--- url: 'https://www.corbado.com/ru/blog/telegram-passkeys' title: 'Telegram Passkeys: конец SMS и OTP' description: 'Telegram тестирует passkeys в Android-бете, чтобы заменить SMS и OTP. Узнайте о преимуществах безопасности, защите от SIM‑swap и снижении затрат на аутентификацию.' lang: 'ru' author: 'Vincent Delitz' date: '2025-12-05T13:08:41.042Z' lastModified: '2026-03-25T10:07:16.553Z' keywords: 'Telegram Passkeys, passkeys в Telegram, ключи доступа Telegram, аутентификация Telegram, безопасность Telegram' category: 'Passkeys Reviews' --- # Telegram Passkeys: конец SMS и OTP ## 1. Введение: Telegram Passkeys Чтобы в полной мере оценить масштаб перехода Telegram на passkeys, сперва нужно понять, почему нынешняя инфраструктура аутентификации, на которой работает современный интернет, дала сбой. Модель «общего секрета», которая доминировала в цифровой безопасности на протяжении пятидесяти лет, рухнула под натиском изощренного фишинга, атак с использованием украденных учетных данных и взломов на уровне инфраструктуры. Переход Telegram следует общему тренду в индустрии, заданному такими гигантами в сфере обмена сообщениями, как [WhatsApp](https://www.corbado.com/blog/whatsapp-passkeys). В октябре 2023 года [WhatsApp](https://www.corbado.com/blog/whatsapp-passkeys) внедрил поддержку passkeys для пользователей [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android), а в апреле 2024 года распространил ее и на [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios). [WhatsApp](https://www.corbado.com/blog/whatsapp-passkeys) использует passkeys, чтобы заменить небезопасные одноразовые пароли (OTP) из SMS для повторной аутентификации. Это позволяет пользователям входить в систему с помощью простого сканирования лица или отпечатка пальца. Такой подход не только устранил неудобства, связанные с ожиданием SMS-кодов, но и защитил учетные записи от атак с подменой SIM-карт (SIM-swapping). Текущее бета-тестирование в Telegram для [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) предполагает схожий план действий: сначала охватить самую большую базу пользователей (Android), затем перейти на [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios) и в конечном итоге предложить кроссплатформенный опыт без паролей (в том числе и в веб-версии). ## 2. Глобальный кризис аутентификации и контекст Telegram ![создание passkey в Telegram](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/create_telegram_passkey_0091a3b8b0.jpeg) ### 2.1 Уязвимость номера мобильного телефона (MSISDN) Последнее десятилетие номер мобильного телефона (MSISDN) служил цифровым удостоверением личности для миллиардов пользователей. Telegram, как и WhatsApp и Signal, был построен на этом принципе: ваш номер телефона — это ваш логин. Такое проектное решение, хоть и снизило барьер для входа и способствовало быстрому формированию социального графа, связало безопасность учетных записей пользователей с безопасностью глобальной сотовой инфраструктуры. #### 2.1.1 Механика перехвата SMS Опора на OTP из SMS для аутентификации основана на предположении, что сотовая сеть безопасна. Это предположение, как показывает практика, ложно. Протокол Signaling System No. 7 (SS7), который управляет маршрутизацией звонков и текстовых сообщений по всему миру, не имеет встроенных механизмов аутентификации. Опытные злоумышленники, включая спонсируемые государством группы и преступные синдикаты, могут использовать уязвимости SS7 для перехвата SMS-сообщений в пути. Они перенаправляют OTP, предназначенные для жертвы, на устройство, контролируемое атакующим. Это позволяет захватить аккаунт, даже не имея физического доступа к SIM-карте или телефону жертвы. ![вход в Telegram с помощью passkey](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/login_telegram_passkey_ffaa1ab383.jpeg) #### 2.1.2 Бедствие под названием SIM-свопинг Более распространенной, чем сложные атаки на SS7, является «низкотехнологичная» атака, известная как SIM-свопинг (подмена SIM-карты). В этом сценарии злоумышленник использует методы социальной инженерии, чтобы выдать себя за жертву. Он связывается со службой поддержки мобильного оператора и просит перенести номер телефона жертвы на новую SIM-карту, находящуюся у него. Как только перенос завершен, злоумышленник начинает получать все SMS-сообщения, включая коды для входа в Telegram. - **Специфика Telegram:** Поскольку для удобства Telegram по умолчанию использует однофакторный вход по SMS, успешный SIM-свопинг часто приводит к немедленному взлому аккаунта. - **Черный рынок:** Доступ к ценным аккаунтам Telegram (например, криптоинфлюенсеров, администраторов