Skip to content
EN

Что такое WebAuthn и Passkeys

Коротко:

WebAuthn (Web Authentication) — W3C стандарт (2019) для безпарольной аутентификации. Пользователь регистрирует "authenticator" (TouchID, Windows Hello, security key Yubikey) → login через биометрию. Passkeys — синоним от Apple/Google/Microsoft с synced keys между devices. Замена паролей и SMS-OTP. Phishing-resistant: key работает только с конкретным origin.

Ниже: подробности, пример, смежные термины, FAQ.

Проверить безопасность сайта →

Подробности

  • Public-key криптография: authenticator генерирует keypair per-site
  • FIDO2 = WebAuthn + CTAP (Client-to-Authenticator Protocol)
  • Authenticator: platform (TouchID, Face ID) или roaming (Yubikey)
  • Origin-bound: phishing-resistant (key не работает на wrong domain)
  • Cross-device sync: iCloud Keychain, Google Password Manager (Passkeys)

Пример

navigator.credentials.create({
  publicKey: {
    challenge: randomBytes,
    rp: { name: "example.com" },
    user: { id, name, displayName },
    pubKeyCredParams: [{ alg: -7, type: "public-key" }]
  }
});

Смежные термины

Что такое WebAuthn и Passkeys?

WebAuthn и Passkeys представляют собой стандарты безпарольной аутентификации, разработанные для повышения безопасности пользователей. Эти технологии позволяют осуществлять вход в системы и приложения с помощью криптографических ключей, вместо традиционных паролей. WebAuthn, как часть FIDO2, использует асимметричную криптографию для создания уникальных ключей на стороне клиента, что значительно снижает риски, связанные с кражей паролей.

Преимущества безпарольной аутентификации

Безпарольная аутентификация с использованием WebAuthn и Passkeys обладает множеством преимуществ:

  • Устойчивость к фишингу: Поскольку пользователи не вводят пароли, злоумышленники не могут их украсть.
  • Упрощение процесса аутентификации: Пользователи могут входить в систему быстрее и легче, используя биометрические данные или специальные устройства.
  • Повышенная безопасность: Асимметричная криптография обеспечивает надежную защиту данных.

Согласно исследованиям, более 80% утечек данных происходят из-за слабых паролей. Переход на безпарольную аутентификацию может существенно снизить этот риск.

Как настроить WebAuthn на вашем сайте

Чтобы интегрировать WebAuthn на вашем сайте, следуйте этим шагам:

  1. Настройка сервера: Убедитесь, что ваш сервер поддерживает HTTPS и настроен для работы с WebAuthn.
  2. Создание ключа: Используйте JavaScript API для регистрации нового пользователя. Пример кода:
navigator.credentials.create({ publicKey: { challenge: new Uint8Array(32), rp: { name: 'Ваш сайт' }, user: { id: new Uint8Array(16), name: 'user@example.com', displayName: 'Имя пользователя' }, pubKeyCredParams: [{ type: 'public-key', alg: -7 }] } });
  1. Подтверждение аутентификации: Для входа используйте аналогичный метод:
navigator.credentials.get({ publicKey: { challenge: new Uint8Array(32), allowCredentials: [{ id: new Uint8Array(16), type: 'public-key' }] } });

Эти команды создают и проверяют ключи, обеспечивая безопасный вход без паролей.

ЗаголовкиCSP, HSTS, X-Frame-Options и др.
SSL/TLSШифрование и сертификат
КонфигурацияСерверные настройки и утечки
Оценка A-FОбщий балл безопасности

Почему нам доверяют

OWASP
рекомендации
15+
заголовков безопасности
<2с
результат
A–F
оценка безопасности

Как это работает

1

Введите URL сайта

2

Анализ заголовков безопасности

3

Получите оценку A–F

Что проверяет анализ безопасности?

Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.

Анализ заголовков

Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.

Проверка SSL

Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.

Обнаружение утечек

Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.

Отчёт с рекомендациями

Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.

Кому это нужно

Специалисты по безопасности

аудит HTTP-заголовков

DevOps

проверка конфигурации

Разработчики

CSP и HSTS настройка

Аудиторы

соответствие стандартам

Частые ошибки

Нет Content-Security-PolicyCSP — главная защита от XSS. Без него инъекция скриптов значительно проще.
Нет заголовка HSTSБез HSTS возможна downgrade-атака с HTTPS на HTTP. Включите Strict-Transport-Security.
Server header раскрывает версиюServer: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.
X-Frame-Options не установленСайт можно встроить в iframe для clickjacking-атаки. Установите DENY или SAMEORIGIN.
Нет X-Content-Type-OptionsБез nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).

Лучшие практики

Начните с базовых заголовковМинимум: HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy. Займёт 5 минут.
Внедрите CSP постепенноНачните с Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.
Скройте серверные заголовкиУдалите Server, X-Powered-By, X-AspNet-Version из ответов.
Настройте Permissions-PolicyОграничьте доступ к камере, микрофону, геолокации — только то, что реально используется.
Проверяйте после каждого деплояЗаголовки безопасности могут быть перезаписаны при обновлении конфигурации сервера.

Получите больше с бесплатным аккаунтом

История security-проверок и мониторинг HTTP-заголовков безопасности.

Зарегистрироваться (FREE)

Больше по теме

Часто задаваемые вопросы

Passkeys vs WebAuthn?

Passkeys = маркетинговое имя WebAuthn с cross-device sync. Технически одно и то же.

Нужна ли новая инфраструктура?

Нет — WebAuthn работает на стандартных HTTPS sites. Нужен только JS API + backend validation.

Заменит ли пароли?

Постепенно. Gmail, Apple, GitHub уже поддерживают. 2026: ~15% активных users используют passkeys.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.