Telegram Passkeys: конец SMS и OTP

1. Введение: Telegram Passkeys#

Чтобы в полной мере оценить масштаб перехода Telegram на passkeys, сперва нужно понять, почему нынешняя инфраструктура аутентификации, на которой работает современный интернет, дала сбой. Модель «общего секрета», которая доминировала в цифровой безопасности на протяжении пятидесяти лет, рухнула под натиском изощренного фишинга, атак с использованием украденных учетных данных и взломов на уровне инфраструктуры.

Переход Telegram следует общему тренду в индустрии, заданному такими гигантами в сфере обмена сообщениями, как WhatsApp. В октябре 2023 года WhatsApp внедрил поддержку passkeys для пользователей Android, а в апреле 2024 года распространил ее и на iOS. WhatsApp использует passkeys, чтобы заменить небезопасные одноразовые пароли (OTP) из SMS для повторной аутентификации. Это позволяет пользователям входить в систему с помощью простого сканирования лица или отпечатка пальца. Такой подход не только устранил неудобства, связанные с ожиданием SMS-кодов, но и защитил учетные записи от атак с подменой SIM-карт (SIM-swapping).

Текущее бета-тестирование в Telegram для Android предполагает схожий план действий: сначала охватить самую большую базу пользователей (Android), затем перейти на iOS и в конечном итоге предложить кроссплатформенный опыт без паролей (в том числе и в веб-версии).

2. Глобальный кризис аутентификации и контекст Telegram#

2.1 Уязвимость номера мобильного телефона (MSISDN)#

Последнее десятилетие номер мобильного телефона (MSISDN) служил цифровым удостоверением личности для миллиардов пользователей. Telegram, как и WhatsApp и Signal, был построен на этом принципе: ваш номер телефона — это ваш логин. Такое проектное решение, хоть и снизило барьер для входа и способствовало быстрому формированию социального графа, связало безопасность учетных записей пользователей с безопасностью глобальной сотовой инфраструктуры.

2.1.1 Механика перехвата SMS#

Опора на OTP из SMS для аутентификации основана на предположении, что сотовая сеть безопасна. Это предположение, как показывает практика, ложно. Протокол Signaling System No. 7 (SS7), который управляет маршрутизацией звонков и текстовых сообщений по всему миру, не имеет встроенных механизмов аутентификации. Опытные злоумышленники, включая спонсируемые государством группы и преступные синдикаты, могут использовать уязвимости SS7 для перехвата SMS-сообщений в пути. Они перенаправляют OTP, предназначенные для жертвы, на устройство, контролируемое атакующим. Это позволяет захватить аккаунт, даже не имея физического доступа к SIM-карте или телефону жертвы.

2.1.2 Бедствие под названием SIM-свопинг#

Более распространенной, чем сложные атаки на SS7, является «низкотехнологичная» атака, известная как SIM-свопинг (подмена SIM-карты). В этом сценарии злоумышленник использует методы социальной инженерии, чтобы выдать себя за жертву. Он связывается со службой поддержки мобильного оператора и просит перенести номер телефона жертвы на новую SIM-карту, находящуюся у него. Как только перенос завершен, злоумышленник начинает получать все SMS-сообщения, включая коды для входа в Telegram.

• Специфика Telegram: Поскольку для удобства Telegram по умолчанию использует однофакторный вход по SMS, успешный SIM-свопинг часто приводит к немедленному взлому аккаунта.
• Черный рынок: Доступ к ценным аккаунтам Telegram (например, криптоинфлюенсеров, администраторов каналов) является товаром на форумах даркнета. Часто это становится возможным благодаря подкупу инсайдеров в телекоммуникационных компаниях.
• Неэффективность защиты: Хотя Telegram предлагает «двухэтапную проверку» (облачный пароль), большинство обычных пользователей ее не включают. Более того, механизм восстановления этого пароля часто завязан на электронную почту, которую, в свою очередь, можно взломать через восстановление доступа по SMS, что создает циклическую уязвимость.

