Unimoni
enСоздать аккаунт
Блог·2026-05-10

WebAuthn в production: что узнали за полгода

Passkeys работают.

#security

Полгода назад мы включили passkeys (WebAuthn) для всех аккаунтов. Доля юзеров на passkey-only: 23%. Поделюсь outcomes.

Что улучшилось

  • Account takeover incidents — снизились до нуля у passkey-юзеров (vs 0.3% у password-юзеров)
  • Support tickets «забыл пароль» — снизились на 35% общих
  • Время login — passkey быстрее password+2FA (1 биометрия vs 2 действия)

Что было трудно

  • Cross-device — passkey, созданный на iPhone, не работал на Windows у юзеров без iCloud Keychain sync. Решили: рекомендуем 2 passkeys (mobile + hardware key).
  • Account recovery — если потерял оба passkey, нужен fallback. У нас email-based recovery — но email уязвим. Думаем над более жёстким recovery (admin-approval для определённых action’ов).

Рекомендация

Включайте passkeys как опцию рядом с password+2FA. Через год большинство юзеров мигрирует добровольно.

← Все статьи