Технологія ключів доступу (passkeys) — це справжнє відкриття. Утім, більшість користувачів, як і раніше, покладаються на менеджери паролів, а традиційні паролі залишаються основним способом входу в акаунти. Якщо ключі доступу такі зручні та безпечні, чому паролі нікуди не зникли?

Більшість користувачів досі не розуміють, що таке ключі доступу

Головна проблема — ключі доступу з’явилися ніби нізвідки, без жодного пояснення. Люди продовжували звично користуватися інтернетом, аж раптом під час чергового входу на сайт їм запропонували скористатися passkey. Реакція виявилася передбачуваною: більшість просто натиснули «Пропустити» або будь-яку іншу кнопку, що дозволяла увійти звичним способом.

Ті ж, хто все-таки вирішив розібратися, потрапляли в лабіринт без жодних орієнтирів. Жоден сайт — навіть від великих технологічних компаній — не пропонує зрозумілого пояснення, що таке ключ доступу, як він працює і чому варто ним скористатися. Користувача просто проводять через кроки налаштування, і він опиняється прив’язаний до нового методу захисту, навіть не розуміючи, наскільки той підходить саме для нього.

Чи виправдовує ризик очікуваний результат?

Ще одна суттєва проблема — непослідовність самих веб-сайтів. Замість того щоб зробити ключі доступу обов’язковими, платформи перетворили їх на просто ще один варіант із багатьох. Для порівняння: коли йшлося про запровадження двофакторної автентифікації або вимог до складності паролів, більшість сервісів не соромилися нав’язувати нові правила.

Це демонструє одну з принципових слабкостей системи ключів доступу: passkey прив’язаний до конкретного фізичного пристрою, де зберігається локальний приватний ключ шифрування. Якщо цей пристрій втрачено або він вийшов з ладу, а резервного хмарного копіювання немає — доступ до акаунту може бути назавжди втрачено. Можна мати ключі доступу на кількох пристроях, однак потреба у надійній резервній системі нікуди не зникає.

Коли нову технологію залишають необов’язковою, переважна більшість користувачів обирає звичний шлях і залишається з тим, що вже знайоме.

Технічні труднощі гальмують поширення технології

На практиці використання ключів доступу нерідко пов’язане з більшим числом незручностей, аніж банальне введення коду з автозаповненням пароля. Сканування QR-коду для passkey, збереженого на смартфоні, буває надмірно повільним — і навіть після виконання всіх кроків немає жодної гарантії, що ключ доступу спрацює. Трапляється, що сайт повідомляє про непридатність passkey лише наприкінці процедури, змушуючи користувача все одно вдаватися до пароля з двофакторною автентифікацією.

Саме через ці збої багато хто змушений створювати ключі доступу відразу на кількох пристроях — адже той, що зберігається безпосередньо на пристрої, зазвичай надійніший. Водночас таке розпорошення ключів по різних гаджетах само по собі є джерелом занепокоєння щодо безпеки.

Шлях найменшого опору: чому паролі нікуди не зникають

Ключі доступу — це крок у правильному напрямку, однак їхнє впровадження виявилося далеким від ідеалу. Проблема не в самій технології, а в людській психології: коли перед користувачем постає вибір між чимось новим і незнайомим та тим, що вже звичне й перевірене, він майже завжди обирає друге. Саме це стримує масове поширення passkeys — не технічні обмеження, а передбачувана поведінка людей, яку розробники технології, схоже, недооцінили.

Ця стаття Ключі доступу проти паролів: чому нова технологія програє звичці раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Microsoft починає впроваджувати підтримку ключів доступу для Microsoft Entra на пристроях під керуванням Windows. Нові можливості забезпечують автентифікацію без пароля, захищену від фішингу, за допомогою Windows Hello.

Етапи розгортання

Функція є добровільною і входить у відкритий превью з середини березня до кінця квітня 2026 року для глобальних тенантів. Хмарні середовища державного сектору (GCC, GCC High і DoD) отримують доступ до функції пізніше — з середини квітня до середини травня.

Важливо, що нова функція розширює безпарольну автентифікацію й на некеровані пристрої Windows. До цього особисті та спільні пристрої були змушені покладатися на традиційну автентифікацію з паролем, що істотно підвищувало ризики безпеки.

Як працюють ключі доступу в Entra

За поясненням Microsoft у центрі повідомлень Microsoft 365, оновлення дозволяє створювати прив’язані до пристрою ключі доступу, що зберігаються у контейнері Windows Hello. Для входу користувачі можуть використовувати розпізнавання обличчя, відбитків пальця або PIN-коду — ті самі методи, що вже сьогодні підтримуються Windows Hello.

Створені ключі доступу криптографічно прив’язані до пристрою і ніколи не передаються мережею. Це означає, що зловмисники не можуть викрасти їх під час фішингових атак чи через шкідливе ПЗ, щоб обійти багатофакторну автентифікацію.

Обмеження та умови використання

Microsoft уточнила: кожен обліковий запис Entra реєструє власний ключ доступу на кожному пристрої, а на одному пристрої можуть співіснувати кілька облікових записів. Проте ключі доступу прив’язані до конкретного пристрою і не синхронізуються між пристроями, тому при вході з нового пристрою потрібна окрема реєстрація.

Налаштування для IT-адміністраторів

Щоб долучитися до відкритого превью, IT-адміністратори мають виконати три кроки: увімкнути метод автентифікації «Ключі доступу (FIDO2)» у політиках автентифікації Entra, створити профіль ключів доступу з необхідними AAGUID Windows Hello, а також призначити його відповідним групам.

Ширша відмова від паролів: попередня історія

Microsoft послідовно розширює підхід «насамперед без пароля». У травні 2025 року компанія оголосила, що всі нові облікові записи Microsoft стануть «безпарольними за замовчуванням» — захист від фішингу, перебору паролів і атак з підбором облікових даних. Роком раніше, у 2024 році, автентифікація за допомогою ключів доступу з’явилася і для особистих облікових записів Microsoft — після того, як у Windows 11 22H2 було додано вбудований менеджер ключів доступу для Windows Hello.

Ця стаття Microsoft запроваджує Entra passkeys — захищені від фішингу ключі доступу до Windows раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

У світі, де кібератаки стають дедалі витонченішими, традиційні паролі вже не забезпечують достатнього захисту. Google пропонує апаратне рішення — Titan Security Key, фізичний ключ безпеки, який перетворює вхід до облікових записів на процес, що вимагає не лише знання пароля, а й фізичного володіння пристроєм.

Що таке Titan Security Key

Titan Security Key — це апаратний ключ безпеки, розроблений Google для захисту онлайн-облікових записів від фішингу та несанкціонованого доступу. На відміну від традиційних методів двофакторної автентифікації (SMS-коди або додатки-автентифікатори), фізичний ключ забезпечує криптографічний захист, який практично неможливо обійти дистанційно.

Ключ виготовлений з білого полікарбонату зі срібними акцентами, компактний і достатньо міцний, щоб носити його на звʼязці з іншими ключами. Пристрій не має рухомих частин, не потребує батарей чи підключення до мережі — це суто апаратний інструмент захисту.

Доступні моделі та ціноутворення

Google пропонує дві моделі Titan Security Key:

USB-A + NFC — $30
Підключається до стандартних USB-портів, підтримує NFC для безконтактного зʼєднання з мобільними пристроями. У комплекті йде перехідник USB-A на USB-C.

USB-C + NFC — $35
Призначений для сучасних пристроїв з портами USB-C, також підтримує NFC для мобільних пристроїв.

Обидві моделі функціонально ідентичні — різниця лише в типі роз’єму. Вибір залежить від того, які порти є на ваших пристроях.

Як працює захист

Технологія FIDO2

Titan Security Key підтримує стандарти FIDO2/WebAuthn та FIDO U2F — відкриті протоколи автентифікації, які забезпечують криптографічний захист. Коли ви намагаєтеся увійти до облікового запису, ключ перевіряє два параметри:

1. URL веб-сайту — підтверджує, що ви входите саме на легітимний сайт, а не на фішингову копію
2. Вашу ідентичність — через криптографічний підпис, який генерується безпосередньо на апаратному чіпі

Навіть якщо зловмисник вкраде ваш пароль або створить ідеальну копію сайту, без фізичного доступу до ключа вхід неможливий.

Апаратний чіп з мікропрограмою Google

Кожен Titan Security Key оснащений захищеним апаратним чіпом з мікропрограмою, розробленою Google. Цей чіп виконує критичні криптографічні операції та перевіряє цілісність ключа — підтверджує, що пристрій не піддавався фізичному втручанню. Мікропрограма вбудована в чіп ще на заводі та не може бути змінена після виробництва.

Підтримка технології passkey

Одна з ключових особливостей сучасних моделей Titan — можливість зберігати понад 250 унікальних passkey. Passkey — це наступний крок у безпеці автентифікації, технологія, яка дозволяє повністю відмовитися від паролів.

Замість того, щоб запам’ятовувати складні паролі для десятків сервісів, ви створюєте passkey, який зберігається на апаратному ключі. При вході до облікового запису ви вводите PIN-код, встановлений на ключі, і торкаєтесь золотого кружечка на пристрої. Ніяких паролів, ніяких SMS-кодів — лише фізичний ключ та простий PIN.

За оцінками експертів з безпеки, passkey представляють найбільш захищений метод автентифікації на ринку, оскільки поєднують криптографічну надійність з простотою використання.