2.2 Стоимость глобальной отправки SMS#

Помимо проблем с безопасностью, модель «номер телефона как личность» представляет серьезную экономическую проблему для платформы масштаба Telegram.

• Модель платы за доставку: Каждый раз, когда пользователь Telegram входит в систему на новом устройстве, переустанавливает приложение или регистрирует новый аккаунт, платформа должна сгенерировать и доставить OTP, в основном через SMS. Операторы связи и агрегаторы взимают «плату за доставку» за каждое сообщение.
• Совокупные затраты: На рынках первого уровня, таких как США или Великобритания, эти сборы незначительны. Однако на развивающихся рынках или в регионах с высоким уровнем мошенничества стоимость одного SMS может взлетать до 0,05–0,20 доллара за сообщение. Для платформы с 900 миллионами активных пользователей в месяц (MAU) даже скромная оценка количества входов в систему выливается в десятки миллионов долларов ежемесячных операционных расходов.
• Искусственное завышение трафика (AIT): Растущий вектор мошенничества включает недобросовестных операторов или агрегаторов, которые генерируют поддельные запросы на вход, чтобы заставить Telegram отправлять SMS и получать плату за их доставку. Такое мошенничество с SMS-накачкой истощает ресурсы платформ.
• Контрмеры Telegram: Недавний запуск компанией Telegram Gateway — API, позволяющего компаниям отправлять коды верификации через Telegram за 0,01 доллара, что дешевле SMS, — демонстрирует их острую чувствительность к этим расходам. Они активно стремятся превратить собственную инфраструктуру в товар, чтобы компенсировать «налог» телеком-операторов. Однако наилучший способ сэкономить — это полностью исключить транспортный уровень.

2.3 Рост популярности Passkeys#

В ответ на эти системные сбои альянс FIDO (Fast IDentity Online), в который входят Google, Apple, Microsoft и другие, разработал новый стандарт аутентификации на основе криптографии с открытым ключом.

• Устойчивость к фишингу: В отличие от паролей или OTP, которые можно перехватить или выманить у пользователя через поддельный сайт, учетные данные FIDO (passkeys) привязаны к источнику (домену). Браузер или операционная система просто откажутся генерировать подпись для аутентификации, если домен не совпадает с тем, где был зарегистрирован ключ.
• Привязка к устройству: Приватный ключ, используемый для аутентификации, хранится в защищенном аппаратном обеспечении устройства пользователя (Trusted Execution Environment или Secure Enclave). Его невозможно извлечь, скопировать или угадать.
• Пользовательский опыт: Используя биометрические сканеры, уже имеющиеся на миллиардах смартфонов (FaceID, TouchID, сканер отпечатков пальцев Android), passkeys обеспечивают вход в систему, который быстрее и интуитивнее, чем ввод сложного пароля или переключение между приложениями для копирования SMS-кода.

3. Текущая доступность: развертывание в бета-версии для Android#

По состоянию на декабрь 2025 года Telegram начал переход на passkeys, но развертывание пока находится на ранней стадии. В конце 2025 года поддержка passkeys была обнаружена и доступна исключительно в бета-версии Telegram для Android.

3.1 Что нужно знать пользователям#

• Эксклюзивно для Android Beta: В настоящее время эта функция скрыта в бета-версии клиента для Android. Официальной поддержки для iOS или веб-клиента пока нет. Мы обновим эту статью, как только появятся новости о других платформах.
• Повышенная безопасность: Для бета-пользователей включение passkeys добавляет надежный, устойчивый к фишингу уровень безопасности, который SMS-коды обеспечить не могут.
• Резервное копирование и синхронизация: Пользователи, использующие менеджеры паролей (например, Google Password Manager, Dashlane или 1Password), могут синхронизировать свои passkeys для Telegram между своими Android-устройствами. Это гарантирует, что они не потеряют доступ, если лишатся конкретного телефона.

Такое поэтапное развертывание говорит о том, что Telegram тестирует стабильность реализации и пользовательский опыт перед глобальным запуском для своих почти миллиарда пользователей.

