Что такое Passkey и чем они отличаются от паролей?

Passkey — это криптографические ключи (FIDO2), которые хранятся либо на аппаратном токене (YubiKey), либо в TPM чипа компьютера, либо в безопасном хранилище телефона (Secure Enclave/TEE). При входе вы не вводите пароль — а подтверждаете обладание ключом отпечатком пальца или PIN-кодом. Фишинг не работает, потому что Passkey привязан к конкретному сайту по крипто.

Какие сервисы умеют Passkey?

В 2026 году Passkey умеет большинство: Google, Microsoft, Apple, GitHub, GitLab, Nextcloud, Keycloak, Authentik, почти все корпоративные IdP. Проблемы обычно с legacy-приложениями, 1С, старыми ERP. Для них оставляют пароль + обязательный TOTP.

Что если сотрудник потеряет YubiKey?

Обязательно у каждого — минимум 2 токена: основной и резервный (в сейфе). Плюс ещё один токен резерва у администратора. Если оба потеряны — восстановление через очное обращение к админу с проверкой личности и привязка нового ключа.

Сколько стоит внедрение Passkey в АйТи Фреш?

Для офиса 30–60 РМ: работы — от 95 000 руб., 2 YubiKey 5C NFC на сотрудника — ~4 500 руб. каждый (итого 540 000 ₽ на 60 человек). Срок проекта — 5–7 рабочих дней.

Passwordless25 февраля 2026· 16 мин чтения

Passkey в офисе: как мы убрали пароли для 60 сотрудников и перестали бояться фишинга

Меня зовут Семёнов Евгений Сергеевич, 15 лет веду АйТи Фреш. История февраля 2026: клиент — инвестиционная компания с 60 сотрудниками, после громкого фишингового инцидента у конкурентов решил максимально усилить защиту входа. Мы полностью перевели их на Passkey — большинство паролей заменили аппаратными ключами YubiKey и биометрией в Windows Hello. В статье — что реально работает, а где пришлось оставлять костыли.

Почему в 2026-м пора забывать про пароли

Пароль — это архаизм, который мы таскаем с 1960-х. И статистика утечек показывает, что эту технологию давно пора хоронить:

80% атак на корпорации начинаются с фишинга или credential stuffing.
Самые частые «пароли» в российских SMB в 2025: Qwerty123!, Company2024, Москва456. Их вскрывают за секунды.
Пользователь в среднем использует 8 сервисов и имеет 2–3 пароля, которые чередует. Значит, взлом одного — риск для всех.
Пароли с обязательной ротацией каждые 90 дней — проверенный способ получить на экране монитора жёлтый стикер «Winter2026!».

Passkey (FIDO2 / WebAuthn) решает это структурно: у пользователя нет знания (пароля) — есть обладание (ключ в железке или в TPM) + подтверждение (отпечаток, PIN). Фишинговый сайт не сможет получить Passkey, потому что криптография привязана к домену. Утечка базы паролей тоже не даст ничего — паролей просто нет.

Какие бывают Passkey

Тип	Что это	Кому подходит
Аппаратный ключ (YubiKey, Nitrokey, Token2)	USB/NFC-ключ, генерирует криптопары	Самое безопасное, для критичных ролей
Platform Passkey (Windows Hello, Touch ID, Android biometric)	Ключ в TPM/Secure Enclave устройства	Удобно, но привязан к конкретному ПК/телефону
Synced Passkey (iCloud, Google Password Manager)	Ключи синхронизируются через облако	Для частных лиц, в корпорации не рекомендуем
Passkey в менеджере паролей (1Password, Bitwarden)	Софтовый контейнер	Средний уровень безопасности

Для корпорации оптимальное сочетание: YubiKey как основной метод для всех + Windows Hello как удобный запасной на рабочем ПК + TOTP как последний резерв.

Архитектура решения

Центральной точкой является IdP (в нашем случае — Keycloak), к которому подключены все внутренние сервисы через OIDC/SAML. У Keycloak включён authentication flow с FIDO2 как приоритетным методом, пароль скрыт из обычного flow. Отдельно:

Для входа в рабочую станцию Windows — Windows Hello for Business + YubiKey как смарт-карта (через ESM-лицензию АД).
Для RDP-входа на серверы — YubiKey через Windows Hello.
Для VPN (NetBird) — OIDC через Keycloak, 2FA через Passkey.
Для внешних сервисов (Google Workspace остался для почты, пока не мигрировали на Nextcloud) — YubiKey как второй фактор.

Закупка и распределение ключей

Заказали 130 YubiKey 5C NFC (основные + резервные + запас 10 у админа) по 4 500 ₽ — итого 585 000 ₽. Выбор модели 5C обусловлен:

USB-C для современных ноутбуков без переходников.
NFC для телефонов — прикладываем YubiKey к задней крышке, логинимся в мобильном приложении.
Поддержка всех нужных протоколов: FIDO2/WebAuthn, U2F, OTP, OpenPGP, PIV Smart Card.
Официальная продажа в РФ через дистрибьютора — никаких серых схем.

Каждому сотруднику выдали по два ключа: основной на брелок, резервный в ящик стола. Инструктировали: потерял основной — немедленно сообщи админу, он отзовёт ключ, поставит резервный, закажет новый основной.

Как прошло внедрение

День 1. Сконфигурировали Keycloak: включили WebAuthn/FIDO2 как обязательный метод, pass-through пароля только для администраторов и для приложений, не поддерживающих SSO.
День 2. Интегрировали Active Directory → Keycloak, настроили Windows Hello for Business через GPO. Включили требование TPM 2.0 на всех рабочих станциях (проверили, что у всех есть — у двух пришлось заменить материнки на более новые).
День 3. Пилот на 5 сотрудниках (директор, финансист, главбух, два разработчика). Записали каждому по 2 Passkey в Keycloak, провели реальный рабочий день. Собрали обратную связь: 1 замечание (медленно срабатывает NFC-часть на Android), исправили.
Дни 4–5. Раскатка всем 60 сотрудникам. Регистрация Passkey занимала 5–7 минут на человека. Обучение по 30 минут в микрогруппах по 4 человека.
День 6. Выключили пароли для всех обычных сервисов. Оставили пароль + TOTP только для: 1С, внешнего банк-клиента, старого FTP-сервера (где нет OIDC).
День 7. Мониторинг и поддержка. Зафиксировали 12 обращений за день — почти все «забыл PIN YubiKey», решили инструкцией на проводилке.

Что реально изменилось через месяц

Три фишинговых письма с поддельным «вход в банк-клиент» пришли в начале марта. Сотрудники кликнули, ввели логин. Passkey не сработал на фейковом домене — письмо отправилось в мусор, атака провалилась. До Passkey минимум один бы пароль ввёл.
Время входа в систему сократилось: раньше сотрудник тратил 15–20 секунд на ввод пароля + код TOTP. Теперь — 2 секунды (коснуться YubiKey или отпечаток). На 60 человек × 8 раз в день = 2 часа сэкономленного времени ежедневно.
Блокировок учёток после «забыли пароль» стало ноль. У админов высвободилось ~4 часа в неделю от рутины сброса паролей.
В audit log Keycloak все события входа, все неудачные попытки — видно как на ладони. Интегрировали в SIEM (Wazuh).

Что пошло не так

1С не умеет Passkey. Приходится оставлять пароль + TOTP. Закладываем в roadmap «посмотреть в 2027 году, вдруг 1С поддержит». Пока — ограничение доступа по IP и обязательный VPN.
Mac-пользователи и Windows Hello. У 3 маководов не было нормального способа использовать Windows Hello — компенсировали YubiKey + Touch ID для macOS-приложений.
Старый Outlook 2016. Для входа в OWA работает, но для Exchange-клиента — нужен app-password, потому что Outlook не знает OIDC. Решили постепенной миграцией на Nextcloud Mail + веб.
NFC-часть Android. Некоторые модели (Xiaomi) требуют точного прикладывания в заднюю крышку. Старым телефонам пришлось выдать USB-C OTG переходники для ключа.
Потеря ключа в отпуске. У одного сотрудника в Турции украли рюкзак с YubiKey. Пришлось срочно блокировать ключ через админа в веб-админке Keycloak, временно дать ему TOTP-доступ, выдать новый ключ по возвращении.

Что с 1С и legacy

Честно — для 1С в 2026 году Passkey не работает. У 1С своя система аутентификации, толкать WebAuthn туда нет смысла. Рекомендуем:

1С только через VPN (NetBird), вход в который уже через Passkey.
Обязательный 2FA на сервере 1С через Microsoft Authenticator app через плагин безопасности 1С.
Сложные длинные пароли, которые хранятся в корпоративном менеджере паролей (1Password Business), открываемом через Passkey.
Логирование всех входов в 1С в OpenSearch/Wazuh.

Стоимость

Статья	Сумма
YubiKey 5C NFC × 130 шт	585 000 ₽ (разово)
Работы АйТи Фреш	145 000 ₽ (разово)
Windows AD Premium (для Windows Hello for Business)	уже было в инфраструктуре
Keycloak	0 ₽ (open source)
Обновление 2 старых ПК с TPM 2.0	42 000 ₽ (материнки)
Итого	772 000 ₽

При 60 сотрудниках в финансовой компании это недорого относительно цены одного серьёзного фишингового инцидента (ущерб — обычно миллионы). Плюс экономия времени админов.

Что мы ведём на абонентке

Быстрая замена ключей при потере/увольнении.
Обновление firmware YubiKey через официальный софт.
Мониторинг подозрительных попыток входа через Keycloak → Wazuh.
Обновление Keycloak по security-патчам.
Поддержка сотрудников на стороне ключей и методов.
Квартальный аудит корректности выдачи ключей (все ли 2 на сотрудника, все ли в зоне доступа).

Готовы попрощаться с паролями?

Приеду, посмотрю, сколько у вас критичных приложений, какие поддерживают Passkey, какой путь дешевле. Часто именно для бухгалтерии и финансистов passwordless стоит внедрять первым делом — это самые атакуемые роли. Аудит бесплатный, по Москве и МО.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ

Что такое Passkey и чем они отличаются от паролей?: Passkey — криптоключи (FIDO2), хранящиеся в YubiKey, TPM или Secure Enclave. При входе подтверждаете обладание отпечатком или PIN. Фишинг не работает, потому что ключ привязан к домену.
Какие сервисы умеют Passkey?: Google, Microsoft, Apple, GitHub, GitLab, Nextcloud, Keycloak, Authentik, большинство IdP. Проблемы с legacy — 1С, старыми ERP: для них пароль + TOTP.
Что если сотрудник потеряет YubiKey?: У каждого минимум 2 токена: основной и резервный. Плюс ещё один у админа на случай потери обоих. Восстановление — очно, с проверкой личности.
Сколько стоит внедрение?: Для 30–60 РМ: работы от 95 000 ₽, 2 YubiKey 5C NFC на человека ~4 500 ₽ каждый. Срок 5–7 рабочих дней.