Налаштування та використання

Реєстрація ключа

Процес налаштування Titan Security Key займає близько 10 хвилин:

1. Відвідайте сторінку налаштування на сайті Google
2. Увійдіть до свого облікового запису Google
3. Підключіть ключ до USB-порту
4. Дотримуйтесь покрокових інструкцій на екрані
5. Торкніться золотого кружечка на ключі для підтвердження

Після реєстрації ключ можна використовувати не лише для облікових записів Google, а й для будь-яких сервісів, що підтримують стандарти FIDO.

Робота з комп’ютером

При вході до облікового запису з нового пристрою або після очищення історії браузера система запитує пароль. Потім зʼявляється другий рівень захисту — запит вставити ключ у USB-порт і торкнутися сенсорного кружечка. Процес верифікації займає 5-10 секунд.

Важливо розуміти: ключ не є зчитувачем відбитків пальців. Будь-хто, хто має фізичний доступ до ключа, може натиснути кружечок. Тому критично важливо тримати ключ у безпечному місці та виймати його з комп’ютера після використання.

Робота з мобільними пристроями

Titan Security Key підтримує NFC, що дозволяє використовувати його з Android та iOS пристроями. Просто поставте ключ до задньої панелі смартфона для безконтактної автентифікації.

Сумісність:

• Android 9.0 і вище
• iOS 13.3 і вище
• Браузери Chrome, Firefox, Safari 14+

Для кого призначений Titan Security Key

Користувачі з високим ризиком

Google визначає кілька категорій користувачів, яким апаратні ключі безпеки особливо потрібні:

Журналісти — особливо ті, хто працює з чутливими матеріалами або розслідує теми, що можуть привернути увагу зловмисників

Активісти та правозахисники — люди, чиї облікові записи можуть стати мішенню для цілеспрямованих атак

Політичні діячі та працівники виборчих штабів — особи з доступом до конфіденційної політичної інформації

ІТ-адміністратори та бізнес-лідери — фахівці з доступом до критичної корпоративної інфраструктури

Google пропонує 100,000 ключів Titan безкоштовно щороку для користувачів з високим ризиком через партнерські програми з організаціями Access Now, Defending Digital Campaigns, Freedom House та іншими.

Звичайні користувачі

Навіть якщо ви не належите до категорії високого ризику, Titan Security Key може бути корисним, якщо:

• Ви інтенсивно користуєтесь Gmail, Google Docs, Google Sheets для роботи
• У вас є облікові записи з конфіденційною інформацією
• Ви хочете максимального захисту від фішингу
• Ви працюєте з клієнтськими даними або комерційною таємницею

Сумісність з сервісами

Titan Security Key працює з будь-якими сервісами, що підтримують стандарти FIDO. До них належать:

Сервіси Google: Gmail, Google Drive, Google Docs, Google Workspace, YouTube

Соціальні мережі: Twitter (X), Facebook, Instagram

Бізнес-платформи: Salesforce, GitHub, Stripe, Slack

Хмарні сховища: Dropbox, OneDrive

Фінансові сервіси: PayPal, Coinbase

Microsoft: облікові записи Microsoft (хоча є певні обмеження з MS Entra Passwordless)

Список сервісів постійно розширюється, оскільки все більше компаній впроваджують підтримку FIDO2.

Програма Advanced Protection Program

Google пропонує програму розширеного захисту (Advanced Protection Program) — найвищий рівень безпеки для облікових записів Google. Titan Security Key є ключовим компонентом цієї програми.

Що дає участь у Advanced Protection Program:

• Обов’язкове використання апаратних ключів безпеки
• Посилена перевірка додатків, що отримують доступ до даних
• Додаткові етапи верифікації при відновленні доступу до облікового запису
• Захист від завантаження шкідливих файлів через Gmail та Drive

Програма призначена для користувачів, які є потенційними цілями для цілеспрямованих кібератак.

Обмеження та недоліки

Відсутність управління passkey

Titan Security Key може зберігати понад 250 passkey, але не має вбудованого інструменту для управління ними. Після створення passkey його неможливо видалити з ключа. Незважаючи на великий обсяг памʼяті (250 passkey), це може стати проблемою для користувачів, які активно експериментують з різними сервісами.

Сумісність з браузерами

Для роботи з Google-сервісами Titan Security Key потребує браузера Google Chrome. Спроби використання в інших браузерах можуть призвести до обмеженої функціональності або помилок автентифікації.

Обмеження з Microsoft

Titan Security Key сертифікований FIDO 2.0, але може мати проблеми з деякими сервісами Microsoft, зокрема MS Entra Passwordless. Microsoft використовує власний процес верифікації FIDO2-ключів і не включає Titan до списку схвалених пристроїв. Адміністратори можуть обійти це обмеження, вимкнувши опцію “Enforce Attestation”.

Відсутність біометрії та OpenPGP

На відміну від деяких конкурентів (наприклад, YubiKey Bio), Titan Security Key не підтримує біометричну автентифікацію. Також ключ не працює з OpenPGP, що може бути важливим для користувачів, які потребують шифрування електронної пошти або підпису коду.

Залежність від фізичного ключа

Якщо ви втратите Titan Security Key, доступ до облікових записів може бути заблокований. Google рекомендує реєструвати два ключі (основний і резервний) та зберігати резервний ключ у безпечному місці.

Порівняння з конкурентами: Titan vs YubiKey

YubiKey від компанії Yubico — головний конкурент Titan Security Key. Нижче наведено детальне порівняння характеристик:

Рекомендації щодо вибору

Обирайте Google Titan Security Key, якщо:

• Ви активно користуєтесь сервісами Google (Gmail, Drive, Workspace)
• Вам потрібно зберігати багато passkey (понад 25)
• Ви хочете простий у використанні ключ за доступною ціною
• Вам не потрібні OpenPGP та розширені протоколи
• Ви шукаєте найкраще співвідношення ціна/функціональність для базового захисту

Обирайте YubiKey Security Key, якщо:

• Вам потрібен найдешевший варіант базового захисту
• Вам важлива водостійкість
• Ви працюєте переважно з Microsoft екосистемою
• Вам достатньо 25 passkey

Обирайте YubiKey 5 Series, якщо:

• Вам потрібна підтримка OpenPGP для шифрування пошти
• Ви працюєте з корпоративними системами з особливими вимогами
• Вам потрібні розширені можливості управління ключами
• Ви використовуєте Yubico Authenticator App
• Ви готові платити більше за додаткову функціональність та універсальність

Статистика та ефективність

Згідно зі звітом Verizon про безпеку, 41,6% витоків даних відбуваються через викрадені паролі, фішинг та видавання себе за інших осіб. Апаратні ключі безпеки ефективно усувають ці ризики.

Google повідомляє, що після впровадження апаратних ключів безпеки для своїх понад 70,000 співробітників:

• Не зафіксовано жодної успішної фішингової атаки на корпоративні облікові записи
• Значно скоротилася кількість спроб несанкціонованого доступу
• Підвищився загальний рівень кібербезпеки компанії

Практичні поради щодо використання

Купуйте два ключі

Завжди реєструйте два Titan Security Key — основний для щоденного використання та резервний на випадок втрати чи пошкодження основного. Зберігайте резервний ключ у безпечному місці вдома або в банківській скриньці.

Не залишайте ключ у комп’ютері

Після автентифікації виймайте ключ з USB-порту. Якщо ключ постійно підключений до комп’ютера, це нівелює переваги апаратного захисту — зловмисник з фізичним доступом до вашого робочого місця зможе використати ключ.

Комбінуйте з надійними паролями

Titan Security Key не замінює паролі повністю (хоча passkey рухаються в цьому напрямку). Продовжуйте використовувати унікальні, складні паролі для кожного сервісу, зберігаючи їх у менеджері паролів.

Тестуйте перед повним впровадженням

Перед тим, як зробити Titan Security Key єдиним методом автентифікації, протестуйте його на менш критичних облікових записах. Переконайтеся, що розумієте процес відновлення доступу у разі втрати ключа.

Висновок: чи варто купувати

Google Titan Security Key — надійний апаратний інструмент захисту для тих, хто серйозно ставиться до кібербезпеки. За ціною $30-35 ви отримуєте військового рівня захист від фішингу, можливість зберігати 250+ passkey та впевненість, що навіть викрадення пароля не призведе до компрометації облікових записів.

Продукт ідеально підходить для журналістів, активістів, політичних діячів, ІТ-адміністраторів та всіх, хто працює з конфіденційною інформацією. Але навіть звичайні користувачі, які цінують безпеку, знайдуть Titan Security Key корисним інструментом.

Головні недоліки — відсутність управління passkey, обмежена сумісність з деякими корпоративними системами та необхідність мати резервний ключ — це порівняно невеликі компроміси за такий рівень захисту.

Якщо ви інтенсивно користуєтесь Gmail, Google Docs та іншими сервісами Google, Titan Security Key стане природним вибором. Для користувачів з більш різноманітною екосистемою сервісів або потребою в розширених протоколах, таких як OpenPGP, варто розглянути альтернативи, зокрема YubiKey 5 Series.

Підсумкова оцінка:

Для користувачів Google екосистеми: 9/10
Для універсального використання: 7/10
Співвідношення ціна/якість: 9/10

Titan Security Key доступний для покупки через Google Store у США, Канаді, країнах ЄС, Великій Британії, Японії та Швейцарії. Оптові замовлення доступні через дистриб’ютора SYNNEX.

Ця стаття Titan Security Key: як працює апаратний ключ безпеки від Google раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Роками експерти з кібербезпеки радили одне й те саме: робіть паролі довшими. Додавайте більше символів, вставляйте спеціальні знаки, змішуйте великі та малі літери — і ви будете в безпеці онлайн.

Однак у міру того, як атаки на паролі стають дедалі витонченішими, а інструменти на кшталт менеджерів паролів набувають широкого поширення, довші паролі не завжди є найкращим рішенням для захисту приватності.