4. Стратегическое значение Telegram Passkeys#

Хотя безопасность является публичной стороной этого перехода, экономические мотивы, возможно, еще более весомы. Переход Telegram на passkeys — это стратегический маневр, направленный на то, чтобы отделить затраты на рост от устаревшей телекоммуникационной инфраструктуры.

4.1 «Налог телекомов» на рост#

Telegram ежедневно прибавляет около 2,5 миллиона новых пользователей. Каждый новый пользователь требует верификации номера телефона.

• Прямые затраты: Если предположить, что средняя мировая стоимость одного SMS составляет 0,05 доллара, 2,5 миллиона ежедневных регистраций приводят к ежедневным расходам в 125 000 долларов только на верификацию — это почти 45 миллионов долларов в год. Эта сумма не включает повторные входы, смену устройств или неудачные попытки.
• Косвенные затраты: Мошеннические схемы «искусственного завышения трафика» (AIT) означают, что Telegram, вероятно, платит за миллионы SMS, которые никогда не запрашивались реальными пользователями, а были инициированы ботами для сбора платежей коррумпированными операторами.

4.2 Альтернатива с нулевой стоимостью#

Аутентификация с помощью passkeys происходит по стандартному каналу передачи данных (через интернет).

• Предельные издержки: Стоимость проверки подписи passkey — это стоимость нескольких тактов процессора на сервере и нескольких килобайт трафика. Фактически она равна нулю.
• Масштабирование: По мере роста Telegram до 1,5 или 2 миллиардов пользователей стоимость аутентификации с помощью passkeys остается неизменной, в то время как затраты на SMS росли бы линейно (или даже экспоненциально, учитывая инфляцию в мошенничестве с AIT).

4.3 Стратегический поворот с «Telegram Gateway»#

Внедрение Telegram Telegram Gateway API — это переходный шаг. Позволяя другим компаниям верифицировать пользователей через сообщения в Telegram (0,01 $/сообщение) вместо SMS (0,05$/сообщение и выше), Telegram превращает свою инфраструктуру аутентификации в источник дохода. Однако для собственных пользователей переход на passkeys позволяет Telegram полностью прекратить платить телеком-операторам.

Стратегическая цель: Будущее, в котором «Telegram» станет провайдером идентичности. Пользователи используют свой Telegram Passkey для входа в сторонние сервисы, а Telegram взимает с этих сервисов микроплатежи (или предлагает услугу бесплатно для усиления привязки к экосистеме), полностью обходя экосистему SMS.

5. Стратегия Telegram как «суперприложения»#

Внедрение passkeys — это фундаментальный шаг для реализации более широких амбиций Telegram.

Telegram активно строит платформу «мини-приложений» (tApps) — веб-приложений, работающих внутри Telegram. К ним относятся интернет-магазины, криптокошельки и игровые платформы.

• Трудности: В настоящее время эти приложения часто требуют отдельных логинов или подключения кошельков.
• Интеграция с Passkey: Telegram мог бы предоставить мини-приложениям API request_passkey_auth. Пользователь мог бы авторизовать покупку или криптовалютную транзакцию внутри мини-приложения, используя тот же биометрический passkey, что и для входа в Telegram. Это создает экономику «одного касания», подобную Apple Pay, но кроссплатформенную.

6. Заключение: Telegram Passkeys#

Внедрение passkeys — это самое значительное обновление уровня идентификации в Telegram со времен введения облачного пароля. Это результат совпадения необходимости и возможности: необходимости избавиться от огромных затрат и проблем с безопасностью экосистемы SMS и возможности создать удобный, биометрический уровень идентификации для эпохи «суперприложений».

Для пользователя будущее простое: больше не нужно копировать коды и запоминать пароли. Достаточно взглянуть на экран, и криптографическое хранилище откроется. Для Telegram это стратегическое освобождение от телекоммуникационной индустрии, укрепляющее его статус как независимой, суверенной цифровой платформы. Хотя переход займет время — вероятно, годы, чтобы полностью отказаться от SMS для большинства пользователей, — данные бета-тестирования подтверждают, что этот путь уже начался.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →