“Як Passkey змінює безпеку в криптосвіті та мінімізує втрати.”, — write: epravda.com.ua
У цих умовах економічний захист зміщується в зону технологій доступу. Якщо раніше головними загрозами були збої системи або вразливості протоколів, то тепер ключовою точкою ризику стає аутентифікація – те, як система визначає ініціатора дій. Втрата доступу – не просто незручність, а фінансовий збиток.
Ціна слабкої автентифікації У міру дорослішання криптографічних технологій атаки на протоколи стали рідкісними і дорогими. Їх складніше реалізувати, вони швидше визначаються і вимагають високого рівня знань. На цьому тлі фокус шахраїв змістився до найслабшого елемента системи – користувача. Замість пошуку вразливостей у коді атакуються механізми доступу: від вкраденого пароля чи підробленого інтерфейсу до перехопленої сесії або помилки, якій система не змогла запобігти.
Результат той самий, але досягається він швидше, дешевше і масштабніше. Скільки активів індустрія втрачає щорічно? У 2024 році криптовалютний світ втратив активи на 1,2 млрд дол. (від дій хакерів – 7%, шахраїв – 93%). За версією компанії Chainalysis, цей показник ще вищий: 3,38 млрд дол. за рік.
У першій половині 2025 року втрати становили 2,47 млрд дол. Більша частина з них припала на найбільший в історії злом криптобіржі ByBit на 1,5 млрд дол. Згідно з новим звітом Chainalysis, втрати за 2025 рік сягнули 3,41 млрд дол. Це більше, ніж за попередній рік. Крім того, про низку втрат стає відомо тільки заднім числом.
Дисбаланс показовий: у серпні 2024 року було вкрадено 313,8 млн дол., 93% з яких – через фішинг. Цей тренд простежується і на короткій, і на довгій дистанціях. Причиною злому ByBit стала підміна інтерфейсу і помилка працівника біржі.
Chainalysis також повідомила про значне зростання кількості атак на seed-фрази для особистих криптогаманців і паролі для криптобірж: із 7,3% від суми викрадених коштів у 2022 році до 44% у 2024-му. Причина – стара модель аутентифікації.
Уразливість паролів цифрового світу Паролі з’явилися для фізичної ідентифікації користувача, де на кону стоять дані, а не гроші. Суть пароля – загальний секрет, який повинен бути відомий і користувачеві, і системі, а значить, за визначенням може бути переданий третій стороні або вилучений із сховища. Як тільки це відбувається, шахрай отримує те саме, що і власник облікового запису: повний економічний контроль.
До цього моменту пароль залишається єдиною точкою входу, але наслідки його компрометації в крипті стають незворотними. Система не розрізняє власника і зловмисника. Для неї це одна і та ж економічна сутність, тому безпека залежить не стільки від криптографії, скільки від якості аутентифікації.
Усвідомивши, що пароль не захищає гроші, індустрія ускладнила доступ і запровадила багаторівневу перевірку, біометрію і диверсифікація ключів.
Двофакторна аутентифікація підвищує поріг для атаки, додаючи нові “фактори” поверх пароля. Це найоптимальніша модель, що зберігає звичну систему.
Смс-перевірка прив’язує доступ до номера телефону. Це зручна модель, але вразлива до підміни SIM і перехоплення. Швидше психологічний бар’єр, ніж захист.
Апаратні ключі – пристрої, що підтверджують вхід власника, – безпечніші за паролі, але потребують девайса і погано масштабуються для масового користувача.
Multi-Party Computation – модель, що використовується в деяких криптогаманцях: ключ розділяється на частини і не існує цілком. Знижує ризик крадіжки, але ускладнює архітектуру і вирішує проблему зберігання ключів, а не доступу.
Біометрія як спосіб підтвердження дії посилює UX і безпеку, але це не модель аутентифікації, а інтерфейс до неї.
Усі ці варіанти були не революційним, а еволюційним кроком – спробою зміцнити фундамент старої системи, а не замінити його. Навіть 2FA можливо обійти через фішингові сайти, де людина сама передає обидва ключі. Радикально іншою системою і вирішенням проблеми паролів стала модель PassKey.
Концепція Passkey і її технологічна основа В основі Passkey – асиметрична криптографія. Для кожного облікового запису в мережі створюється пара ключів: публічний зберігається на стороні сервісу, а приватний залишається на пристрої власника і ніколи не передається назовні.
Аутентифікація побудована не на його передаванні, а на доведенні володіння ним. Коли користувач ініціює дію, пристрій підписує її своїм ключем, а сервіс перевіряє публічним. Даних, які можна перехопити і повторно використовувати, не існує.
Ключова особливість – міцна прив’язка до домену та пристрою. Passkey працює тільки для конкретного сайту або додатка, для якого був створений. Якщо користувач опинився на фішинговій сторінці, підпис не буде виконаний, тому що домен не збігається. Це вбудована властивість, а не додаткова перевірка.
У підсумку завдяки Passkey неможливо щось украсти, бо нема чого перехоплювати в мережі; неможливо щось переслати, бо приватний ключ не експортується; неможливо щось підглянути, бо користувач нічого не вводить вручну.
Аутентифікація перестає бути дією і стає криптографічним фактом, підтвердженим пристроєм. PIN, біометрія або двофакторна аутентифікація стають рівнем перевірки на пристрої користувача, який не має жодного сенсу поза ним.
Як Passkey знижує фінансові втрати Відмова від загального секрету змінює економіку атак. Більшість масових крадіжок цифрових активів базується на масштабованих сценаріях: фішинг, витоки баз даних, повторне використання паролів. Passkey зводить ці можливості до нуля.
Фішинг як клас атак перестає працювати. Навіть якщо користувач переходить за шкідливим посиланням, шахрай не отримує ні пароля, ні коду, ні підпису.
Витоки баз даних втрачають цінність. У базі сервісу зберігаються тільки публічні ключі. Їх компрометація не дозволяє увійти в акаунт, продати дані або отримати дані про користувачів для майбутніх атак на інших платформах.
Повне захоплення облікового запису стає рідкісним і дорогим. Для атаки потрібен фізичний контроль над пристроєм і проходження перевірки (біометрії або PIN). Це переводить загрозу з масової в точкову, знижуючи “прибуток” атаки.
Економічний ефект для сервісу та людини проявляється на кількох рівнях: зниження прямих фінансових втрат від зломів та шахрайства; зростання довіри, бо користувачі рідше втрачають кошти і залишають платформу; зменшення операційних витрат на відновлення, розслідування інцидентів і службу підтримки.
У результаті метод Passkey працює не як “ще один спосіб входу”, а як механізм зниження ризиків, при якому атаки на доступ стають просто нерентабельними.
Роль Passkey у майбутньому цифрових грошей Passkey виходить за рамки експерименту і починає відігравати практичну роль у криптосвіті. На платформах він використовується як безпечний спосіб входу без паролів, у гаманцях – як зручний і захищений механізм підтвердження. Passkey стає мостом між UX та безпекою: користувач отримує вхід через PIN або біометрію, а система – криптографічно надійне підтвердження доступу.
У “звичайному” інтернеті Passkey уже впровадили Apple та Google, тож технологію використовують мільярди користувачів. У криптосвіті цей підхід тільки формується, але теж застосовується, наприклад, у криптосервісі Trustee Plus. Там він виступає як головний, але не єдиний елемент захисту активів та криптокартки.
У світі, де гроші існують як записи, а не фізичні об’єкти, саме модель аутентифікації визначає, хто реально володіє активами. Passkey ще не масовий інструмент, але в майбутньому він стане стандартом цифрового світу. Люди і сервіси, що не перейдуть на нову модель, неминуче залишаться в зоні ризику.
Колонка є видом матеріалу, який відображає винятково точку зору автора. Вона не претендує на об’єктивність та всебічність висвітлення теми, про яку йдеться. Точка зору редакції “Економічної правди” та “Української правди” може не збігатися з точкою зору автора. Редакція не відповідає за достовірність та тлумачення наведеної інформації і виконує винятково роль носія.