Довжина має значення, але спосіб створення та управління паролем часто не менш важливий, а іноді й важливіший.

Довгий пароль, який легко передбачити або який використовується для кількох облікових записів, все одно можна зламати, викрасти чи використати зловмисниками. Натомість коротший пароль, згенерований і збережений належним чином, може забезпечити надійніший захист.

Розглянемо, як насправді працює довжина пароля, де вона допомагає, де ні, і що натомість рекомендують експерти з безпеки.

Чому довші паролі зазвичай безпечніші

Надійність пароля значною мірою залежить від ентропії — показника того, наскільки складно пароль вгадати. Чим більше символів містить пароль, особливо якщо вони випадкові, тим більше комбінацій доведеться перебрати зловмиснику.

Щоб зламати методом грубої сили з використанням сучасних обчислювальних потужностей 16-символьний пароль із випадкових літер, цифр і спеціальних знаків (наприклад, v9$QmR!2Zp#L8w@D) може знадобитися століття. Для порівняння, восьмисимвольний пароль (S3cur3!9), навіть складний, може бути зламаний за кілька годин чи днів, якщо зловмисники матимуть доступ до сучасних інструментів злому.

Саме тому такі організації, як Національний інститут стандартів і технологій (NIST) — федеральне агентство, що встановлює рекомендації з кібербезпеки для урядових установ і технологічних компаній, — рекомендують використовувати довгі паролі або парольні фрази замість коротких складних паролів.

Коли довгі паролі не допомагають

Сама по собі довжина не врятує, якщо пароль передбачуваний. Довгий пароль на кшталт PasswordPassword123! набагато легше зламати, ніж коротший, але повністю випадковий.

Ще одна поширена проблема — повторне використання довгих паролів для кількох облікових записів. Якщо один сайт зазнає витоку даних, зловмисники часто намагаються використати ті самі облікові дані в інших місцях — тактика, відома як credential stuffing (підстановка облікових даних). У такому випадку навіть дуже довгий і складний пароль практично не забезпечує захисту.

Фішингові атаки також повністю обходять фактор довжини пароля. Якщо користувача обдурили і він ввів свої облікові дані на фальшивій сторінці входу, зловмисникам не потрібно нічого зламувати — жертва сама віддає їм пароль.

Парольна фраза: легше запам’ятати, складніше вгадати

Популярною альтернативою традиційним паролям є парольна фраза — рядок непов’язаних слів, наприклад river-battery-moon-carpet (річка-батарея-місяць-килим). Оскільки парольні фрази довгі й не покладаються на передбачувані заміни, їх значно складніше зламати методом грубої сили порівняно з короткими складними паролями, і водночас їх легше запам’ятати.

Національний центр кібербезпеки Великобританії (NCSC) активно пропагує метод “три випадкових слова” як ефективний спосіб створення надійних паролів. Цей підхід працює з кількох причин:

Довжина та складність. Три випадкових слова створюють довший пароль, який важче зламати, водночас уникаючи передбачуваних шаблонів заміни символів.

Легке запам’ятовування. На відміну від складних комбінацій символів, парольні фрази з випадкових слів набагато легше запам’ятати навіть людям, які не вважають себе технічно обізнаними.

Універсальність. Можна використовувати текст з пісні чи вірша, цитату з фільму, уривок з книги або створити абревіатуру з речення — головне, щоб це мало значення для користувача, але було непередбачуваним для зловмисників.

Парольні фрази особливо добре підходять для речей, які потрібно пам’ятати, наприклад головного пароля для менеджера паролів або входу в пристрій.

Менеджери паролів — золотий стандарт безпеки

Водночас експерти з безпеки, зокрема Агентство з кібербезпеки та захисту інфраструктури (CISA), загалом погоджуються, що випадково згенеровані паролі, збережені в менеджері паролів, залишаються золотим стандартом. Вони поєднують довжину, випадковість і унікальність, не змушуючи покладатися на пам’ять.

Компроміс полягає в тому, що користувач довіряє одному інструменту охорону багатьох облікових записів, що робить особливо важливим захист головного пароля, увімкнення двофакторної автентифікації та підтримку актуальності параметрів відновлення.

NCSC також критикує політики примусової зміни паролів, оскільки вони спонукають користувачів створювати невеликі варіації існуючих паролів замість справді нових. Експерти рекомендують зберігати паролі в менеджері паролів, браузері або навіть на аркуші паперу — головне, щоб вони були унікальними та надійними.

Що варто робити насправді

Довгі паролі кращі, але лише коли вони унікальні, випадкові та належно керовані. Найбезпечніше налаштування для більшості людей виглядає так:

• Використовуйте менеджер паролів для генерації та зберігання довгих унікальних паролів
• Створіть надійний головний пароль або парольну фразу з кількох випадкових слів, яку легко запам’ятати
• Увімкніть двофакторну автентифікацію скрізь, де це можливо
• Уникайте повторного використання паролів, незалежно від їхньої довжини
• Змінюйте паролі, які потрапили у витік даних, навіть якщо вони були довгими
• Остерігайтеся фішингових листів і фальшивих сторінок входу, які повністю обходять надійність пароля
• Використовуйте passkey (ключі доступу), коли це можливо — вони замінюють паролі біометричним входом або входом на основі пристрою, які неможливо викрасти фішингом чи зламати грубою силою

Як і в більшості питань кібербезпеки, безпека паролів — це не одне ідеальне правило, а багаторівневий захист: коли один рівень не спрацьовує, інші все одно тримають оборону.

Ця стаття Найкращий пароль: парольна фраза чи складна комбінація символів? раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Наприкінці року варто знайти час, щоб модернізувати спосіб входу в ваші найважливіші облікові записи. Ключі допуску (passkeys) тихо впроваджуються в банках, технологічних платформах та повсякденних додатках — і вони вирішують базову проблему безпеки, яка існувала у паролів десятиліттями. Їх неможливо вгадати, викрасти через фішинг або отримати під час витоку даних, оскільки вони взагалі не залишають ваш пристрій.

Що таке ключі допуску простими словами

Ключі допуску звучать як черговий технічний термін, який ви начебто маєте розуміти, але ідея досить проста, коли прибрати жаргон. Замість того, щоб вводити пароль, у вас є пара цифрових ключів, які мають збігатися для входу: публічний ключ сервісу та ваш секретний ключ. Ваш пристрій — телефон або ноутбук — використовує вбудований криптографічний ключ, щоб підтвердити вашу особу. Ви розблокуєте його обличчям, відбитком пальця або ПІН-кодом. Більше не потрібно нічого вводити чи згадувати.

Ваш приватний ключ залишається на пристрої і нікуди не передається. Сервіс зберігає тільки публічний ключ, який не можна перетворити на вхід у систему. Якщо сайт зламають, зловмисники отримають купу публічних ключів, які нічого не відкривають. Звична паніка через викрадені паролі тут просто не працює.

Ключі допуску вже працюють на iOS, Android, Windows, macOS та у всіх основних браузерах. Вони також синхронізуються через програму «Паролі» Apple, менеджер паролів Google, облікові записи Microsoft та сторонні менеджери паролів на кшталт 1Password  чи Bitwarden, тож ви можете використовувати їх на всіх своїх пристроях без додаткового налаштування. Вони також за замовчуванням блокують фішингові атаки. Ключ допуску працює лише на легітимному сайті чи в додатку, для якого його створено. Якщо ви потрапите на фейкову сторінку входу, пристрій взагалі не запропонує ключ допуску.

Почніть з акаунтів, що захищають ваші гроші

Ваші фінансові облікові записи мають бути першими в черзі на оновлення ключами допуску до Нового року. Ці входи переміщують гроші, схвалюють перекази і відкривають доступ до акаунтів, до яких ви точно не хочете, щоб хтось інший мав доступ. Якщо ви нічого більше не оновите до Нового року — оновіть принаймні це.

Багато фінансових установ вже переходять на ключі допуску або автентифікацію FIDO, навіть якщо особливо про це не рекламують. Mastercard та системи на кшталт BankID показали, що фінансові сервіси можуть перейти на сильнішу, стійку до фішингу автентифікацію у фоновому режимі, не вимагаючи від користувачів нічого нового вчити.

Банківські та інвестиційні додатки, що підтримують ключі допуску, зазвичай розміщують цю опцію в налаштуваннях безпеки або входу. Шукайте пункти з позначками «ключі допуску», «вхід через пристрій», «ключ безпеки FIDO» тощо. Коли додаток запропонує створити ключ допуску, виконайте кроки і підтвердіть через розпізнавання обличчя, відбиток пальця або ПІН-код. Зауважте, що ще не всі надають цю послугу — але більшість вже так.

Основна різниця полягає в тому, що ключ допуску використовує пару криптографічних ключів, а біометричні дані використовуються для верифікації особи. Хоча ви можете розблокувати ключ допуску за допомогою біометричних даних.

Захистіть основний email та платформні акаунти

Ваш основний email та облікові записи Apple, Google і Microsoft також заслуговують уваги якнайшвидше. Хто отримає доступ до них, зможе скинути половину вашого цифрового життя без особливих зусиль. Якщо ви формуєте першу хвилю акаунтів для захисту після фінансових — це саме ті, з яких потрібно почати.

Google вже розглядає ключі допуску як стандартний шлях для персональних акаунтів. Відкрийте налаштування облікового запису Google, виберіть розділ «Безпека й вхід», потім «Ключі доступу й ключі безпеки» для налаштування. Microsoft рухається в тому ж напрямку. Компанія поступово відмовляється від зберігання паролів в Authenticator і підштовхує людей до надійніших методів входу. Перейдіть на сторінку облікового запису Microsoft, виберіть «Безпека», потім «Керування способами входу» і «Використовувати ключ доступу» для розширення списку опцій.

Для Apple ключі допуску, схоже, створюються автоматично. Також, коли ви заходите на сайт, що підтримує ключі допуску, ви можете активувати їх під час входу, або якщо у вас вже є акаунт — змінити налаштування через сторінку облікового запису. Ключі допуску зберігатимуться в програмі «Паролі».

Ваш пріоритет має починатися з email-акаунтів, прив’язаних до банківських рахунків, податкової звітності та покупок. Коли їх захищено ключами допуску, решту ваших акаунтів набагато важче викрасти.

Захистіть файли, хмарне сховище, фото та резервні копії

Хмарне сховище та фотобібліотеки належать до наступного раунду оновлень. Ці акаунти зазвичай містять чутливу інформацію — скани ID-карток, податкові форми, контракти, особисті фото — що може стати великою проблемою, якщо трапиться витік. Це все матеріал, який можна використати для шахрайства або шантажу, якщо хтось отримає доступ. Ставтеся до них як до чутливих сховищ.

Google Диск та OneDrive спираються на налаштування вашого основного облікового запису Google або Microsoft, тож це виправлення просте. Відкрийте розділ безпеки на сторінці вашого акаунта і активуйте ключі допуску, якщо ще не зробили. Apple обробляє iCloud так само.

Пам’ятайте, що ключі допуску найсильніші, коли сам пристрій захищений. Увімкніть шифрування пристрою, встановіть блокування екрана і уникайте залишати ці пристрої розблокованими.

Захистіть сховище, яке захищає все інше

Менеджери паролів більше не просто зберігають ваші 50 логінів. Більшість з них тепер подвійно працюють як менеджери ключів допуску, і багато дозволяють заблокувати саме сховище за допомогою ключа допуску. Блокування сховища через ключ допуску — одне з найрозумніших оновлень, які ви можете зробити. Якщо хтось не може потрапити в менеджер паролів, він не може потрапити в жоден з акаунтів, що зберігаються там.

Менеджери паролів на кшталт 1Password та Bitwarden вже зберігають ключі допуску на базі FIDO і беруть участь у новішій роботі з обміну облікових даних, що дозволяє людям переміщувати ключі допуску між сервісами без початку з нуля. Індустрія повільно дає людям більше контролю замість того, щоб тримати все в одній екосистемі.

Де б ваші додатки безпеки не пропонували ключ допуску або вхід з апаратним захистом — вмикайте. Це стосується вашого менеджера паролів, VPN, антивірусного додатка та сервісу моніторингу особистості. Ці акаунти — захисні бар’єри, і вони не повинні залежати від вгадуваного пароля.

Поки ви в сховищі, зробіть невелике новорічне прибирання. Очистіть шар старих записів, які більше не використовуєте, і подумайте про закриття акаунтів, які досі не підтримують сучасну автентифікацію. Кожен мертвий акаунт — це ще одна мотузка, яка чекає, коли ї потягнуть.

Шопінг, замовлення поїздок та підписки

Ключі допуску вже використовуються у масштабі на сервісах, якими більшість людей користується щотижня. eBay повідомляє про вищі показники успішних входів та нижчий ризик фішингу після розширення підтримки ключів допуску. Uber направляє людей до ключів допуску з тієї ж причини. Коли компанії з мільйонами входів на день кажуть, що це працює — варто звернути увагу.

Це момент, коли ви починаєте захищати акаунти, що обробляють ваші гроші та звички. Шопінг-акаунти на кшталт Amazon, eBay та великих роздрібних додатків зберігають номери карток, збережені адреси та історію замовлень. Платіжні додатки містять ще більше. Їх не варто залишати зі слабкою автентифікацією, коли сильніша опція сидить у меню налаштувань.

Додатки для поїздок та доставки їжі мають власні ризики. Вони зберігають історію локацій, місця посадки, домашні та робочі адреси і платіжні дані. Багато з цих сервісів впроваджують входи на базі ключів допуску, тож перевірте їхні сторінки безпеки чи акаунта і ввімкніть, якщо є.

Простий спосіб залишатися організованим на початку — подивитися на п’ять додатків, які ви найчастіше використовуєте на телефоні. Відкрийте кожен, перевірте налаштування безпеки і активуйте ключі допуску, якщо вони доступні.

Ця стаття Чому варто перейти на ключі допуску до кінця року раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Telegram запровадив підтримку ключів доступу (passkeys) — сучасної технології автентифікації, яка дозволяє користувачам входити в додаток без традиційних паролів або SMS-кодів. Ця функція значно підвищує безпеку облікового запису та спрощує процес входу.

Що таке ключі доступу та чому вони важливі

Ключі доступу (passkeys) — це цифрові облікові дані, які зберігаються безпосередньо на пристрої користувача та використовують біометричну автентифікацію (відбиток пальця, розпізнавання обличчя) або PIN-код пристрою для входу. На відміну від традиційних паролів, ключі доступу неможливо перехопити фішинговими атаками або викрасти через витоки баз даних.

Для українських користувачів, які стикаються з підвищеними ризиками кіберзагроз, ця технологія особливо актуальна — вона захищає від злому навіть у випадку компрометації телефонного номера або перехоплення SMS-повідомлень.

Переваги використання ключів доступу в Telegram

Посилена безпека облікового запису. Ключі доступу усувають вразливості традиційної двофакторної автентифікації через SMS, яка може бути скомпрометована через атаки типу SIM-swapping або перехоплення повідомлень.

Швидкий вхід без пароля. Користувачам більше не потрібно запам’ятовувати складні паролі або чекати на SMS-коди — достатньо біометричного сканування або введення PIN-коду пристрою.

Захист від фішингу. Ключі доступу працюють лише з офіційними серверами Telegram та не можуть бути передані шахрайським сайтам-двійникам.

Синхронізація між пристроями. Сучасні системи управління ключами (iCloud Keychain, Google Password Manager) дозволяють синхронізувати ключі доступу між різними пристроями користувача.

Системні вимоги для використання ключів доступу

Функція підтримується на:

• iOS: iPhone з iOS 16 та новіших версій
• Android: пристрої з Android 9 та новіших версій
• Windows: Windows 10/11 з підтримкою Windows Hello
• macOS: комп’ютери Mac з macOS Ventura та новіших версій

Обов’язкова умова — наявність біометричного датчика (Face ID, Touch ID, сканер відбитків пальців) або можливість використання PIN-коду пристрою.

Покрокова інструкція зі встановлення ключа доступу

Крок 1: Оновлення Telegram до останньої версії

Переконайтеся, що використовуєте найновішу версію Telegram. Відкрийте App Store (iOS) або Google Play (Android), знайдіть Telegram та встановіть доступні оновлення.

Крок 2: Доступ до налаштувань безпеки

1. Відкрийте Telegram
2. Перейдіть до розділу Налаштування (Settings)
3. Виберіть Приватність і безпека (Privacy and Security)
4. Знайдіть пункт Ключі доступу (Passkeys)

Крок 3: Створення ключа доступу

1. Натисніть Створити ключ доступу (Add Passkey)
2. Система запитає біометричну автентифікацію або PIN-код пристрою
3. Підтвердіть створення ключа доступу
4. Telegram автоматично збереже криптографічний ключ у захищеному сховищі пристрою

Крок 4: Налаштування резервного доступу

Рекомендується налаштувати додаткові методи входу на випадок втрати основного пристрою:

• Додайте резервний ключ доступу на іншому пристрої
• Збережіть код відновлення в надійному місці
• Розгляньте використання паролів-додатків для критичних ситуацій

Крок 5: Перевірка функціональності

Після налаштування рекомендується перевірити роботу ключа доступу:

1. Вийдіть з облікового запису Telegram
2. Спробуйте увійти за допомогою ключа доступу
3. Переконайтеся, що автентифікація проходить успішно

Важливі рекомендації щодо безпеки

Увімкніть синхронізацію ключів. Для користувачів Apple — iCloud Keychain, для Android — Google Password Manager. Це забезпечить доступ до облікового запису навіть у разі втрати або заміни пристрою.

Створіть резервний ключ. Додайте ключ доступу на другий пристрій (планшет, комп’ютер), щоб мати альтернативний спосіб входу.

Збережіть код відновлення. Telegram надає спеціальний код відновлення при налаштуванні ключа доступу — збережіть його в надійному місці офлайн (не в хмарних сховищах).

Регулярно перевіряйте активні сеанси. У розділі “Пристрої” (Devices) контролюйте список авторизованих сеансів та завершуйте підозрілі підключення.

Що робити при втраті пристрою з ключем доступу

Якщо пристрій з налаштованим ключем доступу втрачено:

1. Негайно завершіть активний сеанс. Увійдіть в обліковий запис з іншого пристрою та завершіть сеанс втраченого пристрою в розділі “Пристрої”
2. Використайте резервний метод входу. Скористайтеся резервним ключем доступу або кодом відновлення
3. Видаліть скомпрометований ключ. Після відновлення доступу видаліть ключ доступу втраченого пристрою
4. Створіть новий ключ. Налаштуйте новий ключ доступу на безпечному пристрої

Поширені проблеми та їх вирішення

Ключ доступу не спрацьовує: перевірте, чи ввімкнена біометрична автентифікація в налаштуваннях пристрою. Переконайтеся, що Telegram має необхідні дозволи для використання біометричних датчиків.

Не вдається додати ключ доступу: оновіть операційну систему пристрою до останньої версії. Переконайтеся, що на пристрої достатньо вільного місця для збереження криптографічних ключів.

