Passkeys - будущее без паролей уже здесь

Passkey - это цифровой ключ который заменяет пароль. Вместо того чтобы придумывать и запоминать комбинацию символов, ты просто подтверждаешь вход через Face ID, отпечаток пальца или PIN-код устройства.
Технически это пара криптографических ключей. Публичный хранится на сервере сайта, приватный - только на твоём устройстве и никогда никуда не передаётся. Когда заходишь на сайт, сервер присылает «вызов» который можно решить только имея приватный ключ. Пароль при этом вообще не участвует в процессе.

Почему это безопаснее

Главная проблема паролей - их можно украсть, подобрать, использовать повторно на разных сайтах. С passkeys этого не происходит. Ключ привязан к конкретному сайту - даже если попадёшь на фишинговую копию, ключ просто не сработает. Взлом одного сервиса не открывает доступ к другим - у каждого свой уникальный ключ.

Кто уже использует

Google, Apple, Microsoft объединились в FIDO Alliance чтобы сделать это стандартом. PayPal, GitHub, eBay, Uber, YouTube уже поддерживают вход через passkeys. По данным FIDO - это даёт на 20% больше успешных входов чем пароли, потому что не надо ничего вспоминать и печатать.

Что я думаю как разработчик

В своих проектах пока использую обычную авторизацию по паролю - для personal-проектов это пока избыточно. Но как тенденция это явно правильное направление. Технология построена на открытых стандартах WebAuthn и FIDO2 - теоретически любой разработчик может внедрить это у себя.
Пока изучаю. Возможно когда-нибудь дойдут руки попробовать на своих проектах. 🤔