каналов) является товаром на форумах даркнета. Часто это становится возможным благодаря подкупу инсайдеров в телекоммуникационных компаниях. - **Неэффективность защиты:** Хотя Telegram предлагает «двухэтапную проверку» (облачный пароль), большинство обычных пользователей ее не включают. Более того, механизм восстановления этого пароля часто завязан на электронную почту, которую, в свою очередь, можно взломать через восстановление доступа по SMS, что создает циклическую уязвимость. ### 2.2 Стоимость глобальной отправки SMS Помимо проблем с безопасностью, модель «номер телефона как личность» представляет серьезную экономическую проблему для платформы масштаба Telegram. - **Модель платы за доставку:** Каждый раз, когда пользователь Telegram входит в систему на новом устройстве, переустанавливает приложение или регистрирует новый аккаунт, платформа должна сгенерировать и доставить OTP, в основном через SMS. Операторы связи и агрегаторы взимают «плату за доставку» за каждое сообщение. - **Совокупные затраты:** На рынках первого уровня, таких как США или Великобритания, эти сборы незначительны. Однако на развивающихся рынках или в регионах с высоким уровнем мошенничества стоимость одного SMS может взлетать до 0,05–0,20 доллара за сообщение. Для платформы с 900 миллионами активных пользователей в месяц (MAU) даже скромная оценка количества входов в систему выливается в десятки миллионов долларов ежемесячных операционных расходов. - **Искусственное завышение трафика (AIT):** Растущий вектор мошенничества включает недобросовестных операторов или агрегаторов, которые генерируют поддельные запросы на вход, чтобы заставить Telegram отправлять SMS и получать плату за их доставку. Такое мошенничество с SMS-накачкой истощает ресурсы платформ. - **Контрмеры Telegram:** Недавний запуск компанией **Telegram Gateway** — API, позволяющего компаниям отправлять коды верификации через Telegram за 0,01 доллара, что дешевле SMS, — демонстрирует их острую чувствительность к этим расходам. Они активно стремятся превратить собственную инфраструктуру в товар, чтобы компенсировать «налог» телеком-операторов. Однако наилучший способ сэкономить — это полностью исключить транспортный уровень. ### 2.3 Рост популярности Passkeys В ответ на эти системные сбои альянс [FIDO](https://www.corbado.com/ru/blog/emv-3ds-acs-passkeys-fido-spc-obzor) (Fast IDentity Online), в который входят Google, Apple, Microsoft и другие, разработал новый стандарт аутентификации на основе криптографии с открытым ключом. - **Устойчивость к фишингу:** В отличие от паролей или OTP, которые можно перехватить или выманить у пользователя через поддельный сайт, учетные данные [FIDO](https://www.corbado.com/ru/blog/emv-3ds-acs-passkeys-fido-spc-obzor) (passkeys) привязаны к источнику (домену). Браузер или операционная система просто откажутся генерировать подпись для аутентификации, если домен не совпадает с тем, где был зарегистрирован ключ. - **Привязка к устройству:** Приватный ключ, используемый для аутентификации, хранится в защищенном аппаратном обеспечении устройства пользователя (Trusted Execution Environment или [Secure Enclave](https://www.corbado.com/glossary/secure-enclave)). Его невозможно извлечь, скопировать или угадать. - **Пользовательский опыт:** Используя биометрические сканеры, уже имеющиеся на миллиардах смартфонов (FaceID, TouchID, сканер отпечатков пальцев [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)), passkeys обеспечивают вход в систему, который быстрее и интуитивнее, чем ввод сложного пароля или переключение между приложениями для копирования SMS-кода. ## 3. Текущая доступность: развертывание в бета-версии для Android По состоянию на декабрь 2025 года Telegram начал переход на passkeys, но развертывание пока находится на ранней стадии. В конце 2025 года поддержка passkeys была обнаружена и доступна исключительно в **бета-версии Telegram для Android**. ### 3.1 Что нужно знать пользователям - **Эксклюзивно для Android Beta:** В настоящее время эта функция скрыта в бета-версии клиента для Android. Официальной поддержки для [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios) или веб-клиента пока нет. Мы обновим эту статью, как только появятся новости о других платформах. - **Повышенная безопасность:** Для бета-пользователей включение passkeys добавляет надежный, устойчивый к фишингу уровень безопасности, который SMS-коды обеспечить не могут. - **Резервное копирование и синхронизация:** Пользователи, использующие менеджеры паролей (например, [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager), [Dashlane](https://www.corbado.com/blog/dashlane-passkeys) или [1Password](https://www.corbado.com/blog/1password-passkeys-best-practices-analysis)), могут синхронизировать свои passkeys для Telegram между своими Android-устройствами. Это гарантирует, что они не потеряют доступ, если лишатся конкретного телефона. Такое поэтапное развертывание говорит о том, что Telegram тестирует стабильность реализации и пользовательский опыт перед глобальным запуском для своих почти миллиарда пользователей. ## 4. Стратегическое значение Telegram Passkeys Хотя безопасность является публичной стороной этого перехода, экономические мотивы, возможно, еще более весомы. Переход Telegram на passkeys — это стратегический маневр, направленный на то, чтобы отделить затраты на рост от устаревшей телекоммуникационной инфраструктуры. ### 4.1 «Налог телекомов» на рост Telegram ежедневно прибавляет около 2,5 миллиона новых пользователей. Каждый новый пользователь требует верификации номера телефона. - **Прямые затраты:** Если предположить, что средняя мировая стоимость одного SMS составляет 0,05 доллара, 2,5 миллиона ежедневных регистраций приводят к ежедневным расходам в 125 000 долларов только на верификацию — это почти 45 миллионов долларов в год. Эта сумма не включает повторные входы, смену устройств или неудачные попытки. - **Косвенные затраты:** Мошеннические схемы «искусственного завышения трафика» (AIT) означают, что Telegram, вероятно, платит за миллионы SMS, которые никогда не запрашивались реальными пользователями, а были инициированы ботами для сбора платежей коррумпированными операторами. ### 4.2 Альтернатива с нулевой стоимостью Аутентификация с помощью passkeys происходит по стандартному каналу передачи данных (через интернет). - **Предельные издержки:** Стоимость проверки подписи passkey — это стоимость нескольких тактов процессора на сервере и нескольких килобайт трафика. Фактически она равна нулю. - **Масштабирование:** По мере роста Telegram до 1,5 или 2 миллиардов пользователей стоимость аутентификации с помощью passkeys остается неизменной, в то время как затраты на SMS росли бы линейно (или даже экспоненциально, учитывая инфляцию в мошенничестве с AIT). ### 4.3 Стратегический поворот с «Telegram Gateway» Внедрение Telegram **Telegram Gateway** API — это переходный шаг. Позволяя другим компаниям верифицировать пользователей через сообщения в Telegram (0,01 $/сообщение) вместо SMS (0,05 $/сообщение и выше), Telegram превращает свою инфраструктуру аутентификации в источник дохода. Однако для _собственных_ пользователей переход на passkeys позволяет Telegram полностью прекратить платить телеком-операторам. **Стратегическая цель:** Будущее, в котором «Telegram» станет провайдером идентичности. Пользователи используют свой Telegram Passkey для входа в сторонние сервисы, а Telegram взимает с этих сервисов микроплатежи (или предлагает услугу бесплатно для усиления привязки к экосистеме), полностью обходя экосистему SMS. ## 5. Стратегия Telegram как «суперприложения» Внедрение passkeys — это фундаментальный шаг для реализации более широких амбиций Telegram. Telegram активно строит платформу «мини-приложений» (tApps) — веб-приложений, работающих внутри Telegram. К ним относятся интернет-магазины, криптокошельки и игровые платформы. - **Трудности:** В настоящее время эти приложения часто требуют отдельных логинов или подключения кошельков. - **Интеграция с Passkey:** Telegram мог бы предоставить мини-приложениям API `request_passkey_auth`. Пользователь мог бы авторизовать покупку или криптовалютную транзакцию внутри мини-приложения, используя тот же биометрический passkey, что и для входа в Telegram. Это создает экономику «одного касания», подобную [Apple Pay](https://www.corbado.com/blog/how-to-use-apple-pay), но кроссплатформенную. ## 6. Заключение: Telegram Passkeys Внедрение passkeys — это самое значительное обновление уровня идентификации в Telegram со времен введения облачного пароля. Это результат совпадения необходимости и возможности: необходимости избавиться от огромных затрат и проблем с безопасностью экосистемы SMS и возможности создать удобный, биометрический уровень идентификации для эпохи «суперприложений». Для пользователя будущее простое: больше не нужно копировать коды и запоминать пароли. Достаточно взглянуть на экран, и криптографическое хранилище откроется. Для Telegram это стратегическое освобождение от телекоммуникационной индустрии, укрепляющее его статус как независимой, суверенной цифровой платформы. Хотя переход займет время — вероятно, годы, чтобы полностью отказаться от SMS для большинства пользователей, — данные бета-тестирования подтверждают, что этот путь уже начался.