Telegram не пропонує опцію ключів доступу: переконайтеся, що встановлена остання версія додатка. Деякі регіони можуть отримати доступ до функції пізніше через поетапне розгортання.

Висновок

Впровадження ключів доступу в Telegram — важливий крок до посилення цифрової безпеки українських користувачів. Ця технологія усуває основні вразливості традиційної автентифікації та захищає від сучасних кіберзагроз, включаючи фішинг, перехоплення SMS та злом облікових записів.

Експерти з кібербезпеки рекомендують усім користувачам Telegram активувати ключі доступу як основний метод входу, зберігаючи традиційні методи лише як резервні. Це особливо критично для журналістів, активістів та користувачів, які обробляють конфіденційну інформацію.

Ця стаття Як встановити ключі доступу в Telegram — ІНСТРУКЦІЯ раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Захист онлайн-акаунтів залишається критичним викликом, але Google пропонує сучасне рішення. У 2024 році компанія впровадила passkeys — технологію безпарольної автентифікації, яка перетворює будь-який Android-смартфон на надійний ключ безпеки.

Що таке passkeys і чому це важливо

Passkeys (ключі доступу) замінюють традиційні паролі криптографічними ключами. Приватний ключ зберігається виключно на вашому пристрої й ніколи не передається через інтернет, що робить технологію практично нечутливою до фішингових атак. Для входу достатньо розблокувати смартфон відбитком пальця, розпізнаванням обличчя або PIN-кодом.

Технологія базується на стандартах FIDO Alliance та World Wide Web Consortium, що забезпечує сумісність із різними платформами та сервісами.

Системні вимоги

Для використання смартфона як ключа безпеки потрібно:

На смартфоні:

• Android 9 або новіша версія
• Увімкнене блокування екрана (біометрія, PIN або графічний ключ)
• Google Password Manager (увімкнено за замовчуванням)

На комп’ютері:

• Windows 10, macOS Ventura, ChromeOS 109 або новіші версії
• Підтримуваний браузер: Chrome 109+, Safari 16+, Edge 109+

Альтернативно можна використовувати апаратний FIDO2-ключ безпеки.

Як налаштувати passkey для Google-акаунта

Крок 1. Увімкніть двоетапну перевірку

Відкрийте myaccount.google.com/security через браузер Chrome. Перейдіть до розділу двоетапної перевірки та додайте основний метод — код через SMS або Google Prompt.

Крок 2. Створіть passkey

На Android-пристроях, підключених до Google-акаунта, passkeys створюються автоматично після входу. Для інших пристроїв:

1. Відкрийте myaccount.google.com/security
2. Знайдіть розділ “Ключі доступу й ключі безпеки“
3. Натисніть “Створити ключ доступу“
4. Виберіть пристрій і підтвердьте біометрією або PIN-кодом

Крок 3. Використовуйте passkey для входу

При спробі входу на комп’ютері:

• Введіть ім’я користувача
• Натисніть “Інший спосіб” під полем пароля
• Виберіть “Використати ключ доступу“
• Відскануйте QR-код камерою смартфона
• Підтвердьте вхід на телефоні

Після першого підключення комп’ютера й телефона автентифікація відбуватиметься через push-сповіщення без сканування QR-коду.

Переваги технології

Захист від фішингу — passkey працює лише з зареєстрованим сайтом, неможливо ввести його на підробленій сторінці.

Синхронізація — через Google Password Manager passkeys автоматично доступні на всіх Android-пристроях, підключених до одного акаунта.

Простота — не потрібно запам’ятовувати складні паролі чи коди відновлення.

Економія — немає потреби в SMS-кодах, що знижує витрати сервісів на автентифікацію.

Особливості й обмеження

На Android 14 і новіших версіях можна обрати альтернативний менеджер паролів (1Password, Samsung Pass, Keeper) замість Google Password Manager.

Наразі passkeys з Google Password Manager синхронізуються лише між Android-пристроями та Chrome на різних платформах. Повна кросплатформна синхронізація з iOS і macOS очікується в майбутніх оновленнях.

При виході з акаунта на Android-пристрої можна повторно увійти за допомогою passkey протягом 6 годин. Після цього система автоматично генерує новий passkey, а старий стає недійсним.

Рекомендації з безпеки

Не створюйте passkeys на публічних пристроях — доступ до вашого акаунта матиме будь-хто, хто використовуватиме цей девайс.

Видаляйте passkeys з втрачених пристроїв — через розділ Security у налаштуваннях Google-акаунта можна деактивувати скомпрометовані ключі.

Зберігайте резервні методи входу — додавання passkey не видаляє інші способи автентифікації, включно з паролем і 2FA.

Моніторте активність акаунта — регулярно перевіряйте список підключених пристроїв і підозрілу активність.

Контекст і перспективи

Passkeys — частина галузевого тренду на відмову від паролів. Microsoft, Apple та Google синхронно впроваджують цю технологію, формуючи новий стандарт онлайн-безпеки.

Для користувачів із підвищеними ризиками — журналістів, активістів, представників бізнесу — Google пропонує Advanced Protection Program, який поєднує passkeys з додатковими рівнями захисту.

У контексті зростання кіберзагроз перехід на беспарольну автентифікацію стає не просто зручністю, а необхідністю. Passkeys усувають найслабшу ланку цифрової безпеки — людський фактор при створенні й збереженні паролів.

Ця стаття Як перетворити смартфон на ключ безпеки? – ІНСТРУКЦІЯ раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Практично кожен ваш обліковий запис може бути зламаний. Після численних витоків даних у 2024 році, коли понад 7 мільярдів облікових даних потрапило на чорний ринок, технологічні компанії впроваджують нові стандарти безпеки. Microsoft оголосила про обов’язкову багатофакторну аутентифікацію для всіх користувачів Microsoft 365 та Azure до вересня 2025 року, а компанії Apple, Google та Microsoft активно просувають нову технологію passkeys, яка має замінити паролі.

Проте поки ці стандарти впроваджуються, найкращим методом захисту залишається двофакторна аутентифікація — процес, який вимагає додаткового підтвердження вашої особи при вході в обліковий запис. За даними Microsoft, облікові записи з увімкненою багатофакторною аутентифікацією на 99,9% краще захищені від компрометації.

Що таке двофакторна аутентифікація та чому вона критично важлива

Двофакторна аутентифікація (2FA) — це метод захисту, який вимагає два різні способи підтвердження особи: щось, що ви знаєте (пароль), та щось, що ви маєте (смартфон, апаратний ключ) або чим ви є (біометричні дані). Дослідження 2025 року показують, що 83% організацій використовують багатофакторну аутентифікацію, а 66% вимагають біометричної перевірки для доступу до корпоративних ресурсів.

Статистика кіберзлочинності підтверджує критичну важливість 2FA: у 2024 році 62% витоків даних були спричинені викраденими або слабкими паролями. При цьому системи Microsoft піддаються понад 1000 атакам паролів щосекунди, що підкреслює недостатність традиційного парольного захисту.

Чому SMS-аутентифікація більше не є безпечною

Попри поширеність SMS-кодів для двофакторної аутентифікації, цей метод має серйозні вразливості. У 2024 році кількість атак із заміною SIM-карт (SIM swapping) зросла на 1055% — лише у Великій Британії зафіксовано майже 3000 випадків проти 289 у 2023 році. В США ФБР зареєструвало збитки від таких атак на суму 26 мільйонів доларів.

SIM swapping — це атака, коли зловмисники переконують мобільного оператора перенести ваш номер на SIM-карту під їхнім контролем, отримуючи доступ до всіх SMS-кодів автентифікації. Крім того, SMS-повідомлення не шифруються, що дозволяє перехоплювати коди через вразливості мережі SS7. Дослідження Princeton University показало, що 80% спроб SIM swap-атак виявилися успішними з першої спроби.

Експерти з кібербезпеки радять відмовитися від SMS 2FA на користь більш захищених методів, особливо для критично важливих облікових записів — банківських, криптовалютних та електронної пошти.

Додатки-аутентифікатори: надійніша альтернатива SMS

Додатки-аутентифікатори генерують тимчасові коди безпосередньо на вашому пристрої без використання телефонної мережі, що робить їх стійкими до перехоплення та SIM swapping. Найпопулярніші програми — Google Authenticator, Microsoft Authenticator та Authy — працюють за стандартом TOTP (Time-based One-Time Password), генеруючи 6-значний код, який оновлюється кожні 30 секунд. Також нещодавно творці Proton VPN випустили 2FA  додаток, який доступний для всіх основних платформ. Proton Authenticator простий у використанні, елегантний і безкоштовний.

При налаштуванні нового облікового запису ви скануєте QR-код, який прив’язує додаток до вашого акаунта. Наступного разу при вході вам достатньо ввести код з програми. Ці коди генеруються локально на пристрої та не передаються через Інтернет, що унеможливлює їх перехоплення хакерами.

За даними досліджень 2025 року, додатки-аутентифікатори забезпечують значно вищий рівень безпеки порівняно з SMS, хоча й не є абсолютно захищеними від фішингу — якщо зловмисник створить підроблену сторінку входу, користувач може ввести код, не помітивши підміни.

Апаратні ключі безпеки: максимальний захист від фішингу

Для максимального захисту застосовують апаратні ключі безпеки — фізичні пристрої на основі USB або NFC (наприклад, YubiKey або Feitian), які підключаються до комп’ютера чи смартфона для автентифікації. Ці ключі працюють за стандартом FIDO2 та є стійкими до фішингу — навіть якщо ви перейдете за підробленим посиланням, ключ не відкриє доступ до неправильного сайту.

