WebAuthn (Web Authentication) — W3C стандарт (2019) для безпарольной аутентификации. Пользователь регистрирует "authenticator" (TouchID, Windows Hello, security key Yubikey) → login через биометрию. Passkeys — синоним от Apple/Google/Microsoft с synced keys между devices. Замена паролей и SMS-OTP. Phishing-resistant: key работает только с конкретным origin.
Ниже: подробности, пример, смежные термины, FAQ.
Бесплатный онлайн-инструмент — сканер безопасности сайта: результат мгновенно, без регистрации.
navigator.credentials.create({
publicKey: {
challenge: randomBytes,
rp: { name: "example.com" },
user: { id, name, displayName },
pubKeyCredParams: [{ alg: -7, type: "public-key" }]
}
});WebAuthn и Passkeys представляют собой стандарты безпарольной аутентификации, разработанные для повышения безопасности пользователей. Эти технологии позволяют осуществлять вход в системы и приложения с помощью криптографических ключей, вместо традиционных паролей. WebAuthn, как часть FIDO2, использует асимметричную криптографию для создания уникальных ключей на стороне клиента, что значительно снижает риски, связанные с кражей паролей.
Безпарольная аутентификация с использованием WebAuthn и Passkeys обладает множеством преимуществ:
Согласно исследованиям, более 80% утечек данных происходят из-за слабых паролей. Переход на безпарольную аутентификацию может существенно снизить этот риск.
Чтобы интегрировать WebAuthn на вашем сайте, следуйте этим шагам:
navigator.credentials.create({ publicKey: { challenge: new Uint8Array(32), rp: { name: 'Ваш сайт' }, user: { id: new Uint8Array(16), name: 'user@example.com', displayName: 'Имя пользователя' }, pubKeyCredParams: [{ type: 'public-key', alg: -7 }] } });navigator.credentials.get({ publicKey: { challenge: new Uint8Array(32), allowCredentials: [{ id: new Uint8Array(16), type: 'public-key' }] } });Эти команды создают и проверяют ключи, обеспечивая безопасный вход без паролей.
Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.
Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.
Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.
Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.
Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.
аудит HTTP-заголовков
проверка конфигурации
CSP и HSTS настройка
соответствие стандартам
Strict-Transport-Security.Server: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.DENY или SAMEORIGIN.nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.Server, X-Powered-By, X-AspNet-Version из ответов.История security-проверок и мониторинг HTTP-заголовков безопасности.
Зарегистрироваться (FREE)Passkeys = маркетинговое имя WebAuthn с cross-device sync. Технически одно и то же.
Нет — WebAuthn работает на стандартных HTTPS sites. Нужен только JS API + backend validation.
Постепенно. Gmail, Apple, GitHub уже поддерживают. 2026: ~15% активных users используют passkeys.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.