Passkey adoption в Рунете 2026
Enterno.io проверил support Passkey (WebAuthn/FIDO2) у 500 крупнейших Runet-сервисов (март 2026). 18% банков предлагают Passkey (Сбер, Тинькофф, Альфа — yes; ВТБ, Газпром — no). 7% SaaS (включая Skyeng, Битрикс24). 2% госсервисов (только Госуслуги Passkey beta). SMS OTP остаётся primary 2FA (92%). Google/Apple Passkey sync ограничен — нужен iCloud/GPA account не заблокированный.
Ниже: ключевые результаты, разбивка по платформам, импликации, методология, FAQ.
Ключевые результаты
| Метрика | Pass/значение | Медиана | p75 |
|---|---|---|---|
| Banks с Passkey support | 18% | — | — |
| SaaS Runet с Passkey | 7% | — | — |
| Government services | 2% | — | — |
| SMS OTP как primary 2FA | 92% | — | — |
| TOTP (Google Authenticator) | 43% | — | — |
| Hardware FIDO2 keys | 4% | — | — |
| Passkey sync через iCloud/Google | 67% | — | — |
| Passkey login UX < 5s | 84% | — | — |
Разбивка по платформам
| Платформа | Доля | Деталь | — |
|---|---|---|---|
| Банки (топ-30) | 100% | Passkey: 18% | — |
| E-commerce retail | 25% | Passkey: 4% | — |
| SaaS B2B (Runet) | 15% | Passkey: 7% | — |
| Госуслуги + сервисы | 12% | Passkey: 2% | — |
| Crypto exchanges | 8% | Passkey: 38% | — |
Почему это важно
- Passkey 10x безопаснее SMS OTP (phishing-resistant по definition). Переход снижает account takeover на 99%
- UX быстрее: ~3s login vs ~30s SMS OTP. Конверсия login на mobile +25%
- Costs ниже: не платите за SMS gateway (1-3₽ за SMS × миллион users/мес = huge)
- Barrier Runet: iCloud Keychain sync работает только с не-ru Apple ID. Android+Google — тоже ограничен
- Hardware FIDO2 keys (YubiKey, Titan) — work offline, но cost $25-50
Методология
Manual тестирование signup/login на 500 Runet сайтах. Detection через navigator.credentials.create() API availability + UI prompts. Март 2026. Classification по category через Semrush + SimilarWeb.
Почему нам доверяют
Как это работает
Введите URL сайта
Анализ заголовков безопасности
Получите оценку A–F
Что проверяет анализ безопасности?
Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.
Анализ заголовков
Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.
Проверка SSL
Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.
Обнаружение утечек
Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.
Отчёт с рекомендациями
Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.
Кому это нужно
Специалисты по безопасности
аудит HTTP-заголовков
DevOps
проверка конфигурации
Разработчики
CSP и HSTS настройка
Аудиторы
соответствие стандартам
Частые ошибки
Strict-Transport-Security.Server: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.DENY или SAMEORIGIN.nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).Лучшие практики
Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.Server, X-Powered-By, X-AspNet-Version из ответов.Получите больше с бесплатным аккаунтом
История security-проверок и мониторинг HTTP-заголовков безопасности.
Зарегистрироваться (FREE)Больше по теме
Часто задаваемые вопросы
Passkey = Password-less?
Да, Passkey заменяет password полностью. Authentication происходит через local biometrics (Face ID, fingerprint) → private key → challenge response к серверу.
Что если потерять phone с Passkey?
Cloud sync (iCloud / Google Password Manager) восстановит на новом устройстве. Backup = отдельный Passkey на другом device/hardware key.
Apple ID из РФ — работает?
С 2022 Apple ограничил новые RU регистрации. Существующие работают. Покупка через App Store из other region — workaround.
Implementation complexity?
Browser API простой. Server side — нужен FIDO2 library (simplewebauthn.js, py_webauthn). 1-2 недели для production.