Після впровадження апаратних ключів безпеки для 85 000 співробітників Google повідомила про нульову кількість успішних фішингових атак. Це підтверджує ефективність фізичних ключів як найнадійнішого методу двофакторної автентифікації у 2025 році.

Недоліком апаратних ключів є необхідність мати їх при собі та складність відновлення доступу при втраті пристрою, проте для захисту найважливіших облікових записів це оптимальне рішення.

Passkeys: революція в автентифікації без паролів

Найновіша технологія автентифікації — passkeys (ключі допуску) — використовує криптографію з відкритим ключем замість паролів. Коли ви створюєте passkey, система генерує пару ключів: приватний зберігається на вашому пристрою, а публічний — на сервері вебсайту. Вхід здійснюється за допомогою Face ID, Touch ID або PIN-коду пристрою, без введення будь-яких паролів.

Apple, Google та Microsoft активно впроваджують підтримку passkeys у свої екосистеми з 2022 року, і у 2025 році ця технологія досягла зрілості. За даними звіту Bitwarden, кількість створюваних passkeys зросла на 550% протягом 2024 року, причому понад мільйон нових passkeys було створено лише в останньому кварталі. Дослідження показують, що у 2025 році passkeys складають 62% усіх методів аутентифікації, порівняно з 33% для SMS.

Основні переваги passkeys: повна стійкість до фішингу (працюють лише на легітимних сайтах), неможливість викрадення (приватний ключ ніколи не покидає пристрій), автоматична синхронізація між пристроями через iCloud Keychain, Google Password Manager або Microsoft Account. Понад 95% пристроїв на iOS та Android підтримують passkeys, що робить цю технологію масово доступною.

Налаштування двофакторної автентифікації на платформах Apple

Для активації двофакторної автентифікації на iPhone або iPad (iOS 17 та новіших версій) відкрийте налаштування, натисніть на своє ім’я вгорі екрана, оберіть “Вхід і безпека” та увімкніть двофакторну автентифікацію. Система почне надсилати 6-значні коди на ваші довірені пристрої при кожній спробі входу з нового пристрою або браузера.

На Mac перейдіть до меню Apple → “Системні налаштування” → натисніть на своє ім’я → “Пароль і безпека” та активуйте двофакторну автентифікацію. Після цього при вході в Apple ID з нового пристрою ви отримуватимете код на свої довірені пристрої.

Для створення passkey на пристроях Apple відвідайте вебсайт, який підтримує цю технологію, виберіть опцію створення passkey та автентифікуйтесь за допомогою Face ID або Touch ID. Ключ автоматично збережеться в додатку Apple Passwords та синхронізується через iCloud Keychain на всі ваші пристрої Apple.

Налаштування двофакторної автентифікації в Microsoft

Увійдіть до свого облікового запису Microsoft на сайті account.microsoft.com та перейдіть до розділу “Безпека“. Оберіть “Додаткові параметри безпеки” та натисніть “Налаштувати” у розділі “Двоетапна перевірка“. Система запропонує додати номер телефону або додаток Microsoft Authenticator для отримання кодів підтвердження.

Microsoft зробила багатофакторну аутентифікацію обов’язковою для всіх користувачів Microsoft 365 та Azure. Перша фаза впровадження розпочалася в жовтні 2024 року для адміністративних порталів, друга фаза стартувала 1 жовтня 2025 року для інструментів командного рядка, мобільних додатків та API.

Налаштування двофакторної автентифікації в Google

Для активації двофакторної аутентифікації в облікових записах Google (Gmail, YouTube, Google Drive) перейдіть на сторінку g.co/2sv та натисніть “Розпочати“. Система запропонує ввести номер телефону та обрати спосіб отримання кодів — через SMS або телефонний дзвінок. Значно безпечнішим варіантом є використання додатка Google Authenticator або підказок Google Prompt, які дозволяють підтверджувати вхід простим натисканням “Так” на вашому смартфоні.

Google також підтримує створення резервних кодів для автономного доступу — система генерує десять одноразових кодів, які можна використати, якщо у вас немає доступу до основного методу аутентифікації. Кожен код працює лише один раз, тому після використання його слід перекреслити.

Для створення passkey в Google перейдіть до розділу безпеки облікового запису та оберіть опцію налаштування passkey. Система збереже ключ у Google Password Manager та синхронізує його на всі пристрої, де ви увійшли в обліковий запис Google.

Додаткові рекомендації з безпеки

Окрім увімкнення двофакторної аутентифікації, дотримуйтесь цих правил для максимального захисту:

• використовуйте унікальні паролі для кожного облікового запису та зберігайте їх у менеджері паролів;
• активуйте сповіщення про підозрілу активність у ваших банківських додатках та у мобільного оператора;
• встановіть блокування SIM-карти у вашого оператора для запобігання SIM swapping;
• регулярно перевіряйте сеанси входу та завершуйте незнайомі сесії.

Для найважливіших облікових записів — банківських, криптовалютних гаманців, корпоративної електронної пошти — використовуйте апаратні ключі безпеки або passkeys замість SMS-кодів.

Навчіть себе розпізнавати фішингові атаки: завжди перевіряйте URL-адресу сайту перед введенням облікових даних, не переходьте за посиланнями з непідтверджених електронних листів або SMS, та пам’ятайте, що жодна легітимна організація ніколи не попросить вас надати коди двофакторної аутентифікації.

Майбутнє аутентифікації: перехід до passwordless

У 2025 році індустрія рухається до повної відмови від паролів. Passkeys вже підтримують такі платформи, як eBay, Best Buy, Kayak, PayPal та GitHub, а обізнаність користувачів про цю технологію зросла з 39% до 57% за два роки. Експерти прогнозують, що до 2030 року ринок багатофакторної аутентифікації досягне 40 мільярдів доларів, причому основний драйвер зростання — біометричні технології та passkeys.

Організації, які впроваджують passkeys, отримують не лише підвищену безпеку, але й економічні переваги: зниження витрат на SMS-аутентифікацію, менше запитів на скидання паролів до служби підтримки, вищі показники конверсії завдяки спрощеному процесу входу. Компанії, які вже зараз переходять на passwordless-аутентифікацію, позиціонують себе як лідери в інноваціях, орієнтованих на користувача.

Ця стаття Двофакторна аутентифікація у 2025 році: як захистити всі свої облікові записи раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Microsoft розширила можливості автентифікації без паролів у Windows 11, додавши нативну підтримку сторонніх менеджерів паролів. Нова функція стала загальнодоступною з листопадовим оновленням безпеки 2025 року.

Вибір менеджера паролів на розсуд користувача

Оновлення дозволяє користувачам Windows 11 обирати улюблений менеджер паролів — як вбудований Microsoft Password Manager, так і сторонні рішення. Першими партнерами, які отримали підтримку, стали 1Password та Bitwarden, інші провайдери приєднаються найближчим часом.

Passkey (ключі допуску) є стійкими до фішингу, менш вразливими до витоків даних та простішими у використанні порівняно зі звичайними паролями. Нова функціональність надає користувачам гнучкість у виборі інструментів, спрощує процес автентифікації через Windows Hello та забезпечує синхронізацію облікових даних між комп’ютерами та мобільними пристроями.

Інтеграція з Windows Hello

Завдяки підтримці плагінів менеджери облікових даних можуть інтегруватися безпосередньо в операційну систему. Користувачі отримують змогу зберігати, керувати та використовувати passkey-ключі в браузерах і нативних додатках. Налаштування менеджера паролів відбувається під час створення ключа, а автентифікація здійснюється через Windows Hello — PIN-код, розпізнавання обличчя або відбиток пальця.

«Співпраця з командою безпеки Windows над розробкою API плагінів для passkey-ключів у Windows 11 стала плідним партнерством. Як перший менеджер паролів із нативною підтримкою у Windows 11, ми пишаємося тим, що надаємо клієнтам безперебійний досвід автентифікації без паролів усередині та поза браузером», — зазначив Тревіс Хоган, менеджер продуктів групи кінцевих користувачів 1Password.

Безпека Microsoft Password Manager

Microsoft також інтегрувала власний Password Manager з браузера Edge безпосередньо в Windows як плагін. Це рішення працює в Microsoft Edge, інших браузерах та будь-яких додатках з підтримкою passkey-ключів.

Інтеграція супроводжується додатковими заходами безпеки: операції з ключами захищені Windows Hello, дані синхронізуються між пристроями через захищений хмарний анклав, ключі шифрування зберігаються в апаратних модулях безпеки Azure (HSM), а критичні операції виконуються в ізольованому середовищі Azure Confidential Compute. Відновлення даних забезпечує технологія Azure Confidential Ledger.

Представники Bitwarden відзначили, що партнерство з Microsoft дозволяє організаціям та користувачам впроваджувати passkey-ключі, маючи впевненість у безпечному керуванні обліковими даними в Windows та на всіх інших пристроях.

Ця стаття Windows 11 отримала нативну підтримку сторонніх менеджерів паролів раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Соціальна мережа X попереджає користувачів, що вони повинні перереєструвати свої ключі безпеки або passkeys (ключі допуску) для двофакторної автентифікації (2FA) до 10 листопада, інакше їх заблокують до виконання цієї вимоги.

У серії повідомлень на платформі X оголосила про необхідність оновлення налаштувань безпеки для всіх користувачів, які використовують фізичні ключі безпеки (YubiKey, Google Titan Security Key та інших FIDO2-сумісних ключів безпеки) або passkeys (ключі допуску) як метод двофакторної автентифікації.

