Защита от мошенничества через passkey в Singpass: обзор
Сингапур с 1 июля запустил в приложении электронной идентификации Singpass новую функцию входа по «ключу-паролю», сообщает Vietnam.vn со ссылкой на GovTech.
Singpass переводит вход на passkey-модель
По опубликованной информации, новая функция использует пару отдельных ключей шифрования: один хранится на устройстве пользователя, второй — в системе Singpass. В GovTech поясняют, что такой вход привязан к официальному домену Singpass и не должен срабатывать на поддельных сайтах.
Практический смысл для пользователя в том, что учетные данные не вводятся на сторонней странице так же, как обычный пароль. Если мошеннический сайт имитирует форму входа, passkey-механизм, согласно заявлению GovTech, не должен позволить использовать его как легитимную точку авторизации.
При этом запуск идет поэтапно. С 1 июля первыми зарегистрировать ключ-пароль через приложение Singpass могут пользователи iPhone. Для устройств на Android функция должна появиться позже. Чтобы активировать новый способ входа, пользователю достаточно пройти регистрацию один раз в приложении Singpass.
Дополнительные практические материалы — duubesoft.com.
После настройки вход в сервисы, поддерживающие Singpass, будет выполняться с помощью биометрической аутентификации — распознавания лица или отпечатка пальца — либо через шестизначный PIN-код, если биометрия не настроена.
Почему это важно для приложений с идентификацией
Singpass — крупная инфраструктура цифровой идентификации: по данным источника, у приложения около 5,5 млн пользователей, а интеграция охватывает более 1400 сервисов государственных учреждений и частных компаний Сингапура. Среди примеров в публикации названы налоговая служба, CPF, портал HealthHub, DBS и Singtel.
Именно масштаб делает изменение заметным не только для Сингапура. Когда электронная идентификация используется для доступа к госуслугам, финансовым и другим сервисам, слабое место часто появляется не в самом приложении, а в моменте входа: пользователь может перейти на поддельную страницу, отсканировать ложный QR-код или передать данные там, где делать этого нельзя.
Полезная подборка по близкой теме — главная подборка.
Vietnam.vn пишет, что в предыдущих инцидентах мошенники использовали поддельные страницы входа Singpass и фальшивые QR-коды для кражи личных данных, включая случаи открытия банковских счетов на имя жертвы. В публикации также приводится сингапурская статистика: в 2025 году онлайн-мошенничество стало вторым по распространенности видом мошенничества после мошенничества в электронной коммерции, а потери составили почти 40 млн сингапурских долларов.
Для читателя, который пользуется мобильными сервисами, вывод практический: при выборе и настройке приложений электронной идентификации стоит смотреть не только на наличие биометрии, но и на то, как приложение подтверждает подлинность сайта или сервиса, через который выполняется вход.
Что пока остается ограничением
GovTech отдельно отмечает, что существующие способы аутентификации — пароли, одноразовые пароли и сканирование QR-кодов — пока продолжат использоваться. Это важно: запуск passkey не означает мгновенный отказ от прежних схем для всех устройств и сценариев.
На начальном этапе функция не поддерживает прямой вход на компьютерах. По данным источника, GovTech работает с разработчиками браузеров над возможностью использовать телефон как ключ аутентификации при входе с настольных или портативных компьютеров.
Еще одно ограничение касается поведения самого пользователя. В GovTech признают, что ни один метод аутентификации не защищен от мошенничества, построенного на психологическом давлении и манипуляциях. Поэтому система сохраняет дополнительные уровни безопасности, включая распознавание лица для транзакций с высоким риском.
На фоне таких запусков стоит внимательнее относиться и к повседневным мобильным сервисам. REGIONS.ru, например, отдельно сообщает о возможностях приложения «МосОблЕИРЦ Онлайн» для оплаты ЖКУ без бумаг и очередей. Деталей в доступном фрагменте нет, но сам тренд очевиден из новостной повестки: все больше бытовых операций переносится в приложения, а значит, вопросы входа, подтверждения личности и защиты от поддельных интерфейсов становятся частью обычной цифровой гигиены.
Проверка первоисточников
Где сверить правила и документы
Ссылки помогают быстро перейти от советов в статье к официальным реестрам, правилам или справочным сервисам. Перед оплатой или претензией сохраняйте дату проверки.