Что меняется для пользователя
Вместо запоминания пароля пользователь подтверждает вход на своем устройстве. Сайт получает подтверждение, но сам секретный ключ не отправляется как обычный пароль.
Поэтому passkeys сложнее украсть через фишинговую форму: вводить привычную строку пароля просто нечего.
Почему это безопаснее
Passkeys основаны на криптографических ключах. Один ключ остается на устройстве или в защищенной связке аккаунта, другой используется сервисом для проверки входа.
Даже если злоумышленник скопирует внешний вид сайта, ему сложнее получить рабочий секрет, потому что вход привязан к домену и устройству.
Где может быть неудобно
Главный вопрос - восстановление доступа. Если человек потерял телефон, сменил экосистему или не настроил синхронизацию, вход может стать сложнее.
Поэтому перед переходом стоит проверить запасной способ: резервное устройство, менеджер паролей, почту восстановления или коды.
Стоит ли включать
Для важных аккаунтов passkeys обычно полезны: почта, банковские сервисы, рабочие аккаунты, магазины и облачные хранилища.
Но включать их лучше не вслепую, а после проверки, как сервис восстанавливает доступ при потере устройства.