Компанія надіслала повідомлення користувачам електронною поштою та через додаток, попереджаючи про необхідність оновити налаштування безпеки. Якщо ви пропустили це повідомлення, перевірте папку спам або зайдіть безпосередньо в налаштування безпеки свого акаунта X.

Чому X проводить це оновлення

Компанія пояснює це оновлення необхідністю покращення безпеки та переходом на нові стандарти автентифікації. Після придбання платформи Ілоном Маском, X активно модернізує свою технічну інфраструктуру, включаючи системи безпеки.

Ключі безпеки залишаються одним з найнадійніших методів захисту акаунтів від фішингу та інших кібератак. На відміну від SMS або електронної пошти, фізичні ключі безпеки практично неможливо перехопити або підробити.

Якщо ви ще не використовуєте ключ безпеки для свого акаунта X, це може бути гарним моментом для його налаштування. Популярні моделі як YubiKey 5 NFC або Google Titan Security Key коштують від $25 до $50 та значно підвищують безпеку вашого цифрового життя.

Не забувайте, що дедлайн 10 листопада швидко наближається, тому краще не відкладати перереєстрацію ключа безпеки. Кілька хвилин зараз можуть заощадити вам години проблем з відновленням доступу до акаунта пізніше.

Як перереєструвати ключі безпеки

Для перереєстрації ключів безпеки користувачам потрібно виконати наступні кроки:

1. Увійти в налаштування облікового запису X
2. Перейти до розділу Безпека й доступ до профілю > Безпека
3. Вибрати Двофакторна автентифікація
4. Знайти розділ з ключами безпеки або passkeys
5. Видалити існуючі ключі
6. Додати їх знову, слідуючи інструкціям на екрані

Важливі моменти при роботі з ключами безпеки

Під час перереєстрації ключа безпеки в X варто пам’ятати кілька критично важливих речей. По-перше, переконайтеся, що у вас є альтернативний метод входу в акаунт – наприклад, SMS або додаток для автентифікації. Це убезпечить вас від блокування, якщо щось піде не так з ключем безпеки.

По-друге, якщо ви використовуєте кілька ключів безпеки (що є рекомендованою практикою), вам потрібно буде перереєструвати кожен з них окремо. X дозволяє додавати до 10 ключів безпеки на один акаунт.

Також важливо зазначити, що процес перереєстрації працює тільки в десктопних браузерах. Мобільні додатки X не підтримують повний функціонал управління ключами безпеки, тому вам знадобиться комп’ютер або ноутбук. Рекомендується виконувати цю процедуру з надійного пристрою та інтернет-з’єднання.

Альтернативні методи автентифікації

Користувачі, які не використовують ключі безпеки або passkeys, не потребують жодних дій. Інші методи двофакторної автентифікації, такі як SMS-коди або додатки-автентифікатори, залишаються незмінними та не потребують оновлення.

Однак експерти з кібербезпеки рекомендують розглянути можливість використання ключів безпеки як найбільш захищеного методу двофакторної автентифікації. Вони забезпечують кращий захист від фішингових атак та інших видів кіберзагроз порівняно з традиційними методами.

Наслідки ігнорування вимоги

Користувачі, які проігнорують це попередження, зіткнуться з повним блокуванням доступу до своїх облікових записів після 10 листопада. Це означає, що вони не зможуть:

• Увійти в свій обліковий запис
• Публікувати контент
• Переглядати стрічку новин
• Взаємодіяти з іншими користувачами
• Отримувати доступ до повідомлень

Відновлення доступу потребуватиме проходження процедури верифікації через альтернативні методи, що може зайняти додатковий час та створити незручності.

Що робити, якщо ви пропустили дедлайн

Якщо ви не встигли перереєструвати ключ безпеки до 10 листопада, не панікуйте. У вас все ще є варіанти для відновлення доступу до акаунта:

• Використайте резервний код – якщо ви зберегли резервні коди при налаштуванні двофакторної автентифікації
• Скористайтеся SMS-верифікацією – якщо у вас активована ця опція
• Використайте додаток для автентифікації – Google Authenticator, Authy або подібні
• Зверніться до служби підтримки X – як останній варіант, хоча це може зайняти значний час

Рекомендації експертів

Фахівці з кібербезпеки радять не відкладати перереєстрацію на останній момент. Краще виконати цю процедуру якомога швидше, щоб уникнути можливих технічних проблем, які можуть виникнути через велике навантаження на сервери в останні дні перед дедлайном.

Також рекомендується мати резервні методи автентифікації, щоб у разі втрати або несправності основного ключа безпеки користувач міг отримати доступ до свого облікового запису через альтернативні способи.

Це оновлення підкреслює важливість регулярного перегляду та оновлення налаштувань безпеки в усіх онлайн-сервісах, якими ви користуєтеся.

Ця стаття X вимагає перереєстрації ключів безпеки до 10 листопада раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Дослідник розробив експлойт, який перехоплює автентифікацію через ключі допуску. Експлойт залежить від нетривіальної комбінації наявних умов. Ні самі ключі допуску, ні протокол не виявилися уразливими.

На цьогорічній конференції DEF CON у Лас-Вегасі дослідник кібербезпеки Марек Тот продемонстрував, як зловмисники можуть використовувати атаку clickjack для приховано запуску та перехоплення церемонії автентифікації на основі ключів допуску, — пише ZDNET.

У широкому розумінні це історія про те, як менеджери паролів можуть бути обмануті для розкриття інформації для входу — чи то традиційних облікових даних, таких як ідентифікатори користувачів та паролі, чи артефактів, пов’язаних із ключами допуску — зловмисним акторам.

Чи винні менеджери паролів? Тот — дослідник, який виявив експлойт — припускає, що так, але відповідь складніша.

Повний захист будь-якого автоматизованого процесу неминуче є результатом багаторівневої безпеки. У переважній більшості випадків використання, де цифрова безпека має значення, майже ніколи не існує єдиної “срібної кулі”, яка відбиває хакерів. Залежно від рівнів технологій, які поєднуються для завершення робочого процесу (наприклад, вхід на веб-сайт), відповідальність за безпеку цього процесу розподіляється між сторонами, які контролюють кожен із цих рівнів.

Так, менеджери паролів є одним рівнем у зупинці експлойту. Але оператори веб-сайтів та кінцеві користувачі — сторони, які контролюють інші рівні — повинні бути дуже необачними щодо безпеки заради зручності, щоб експлойт спрацював. Немає сенсу шукати винних. Усі сторони на кожному рівні повинні вжити заходів безпеки.

Основні ідеї ключів допуску

Щоліта індустрія кібербезпеки збирається в Лас-Вегасі на послідовні конференції Black Hat та DEF CON, де дослідники безпеки по черзі представляють свої “великі розкриття”. Протягом року, що передує заходу, ці дослідники працюють над виявленням нових, незареєстрованих уразливостей. Чим більша уразливість і чим більше користувачів постраждало, тим більша увага (і, можливо, фінансова винагорода) чекає дослідника.

Цього року кілька дослідників оголосили про низку проблем, які поставили під сумнів передбачувану перевагу ключів допуску як облікових даних для входу.

На Cybercalm ми багато писали про ключі допуску та про те, чому з точки зору безпеки та технічної перспективи вони набагато кращі за ідентифікатори користувачів та паролі (навіть коли задіяні додаткові фактори автентифікації).

Три основні ідеї ключів допуску:

1. Їх неможливо вгадати так, як часто можна вгадати паролі
2. Один і той самий ключ допуску не може бути повторно використаний на різних веб-сайтах та програмах (як це можливо з паролями)
3. Вас не можуть обманути, щоб ви розкрили свої ключі допуску зловмисникам (як це можливо з паролями)

На жаль, незважаючи на їх перевагу, досвід користування ключами допуску настільки сильно відрізняється від одного веб-сайту та програми до іншої, що ключі допуску ризикують бути глобально відхилені користувачами. Незважаючи на ці бар’єри для впровадження, і в ім’я максимального захисту себе (часто від себе), моя рекомендація залишається: користуйтесь ключами допуску, коли це можливо.

Суть атаки

Хоча експлойт відбувається миттєво, він включає складний набір взаємодій та передумов, які разом створюють серію нетривіальних перешкод для шансів зловмисника на успіх. По суті, експлойт Тота ніколи не краде ключ допуску користувача (одна з основних засад ключів допуску полягає в тому, що їх неможливо вкрасти). Але він по суті краде найкращу альтернативу.

У той момент, коли користувача обманом змушують ненавмисно автентифікуватися на веб-сайті з ключем допуску, експлойт перехоплює пакет інформації, який було виготовлено менеджером паролів користувача за допомогою його ключа допуску до цього сайту. Цей пакет називається PublicKeyCredential, і він схожий на одноразовий “золотий квиток”, який містить все необхідне для входу користувача в свій обліковий запис на легітимному веб-сайті. Як тільки зловмисник отримує цей “золотий квиток”, його можна використати для входу системи зловмисника в обліковий запис жертви, ніби система зловмисника є системою жертви.

І саме це робить цей експлойт.

Після завантаження шкідливого ПЗ в браузер жертви, експлойт — зловмисний міжсайтовий скрипт (XSS) — перехоплює той “золотий квиток” і замість того, щоб представити його для входу на легітимний сайт (як зазвичай робить браузер користувача на запит менеджера паролів), відправляє його на веб-сайт зловмисника. Потім, з цим “золотим квитком” в руках, зловмисник подає той самий квиток зі своєї системи на легітимний веб-сайт, фактично входячи системою зловмисника в обліковий запис користувача на легітимному веб-сайті.

Хто винен?

Але як зазначалося раніше, відкриття Тота залежить від попереднього існування кількох умов, що стосуються веб-сайту, вибору менеджера паролів користувачем, налаштувань цього менеджера паролів та вибору технології оператором веб-сайту для додавання можливості автентифікації з ключем допуску.

