Telegram тестирует новый способ авторизации.

Мессенджер Telegram начал тестирование нового способа безопасного входа в аккаунт без привычных паролей и кодов из SMS. В бета-версии приложения для Android появилась поддержка Passkey на основе стандарта FIDO2, что вписывается в глобальный курс IT-индустрии на отказ от уязвимых аутентификационных схем.

FIDO2 — это открытый отраслевой стандарт безопасной аутентификации без паролей, основанный на криптографических ключах, а Passkey (ключи доступа) — удобная пользовательская реализация этого подхода, когда логин заменяется подтверждением личности на устройстве.

Что именно появилось в бета-версии Telegram?

В одной из последних бета-сборок Telegram для Android тестировщики обнаружили новую опцию входа в аккаунт через Passkey. По сути, речь идёт о том, что вместо ввода пароля или ожидания одноразового кода из SMS пользователю предлагается подтвердить свою личность прямо на устройстве, после чего за него «работает» криптографический ключ, хранящийся в менеджере паролей.

Ключи доступа сохраняются не на серверах мессенджера, а локально — в защищённом хранилище на устройстве. Это может быть Google Password Manager, Apple iCloud Keychain, Samsung Pass или сторонние решения вроде 1Password и Bitwarden. При попытке входа пользователь подтверждает свою личность с помощью биометрии или PIN-кода устройства, а Telegram уже получает результат криптографической проверки, не видя и не храня самого секрета.

Биометрия — это способы идентификации по физическим характеристикам человека (отпечаток пальца, распознавание лица и так далее), а PIN-код — короткий цифровой пароль, который владелец вводит для разблокировки устройства или доступа к отдельным функциям.

Управлять такими ключами можно будет в разделе настроек конфиденциальности Telegram: добавлять новые Passkey, удалять старые, привязанные к утраченных устройствам, и контролировать, какие гаджеты имеют право авторизовывать доступ к аккаунту.

Телеграм на смартфоне. Изображение сгенерировано нейросетью.

Как работает связка Passkey и менеджеров паролей?

Технология Passkey опирается на асимметричную криптографию: при настройке создаётся пара ключей — открытый и закрытый. Открытый ключ отправляется на сервер Telegram и связывается с аккаунтом, а закрытый остаётся в менеджере паролей на устройстве и никогда его не покидает. При входе мессенджер посылает запрос на подтверждение, а хранилище на устройстве подписывает его закрытым ключом после успешной проверки личности владельца.

Асимметричная криптография — это метод шифрования и подписи данных, в котором используются два связанных ключа: открытый (его можно передавать и публиковать) и закрытый (хранится в секрете и не передаётся по сети).

Если пользователь пользуется системным менеджером паролей от Google или Apple, Passkey может автоматически синхронизироваться между его устройствами в пределах одной экосистемы. Для пользователей сторонних решений вроде 1Password и Bitwarden многое будет зависеть от настроек конкретного сервиса, но общий принцип тот же: ключи доступа остаются под контролем пользователя и защищены механизмами устройства и самого менеджера.

Почему Telegram отказывается от паролей и SMS-кодов?

Классические пароли и одноразовые SMS-коды давно считаются слабым звеном безопасности. Пароли можно подобрать или украсть через фишинговые сайты, а SMS подвергаются риску перехвата, в том числе при так называемом SIM-свопе, когда злоумышленники переоформляют номер жертвы на другую SIM-карту и тем самым получают доступ к её сообщениям и сервисам.

SMS — это короткие текстовые сообщения сотовой связи, фишинг — вид интернет-мошенничества, при котором злоумышленники выдают себя за надёжный сервис и выманивают логины и пароли, а SIM-своп — мошенническая схема замены SIM-карты абонента, позволяющая перехватывать его звонки и сообщения.

Passkey и стандарт FIDO2 изначально разрабатывались как ответ на эти угрозы. Пользователь больше не передаёт секретную информацию (пароль или код) на сервер: проверка построена на криптографической подписи, которую не получится просто перехватить и повторно использовать. Даже если человек введёт свои данные на поддельном сайте, без доступа к закрытому ключу на устройстве атакующий не сможет авторизоваться.

Telegram, следуя за такими крупными игроками, как Google, Apple и Microsoft, а также рядом российских сервисов, фактически признаёт, что эпоха паролей подходит к концу, и делает ставку на более устойчивую и удобную для пользователя модель аутентификации.

Что изменится для пользователей Telegram в перспективе?

Сейчас новая функция доступна ограниченному кругу тестировщиков в бета-версии для Android. По мере отладки и анализа обратной связи разработчики смогут доработать интерфейс подключения Passkey, продумать сценарии восстановления доступа и уже затем включить эту возможность в одно из ближайших стабильных обновлений клиента.

Для большинства пользователей ключевым изменением станет то, что вход в мессенджер можно будет выполнять буквально в один шаг: достаточно разблокировать телефон привычным способом — отпечатком пальца, распознаванием лица или PIN-кодом. Это не только удобнее, но и снижает вероятность того, что человек потеряет доступ к аккаунту из-за забытого пароля или случайно введённых данных на фишинговом сайте.

Под фишинговым сайтом обычно понимают поддельную страницу, имитирующую внешний вид настоящего сервиса, с целью заставить пользователя ввести свои логин, пароль или другие конфиденциальные данные.

При этом уже сейчас можно предположить, что Telegram не будет одномоментно отключать вход по номеру телефона и коду из SMS. Скорее всего, некоторое время старый и новый способы будут существовать параллельно, чтобы пользователи могли постепенно перейти на Passkey и оценить его удобство без риска потерять доступ к своему аккаунту.

Отдельный вопрос — защита устройств. С переходом на Passkey безопасность аккаунта Telegram ещё сильнее привязывается к безопасности смартфона или компьютера. Если на гаджете не настроены надёжный PIN-код и биометрия, а сам он часто остаётся без присмотра, преимущества новой схемы могут быть частично нивелированы.

Потенциальные последствия для рынка и цифровой безопасности.

Выход Telegram на траекторию безпарольной аутентификации усиливает глобальный тренд: чем больше массовых сервисов внедряют Passkey, тем быстрее пользователи привыкают к новой модели безопасности. На фоне внедрения FIDO2 крупными платформами шаг популярного мессенджера с многомиллионной аудиторией подтолкнёт и другие проекты пересмотреть свои механизмы входа.

Для киберпреступников это означает постепенное сужение поля для атак, основанных на перехвате SMS-кодов и манипуляциях с SIM-картами. Фокус будет смещаться в сторону попыток захвата самих устройств и социальной инженерии, что, в свою очередь, вынуждает сервисы и пользователей уделять больше внимания базовой кибергигиене.

Для бизнеса и регуляторов новая схема открывает возможность совмещать более строгие требования к защите персональных данных с упрощённым пользовательским опытом. Чем меньше паролей и кодов приходится запоминать и вводить вручную, тем ниже нагрузка на службы поддержки и тем меньше риск человеческих ошибок.

Если тестирование пройдёт успешно и новая функция будет положительно воспринята аудиторией, Telegram может стать одним из крупнейших мессенджеров, где повседневный вход в аккаунт фактически избавлен от паролей и одноразовых кодов. Для пользователей это шаг к более безопасному и прозрачному цифровому миру, где в основе защиты стоят не сложные комбинации символов, а продуманная архитектура и надёжные устройства.