Беспарольное будущее: почему упрощение оказалось сложнее ожидаемого?

Разработчики активно работают над тем, чтобы избавить пользователей от необходимости запоминать сотни сложных паролей. Такие решения, как новая функция Google Verified Email и ключи доступа (passkeys), призваны сделать процесс аутентификации максимально плавным и незаметным. Ключи доступа призваны полностью заменить традиционные пароли, а Verified Email от Google стремится устранить цикличность верификации с помощью одноразовых кодов (OTP). Идея отказа от сложных паролей и многоступенчатой аутентификации давно вызывает большой интерес, особенно в свете появления множества опций для её реализации.

На первый взгляд, эти технологии должны были значительно упростить вход в аккаунты, сделав его почти однократным касанием. Однако, несмотря на впечатляющие технические достижения, пользовательский опыт в текущей реализации оказался значительно фрагментированным. Именно эта непоследовательность поставила под сомнение эффективность заявленных упрощений.

Почему пароли все еще актуальны?

В 2026 году многие пользователи все еще применяют один и тот же пароль для разных сервисов. Даже среди близких и знакомых можно заметить, что менеджеры паролей популярны в основном среди технически подкованных людей. Технологические гиганты, кажется, упускают из виду эту реальность, разрабатывая продукты для упрощения входа в систему.

Создавая инструменты для упрощения авторизации, компании Google и Apple исходят из предположения, что пользователи уже активно используют менеджеры паролей, создавая уникальные комбинации для каждого аккаунта. Также предполагается идеальное понимание принципов многофакторной аутентификации (MFA). Однако в некоторых регионах второй фактор аутентификации (например, SMS-коды) фактически навязывается пользователям регуляторами для защиты от мошенничества.

В идеальном мире пользователь применял бы менеджер паролей с уникальными комбинациями для каждого аккаунта, настроил бы двухфакторную аутентификацию (предпочтительно с помощью специализированного приложения для TOTP — временных одноразовых паролей) и использовал бы одобрение устройств или, что еще лучше, физический ключ безопасности (например, YubiKey) для подтверждения своей личности. Если такой сценарий не кажется слишком сложным, это означает, что пользователь относится к числу наиболее продвинутых. Для большинства же один повторяющийся пароль по-прежнему выигрывает из-за одного фактора: предсказуемости. Многократное использование паролей небезопасно, но это просто работает везде.

Парадоксы беспарольной аутентификации

Вход в приложение, требующий ввода адреса электронной почты, затем уникального пароля, а после перехода в почтовое приложение для верификации или использования стороннего приложения безопасности для получения TOTP и его ввода, является довольно утомительным процессом. Это один из самых безопасных способов управления аккаунтами, но он также весьма трудоемок, даже при наличии менеджеров паролей. Поэтому любые новости о беспарольной реальности или способах устранения второго фактора аутентификации без ущерба для безопасности вызывают повышенный интерес к тестированию.

Однако отмечается, что попытки полностью перейти на беспарольную систему часто приводят к разочарованиям. Например, при переключении основного аккаунта Google с традиционной схемы «логин-пароль» на ключ доступа, для тестирования использовался сторонний менеджер паролей Enpass, чтобы избежать привязки к экосистеме Google. Весь процесс, на первый взгляд, казался новым и перспективным. Однако вскоре стало очевидно, что количество шагов аутентификации оставалось практически таким же, как с паролем, так и без него. Ключи доступа призваны избавить от необходимости запоминать пароль, но большинство пользователей и так не помнят свои пароли благодаря менеджерам.

Особенно ярко проблема проявилась при попытке входа в аккаунт Microsoft. При каждой попытке авторизации система настойчиво предлагала создать ключ доступа. Уведомление автоматически открывало менеджер паролей и запускало процесс настройки ключа, даже если пользователь не планировал его создавать для данного аккаунта. Когда же было принято решение создать ключ доступа, система все равно требовала ввода одноразового кода OTP.

Это заставляет задаться вопросом: что именно было упрощено?

Ограничения новых решений

Ключи доступа не заменяют дополнительные шаги аутентификации, которые отчаянно нуждаются в модернизации. Google представил Verified Email, чтобы решить именно эту проблему. Эта функция использует API Android Credential Manager для обхода процесса верификации по электронной почте, избавляя пользователя от необходимости покидать страницу приложения, переходить в почтовое приложение, копировать OTP и затем вставлять его обратно. Это именно то, что казалось необходимым, но у решения есть ряд оговорок.

Как и ожидалось, функция требует аккаунта Gmail, что делает её не совсем универсальной. При более глубоком изучении деталей выяснилось, что она не будет работать с функцией «Вход через Google». В таком случае личный аккаунт Google все равно может потребовать двухфакторной аутентификации традиционным способом. Более того, поскольку аутентификация привязана к устройству, функция не является кросс-платформенной. Согласно описанному Google рабочему процессу, если у пользователя уже есть существующий аккаунт в приложении с настроенной двухфакторной аутентификацией, это решение просто не сработает. Опции для адаптации существующих аккаунтов отсутствуют.

Чего не хватает для массового внедрения?

Отмечается, что разобраться во всех этих проверках и условиях довольно сложно — слишком много фрагментированных элементов, которые нужно собрать воедино. Каждая компания стремится сделать процесс удобным по-своему, но ни одно из решений не является всеобъемлющим или вездесущим. Становится понятным, почему многие пользователи еще не перешли на ключи доступа и продолжают использовать повторяющиеся пароли.

Каждая из существующих на данный момент беспарольных систем фактически требует от пользователей большего понимания аутентификации, а не меньшего. Это прямо противоположно тому, что необходимо для массового внедрения.

Перспективы и роль Google

По итогам анализа были сделаны важные выводы. С положительной стороны, стало ясно, что технология для отказа от паролей существует уже сейчас, и это перестало быть главной проблемой. Основная задача состоит в том, чтобы аутентификация стала фоновым процессом. Она должна работать не для идеального пользователя, который уже применяет менеджер паролей, а для тех, кто находится на другом конце спектра и по-прежнему полагается на один пароль для всего.

Чтобы убедить таких пользователей, крупным технологическим компаниям придется предложить решение, которое будет столь же удобным и последовательным. Это означает консолидацию множества способов двухфакторной аутентификации, учет пограничных случаев, таких как резервные варианты при сбоях, без запутывания пользователей. Новая функция Google Verified Email и ключи доступа решают часть этих проблем, но делают это по отдельности, а не как единая, согласованная система.

Альянс FIDO Alliance существует именно для этой цели, но то, что он предложил до сих пор, воспринимается как фрагментированная мешанина, с которой большинство конечных пользователей не хотят иметь дело. Пароли так долго просуществовали в технологической индустрии, потому что люди могли понять их интуитивно. Консорциуму придется сделать то же самое для ключей доступа и двухфакторной аутентификации, не позволяя Google и Apple подталкивать пользователей в свои собственные экосистемы. Универсальность сквозной системы критически важна для широкого распространения.

Google занимает уникальное положение для того, чтобы стать пионером беспарольной аутентификации, благодаря огромному масштабу распространения Android по всему миру. Компания обслуживает все сегменты пользователей и фактически достигает тех, кто до сих пор избегал использования менеджеров паролей. Если какая-либо компания и сможет сделать беспарольную аутентификацию массовой, то это Google.

Теперь ход за Google.