Хоча Тот вказує пальцем на менеджери паролів, я вважаю, що оператор веб-сайту був би здебільшого винним, якби справжній зловмисник використав цей експлойт у реальному світі.

Існує два налаштування, які зупиняють атаку і про які повинен знати кожен професійний оператор веб-сайту:

Прив’язка до сесії: коли веб-сервер налаштований на включення спеціального заголовка під час спроби користувача автентифікуватися з ключем допуску, він постійно прив’язує виклик до певного ідентифікатора сесії. Це робиться за допомогою параметра set-cookie:

Set-Cookie: session_id=123456789abcdefg; HttpOnly

Коли параметр HttpOnly включений, ідентифікатор сесії стає невидимим для будь-якого JavaScript — легітимного чи зловмисного. В результаті, навіть якби зловмисний JavaScript переслав перехоплений “золотий квиток” системі зловмисника, він був би безкорисним без відсутнього ідентифікатора сесії.

Цю “прив’язку до сесії” автентифікаційної розмови між веб-сайтом та браузером кінцевого користувача протягом віків вважають основною лінією захисту від такої атаки. Нездатність оператора веб-сайту захистити свої процеси автентифікації за допомогою цієї простої, добре відомої найкращої практики була б розглянута більшістю професіоналів кібербезпеки як вкрай недбала.

Рівні захисту

Але припустімо, як це робить Тот, що оператор веб-сайту катастрофічно проігнорував одну з найважливіших і найвідоміших технік захисту робочого процесу автентифікації. Експлойт Тота все ще включає деякі інші нетривіальні передумови.

Шкідливий скрипт: перша з них включає встановлення шкідливого скрипта в ваш веб-браузер. Тот зазначає, що сайти, які включають значну кількість контенту, створеного користувачами, є улюбленою мішенню зловмисників, оскільки вони можуть додавати скрипти до публікації чи відгуку.

Clickjack-атака: припускаючи, що користувач натрапляє на такий сайт і завантажує шкідливий скрипт у свій браузер, скрипт повинен приховано обманути користувача, щоб він ненавмисно запустив процедуру автентифікації.

Як випливає з фрази, clickjack-атака відбувається, коли зловмисник обманює вас, щоб ви натиснули на елемент, який може бути для вас невидимим. У експлойті Тота зловмисний JavaScript малює вікно браузера з начебто невинним діалогом, як реклама чи форма згоди на cookies — те, що ми бачимо постійно і просто хочемо прибрати з екрана. Однак коли ми натискаємо на цей елемент, щоб позбутися його, ми насправді не усвідомлюємо, що натискаємо на щось інше, що було приховано за ним.

Плюси та мінуси додаткових запитів

Коли прихильники описують ключі допуску як більш безпечні за традиційні облікові дані, вони часто говорять про те, як процес ключа допуску такий же простий, як вхід у телефон за допомогою біометричних даних або PIN-коду.

Однак це головним чином стосується випадків, коли ваш менеджер паролів також налаштований вимагати біометричні дані або PIN для кожної спроби автентифікації. Оскільки деякі користувачі не хочуть, щоб їх турбували цим додатковим рівнем безпеки кожного разу, коли вони входять на веб-сайт, більшість менеджерів паролів дають користувачам можливість пом’якшити це нагадування.

Пригадайте, що експлойт Тота залежить від того, щоб користувача обманом змусили ненавмисно автентифікуватися з веб-сайтом. Якщо ваш менеджер паролів налаштований, як мій — вимагати PIN або біометричні дані для дозволу будь-якої церемонії автентифікації — ви миттєво зрозумієте, що щось не так.

Ядерна опція

Однак навіть коли користувачі нехтують захистом своїх систем, оператори веб-сайтів мають спеціальну “ядерну опцію” в своєму розпорядженні.

Коли сторона, яка покладається на автентифікацію, надсилає згаданий вище виклик менеджеру паролів як частину пакета PublicKeyCredentialRequestOptions, вона також може включити спеціальний прапор під назвою параметр userVerification. Цей параметр допускає три можливі налаштування: Discouraged (Не рекомендується), Preferred (Бажано) та Required (Обов’язково).

Якщо сторона встановлює прапор userVerification на “Required”, менеджер паролів зобов’язаний запитати у користувача біометричні дані, PIN або пароль незалежно від того, як користувач налаштував цей менеджер паролів. Іншими словами, оператор веб-сайту має спосіб примусити користувача отримати запит таким чином, щоб це попередило його про неочікувану поведінку веб-сайту.

Покращення з боку менеджерів паролів

Щоб ваш менеджер паролів робив те, що він робить, ви повинні надати йому такі дозволи, які ви практично ніколи не повинні давати жодному іншому розширенню веб-браузера. Ваш менеджер паролів може не тільки читати весь контент кожної веб-сторінки, яку ви відвідуєте, але й модифікувати його. І завдяки цим дозволам ваш менеджер паролів також може виявити ознаки clickjack-атаки в процесі.

Не дивно, що оновлені версії їхнього програмного забезпечення розробляються або вже випущені:

• Bitwarden впровадив заходи протидії цьому класу атак у найновіших релізах минулого тижня
• 1Password випустив версію 8.11.7 20 серпня 2025 року, яка додає можливість для користувачів отримувати сповіщення та схвалювати або відхиляти дії автозаповнення
• NordPass тепер рендерить іконки з найвищим z-index, запобігаючи накладенню чого-небудь поверх них
• LastPass також посилив свій захист від потенційних clickjack-атак

Висновки

Незважаючи на потенціал для зловмисника перехопити церемонію автентифікації з ключем допуску після виконання нетривіальних передумов, експлойт Тота надає додаткові докази того, що ключі допуску більш безпечні за традиційні облікові дані.

Прив’язка до сесії робить одноразовий “золотий квиток”, згенерований ключем допуску, непридатним для використання із системи зловмисника. Однак це нічого не робить для зупинки вилучення зловмисником ідентифікатора та пароля користувача, коли clickjack-атака Тота стикається зі спробою автентифікації з цими традиційними обліковими даними порівняно з більш чутливими до часу та безпечними ключами допуску.

Ця стаття Ваші ключі допуску можуть бути уразливими до атак — дослідження раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Популярний менеджер паролів Dashlane кардинально змінює свою бізнес-модель, залишивши мільйони безкоштовних користувачів перед складним вибором.

КЛЮЧОВІ ТЕЗИ

Що відбувається?

Dashlane, один із найпопулярніших у світі менеджерів паролів, надіслав своїм користувачам повідомлення про закриття безкоштовного тарифу. Поточні користувачі Free-плану мають час лише до 16 вересня — приблизно шість тижнів від дати оголошення — щоб перейти на платну підписку або експортувати свої дані.

Компанія називає це “оптимізацією” лінійки персональних продуктів, оскільки фокусується на розширених рішеннях безпеки для бізнес-клієнтів. Раніше Dashlane вже припинила щомісячну підписку, залишивши лише річні тарифи.

Хто постраждає?

Точна кількість користувачів, яких торкнуться зміни, невідома. Безкоштовний план Dashlane мав серйозні обмеження:

• Використання лише на одному пристрої
• Максимум 25 збережених облікових даних

Це не варіант для активних користувачів, але підходив тим, хто рідко користується інтернет-сервісами.

Конкуренти виграють

Основним бенефіціаром змін стане Bitwarden — компанія пропонує “назавжди безкоштовний” продукт з більшістю функцій платних конкурентів. Преміум-версія коштує лише $10 на рік.

Порівняння безкоштовних планів:

• LastPass Free: один тип пристрою (комп’ютер АБО мобільний), необмежена кількість паролів
• NordPass Free: необмежена кількість паролів, але вимагає виходу з одного пристрою перед входом в інший
• Keeper Free: до 10 паролів на одному мобільному пристрою

Що робити користувачам Dashlane?

Поточна ситуація

Всі безкоштовні користувачі автоматично переведені на пробну версію Premium з пропозицією:

• 50% знижки на Dashlane Premium (зазвичай $60/рік)
• 50% знижки на Friends & Family (зазвичай $90/рік)
• Пропозиція діє до 12 серпня
• Знижка лише на перший рік, потім — повна ціна

Компанія опублікувала FAQ про припинення безкоштовного плану.

Після 16 серпня

Користувачі, які не оновили підписку:

• Не зможуть редагувати або переглядати збережені дані
• Зможуть експортувати вміст сховища протягом року
• 12 вересня 2026 року — остаточне видалення неактивних сховищ

Інструкція з експорту даних

На комп’ютері:

1. Відкрийте веб-додаток Dashlane
2. Перейдіть до Мій обліковий запис → Налаштування
3. Виберіть Експорт даних → Експорт у CSV
4. Підтвердьте майстер-паролем або біометрією
5. Файл збережеться в папку завантажень

На мобільному:

Аналогічні кроки через мобільний додаток Dashlane.

⚠️ Важливо знати

• CSV-файл не зашифрований — будь-хто може прочитати його вміст
• Passkeys не експортуються — їх потрібно перенести окремо
• Вкладення зберігаються окремо
• Після імпорту в новий менеджер видаліть CSV-файл

Висновок редакції

Рішення Dashlane відображає загальну тенденцію IT-індустрії до монетизації безкоштовних сервісів. Користувачам варто розглянути альтернативи, особливо Bitwarden, який пропонує найкращий безкоштовний функціонал на ринку.

Ця стаття Dashlane припиняє безкоштовні підписки: у користувачів є місяць на оновлення або міграцію раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня