по суті "у вашій iCloud Keychain" або "у вашому Google акаунті", захищений біометрикою пристрою. Модель безпеки тепер залежить від цілісності вашого iCloud або Google акаунта.
Занепокоєння щодо єдиної точки відмови
Якщо iCloud скомпрометована, кожен Passkey-secured акаунт під цим Apple ID під ризиком. Мітигація: увімкніть "Advanced Data Protection" iCloud (end-to-end шифрування iCloud-даних, включаючи Passkey), налаштуйте контакт відновлення і ключ відновлення, і використовуйте Passkey-eligible акаунти з критичними активами лише після того, як це буде налаштовано.
Коли YubiKey все ще кращий за Passkey
Для акаунтів, що тримають семизначні ставки, дискретний апаратний ключ безпеки (YubiKey 5C NFC, Solo Key) залишається золотим стандартом. Ключ фізично відокремлений від вашого телефона, без cloud-sync залежності, і чинить опір вектору атаки "компрометація iCloud акаунта", який Passkey один не може захистити. Для українського голдера за серединою шестизначної загальної крипто-експозиції стандартне розташування: Passkey на телефоні для повсякденного використання, YubiKey 5C NFC × 2, зареєстровані на біржових акаунтах і основний email, основний YubiKey на брелоку, backup YubiKey у банківській комірці.
Подальше читання: YubiKey, 2FA, Правда про 2FA.