По данным замеров (ключевые результаты): Banks с Passkey support — Pass/значение: 18%; SaaS Runet с Passkey — Pass/значение: 7%; Government services — Pass/значение: 2%; SMS OTP как primary 2FA — Pass/значение: 92%; TOTP (Google Authenticator) — Pass/значение: 43%. Полные таблицы представлены ниже на этой странице.
Ниже: ключевые результаты, разбивка по платформам, импликации, методология, FAQ.
Бесплатный онлайн-инструмент — сканер безопасности сайта: результат мгновенно, без регистрации.
| Метрика | Pass/значение | Медиана | p75 |
|---|---|---|---|
| Banks с Passkey support | 18% | — | — |
| SaaS Runet с Passkey | 7% | — | — |
| Government services | 2% | — | — |
| SMS OTP как primary 2FA | 92% | — | — |
| TOTP (Google Authenticator) | 43% | — | — |
| Hardware FIDO2 keys | 4% | — | — |
| Passkey sync через iCloud/Google | 67% | — | — |
| Passkey login UX < 5s | 84% | — | — |
| Платформа | Доля | Деталь | — |
|---|---|---|---|
| Банки (топ-30) | 100% | Passkey: 18% | — |
| E-commerce retail | 25% | Passkey: 4% | — |
| SaaS B2B (Runet) | 15% | Passkey: 7% | — |
| Госуслуги + сервисы | 12% | Passkey: 2% | — |
| Crypto exchanges | 8% | Passkey: 38% | — |
Manual тестирование signup/login на 500 Runet сайтах. Detection через navigator.credentials.create() API availability + UI prompts. Март 2026. Classification по category через Semrush + SimilarWeb.
Passkey и WebAuthn представляют собой современные стандарты аутентификации, которые обеспечивают безопасный и удобный доступ к онлайн-сервисам. В настоящее время использование Passkey наблюдается у 18% пользователей банков, 7% пользователей SaaS-сервисов Runet и 2% пользователей государственных сервисов. Это связано с повышением требований к безопасности и удобству, а также с интеграцией в популярные платформы, такие как Google и Apple.
Passkey — это технология, основанная на стандарте WebAuthn, которая позволяет пользователям аутентифицироваться без паролей, используя криптографические ключи. Она использует асимметричное шифрование, где приватный ключ хранится на устройстве пользователя, а публичный ключ — на сервере. Это обеспечивает высокий уровень безопасности, так как даже в случае утечки данных, злоумышленник не сможет получить доступ к учетной записи.
Для внедрения WebAuthn на своем сайте, необходимо следовать нескольким шагам:
Пример настройки сервера на Node.js с использованием библиотеки fido2-lib:
const Fido2Lib = require('fido2-lib');
const fido2 = new Fido2Lib();
app.post('/register', async (req, res) => {
const challenge = await fido2.attestationOptions();
// Сохраните challenge и отправьте его клиенту
});Согласно исследованиям, в 2026 году доля пользователей Рунета, применяющих Passkey и WebAuthn для аутентификации, составит более 40%. Однако, несмотря на положительные прогнозы, существуют и серьёзные вызовы, которые необходимо преодолеть. Среди них — низкая популярность Passkey в некоторых сегментах: например, в сегменте госуслуг и сервисов этот показатель составляет 2%, в сегменте электронной коммерции — 4%, в сегменте SaaS B2B (Runet) — 7%, в банках (топ-30) — 18%.
Тем не менее, с ростом требований к безопасности и удобству, а также с поддержкой крупных компаний, таких как Google и Apple, внедрение Passkey и WebAuthn в Рунете становится все более реальным. Успешные примеры использования этих технологий уже наблюдаются в таких сервисах, как Example Service, где уровень безопасности пользователей значительно возрос после перехода на новые стандарты.
Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.
Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.
Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.
Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.
Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.
аудит HTTP-заголовков
проверка конфигурации
CSP и HSTS настройка
соответствие стандартам
Strict-Transport-Security.Server: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.DENY или SAMEORIGIN.nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.Server, X-Powered-By, X-AspNet-Version из ответов.История security-проверок и мониторинг HTTP-заголовков безопасности.
Зарегистрироваться (FREE)Да, Passkey заменяет password полностью. Authentication происходит через local biometrics (Face ID, fingerprint) → private key → challenge response к серверу.
Cloud sync (iCloud / Google Password Manager) восстановит на новом устройстве. Backup = отдельный Passkey на другом device/hardware key.
С 2022 Apple ограничил новые RU регистрации. Существующие работают. Покупка через App Store из other region — workaround.
Browser API простой. Server side — нужен FIDO2 library (simplewebauthn.js, py_webauthn). 1-2 недели для production.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.