Вход через Google, Apple ID и соцсети может стать вашей фатальной ошибкой. Почему
Один ключ, много дверей и риск потерять все/twz/imgs/2025/10/13/13/6909266/8508999c1eda6dedc65bb20d75e6570eaa3f7219.png)
/twz/imgs/2026/05/14/10/6973702/8455ebffb5d66437fc6b0f0483147d9868b77342.png "Вход через Google, Apple ID и соцсети может стать вашей фатальной ошибкой. Почему")
© Коллаж: «Теперь вы знаете», создано при помощи нейросети
Single Sign-On — безопасно или нет?
Сервисы единого входа (Single Sign-On, SSO) появились уже относительно давно. И хотя все специалисты кибербезопасности наперебой советуют вам не использовать одну и ту же связку логин-пароль для разных сайтов, авторизация через такие сервисы часто безопаснее, чем передавать данные напрямую серверу.
Почему так? Как правило, рядовые сайты, где вы регистрируетесь вручную, редко имеет серьезную защиту. Его базу данных легко скомпрометировать, а ваш аккаунт — украсть. И вот тут-то точно не стоит использовать пароль, который также открывает, например, ваш профиль в соцсетях или электронную почту.
Когда вы используете условный Google или Apple, вы доверяете безопасность компаниям, которые вкладывают миллиарды в защиту. Они не обмениваются этими данными с конечным сайтом, обычно третья сторона получает только ваше имя, email и фото профиля — и то только если вы разрешили.
Кроме того, у вашего основного аккаунта SSO почти наверняка включена двухфакторная аутентификация и система оповещения о подозрительной активности. Этого хватает в большинстве случаев, чтобы предотвратить попытки взлома.
Однако дьявол кроется в нюансах. Со временем к этому вашему единому аккаунту привязывается все большее и большее количество точек входа.
По сути, вы создаете постоянную связь между каждым приложением и своей основной учетной записью. Если с вашим основным аккаунтом что-то случится, полететь может все.
/twz/imgs/2026/03/24/12/6958940/7476a6826a1c609b0a9f599773daa5dd1088f502.png)
/twz/imgs/2025/10/26/16/6917064/7d849f4da275e00678b497704bfcb331ff587315.png)
Риски единого входа
Главный риск SSO — централизация. Все завязано на одном аккаунте. Если вы потеряете доступ к нему, вы потеряете доступ ко всем сервисам, куда когда-либо заходили через единый вход.
Киберугрозы
Как объяснил руководитель Kaspersky GReAT в России Дмитрий Галов, риски чаще возникают не из-за самой технологии авторизации, а из-за небезопасных действий пользователей.
Злоумышленники используют фишинг и методы социальной инженерии, чтобы выманить «основной» аккаунт. При это они знают, что люди склонны доверять крупным брендам, поэтому мимикрируют под них. Например, создают поддельные, но внешне весьма правдоподобные, страницы «Войти через Google» или «Продолжить с Apple».
/twz/imgs/2026/05/14/14/6973837/a3f1677d3517356f3c1ea921ef15e0446a97d038.png)
Если вы не собираетесь отказываться от этого удобного способа авторизации, особенно важно уделить внимание защите основного аккаунта. Например, включить двухфакторную аутентификацию.
Дополнительный риск связан с современными атаками типа Adversary-in-the-Middle. В таких сценариях злоумышленники могут перехватывать сессионные токены даже при включенной двухфакторной аутентификации. Но тут, что называется, везде соломки не подстелешь.
А в апреле 2026 года стало известно о новой технике взлома Google-аккаунтов без пароля. Хакеры используют вредоносное ПО для кражи аутентификационных cookies. И эти cookies позволяют обойти двухфакторную аутентификацию.
Даже если вы смените пароль, хакер все равно сможет оставаться в системе. Инфостилеры вроде Lumma и Rhadamanthys уже используют эту технику, воруя данные для входа в аккаунт из Chrome.
/twz/imgs/2026/05/14/16/6973884/d0bd7efcf0ef2f83dd14ccc2dd031189fd395ac9.png)
© Создано при помощи нейросети
Блокировки сверху
Если от фишинга и вирусов еще реально защититься с помощью повышения киберграмотности и защищенности устройств и аккаунтов, то от угрозы, что вас просто заблокируют модераторы этого самого удобного сервиса, так просто не отмахнешься.
За примерами далеко ходить не надо. В начале 2026 года у десятков и сотен россиян начали блокировать Apple ID буквально на ровном месте. Под чистку алгоритмов попали, в частности, однофамильцы людей, попавших в западные санкционные списки. Восстанавливать аккаунты приходилось через техподдержку, и далеко не всем это удалось с первого раза.
При этом все еще не исключен вариант, что в результате каких-нибудь новых санкций пользование сервисами Apple, которые официально и так ушли из РФ, станет запрещено вообще всем россиянам. Что техническая возможность превратить ваш айфон в кирпич есть, Apple уже продемонстрировала.
/twz/imgs/2026/03/31/09/6961015/f8d0a35d2aa6f633d8bbdd426f237272da24e0a4.png)
Аналогично с Google ID. Под блокировку аккаунта можно попасть как за нарушения правил пользования сервисом, например, м использовать почту для рассылки спама и фишинга, так и в результате нелепого стечения обстоятельств.
Например, весной 2026 года Google-аккаунт вместе со всеми привязанными сервисами (а это, на минуточку, почта, Google Диск с кучей важных документов, рабочие аккаунты и аккаунты в ИИ-сервисах) забанили у семьи подростка, который решил использовать сервисы 18+ нейросети Gemini. 14-летний мальчик отправил в чат-бот интимное фото — и профили всей семьи просто снесли без разбирательств, чтобы подобное не повторилось.
Под блокировку попал даже сайт, привязанный к одному из аккаунтов Google.
/twz/imgs/2026/05/14/15/6973869/5e0606b74b071912ddf023f6c1a30ddd660f9e6f.png)
© Создано при помощи нейросети
Обратная сторона медали: чужие ID
Цифровые сквозные ID по сути выполняют роль вашего интернет-паспорта, пусть и их действие ограничено ресурсами, которые поддерживают такой способ авторизации. Поэтому логично не раздавать пароль от них кому попало. Но есть и другой нюанс, о котором задумываются куда реже: вводить чужие ID на своих устройствах тоже ни в коем случае не надо.
Последствия могут быть плачевными. Например, известен кейс, как россиянка продавала айфон, и потенциальный покупательница попросил войти в него под Apple ID ее мужа, якобы чтобы проверить работоспособность. Стоило это сделать, как смартфон заблокировали удаленно и потребовали за разблокировку кругленькую сумму.
Это стало возможным потому, что как только кто-то вводит на айфоне данные Apple ID, айфон сразу появляется в списке привязанных устройств в iCloud. И дальше владелец этого Apple ID может делать с ним все что угодно.
А женщина еще удивлялась, как это столь ценными данными так легко поделились.
/twz/imgs/2026/03/25/16/6959428/4f714c704882a7325eb60d9d75a975114cf521d4.png)
/twz/imgs/2026/02/24/14/6952313/15ff5f4efd547b7f3609e4afb6711c6436142d70.png)
/twz/imgs/2025/12/08/15/6937050/2b959c0ba59f6af99e6cd298add4634f8809cd62.png)
Когда стоит использовать единый вход, а когда — нет
Единый вход — это хороший выбор для низкорисковых аккаунтов: новостные сайты, форумы, приложения, которые вы пробуете, или сервисы, которыми не планируете пользоваться долго. Также он имеет смысл, если вы пользуетесь сервисами единой экосистемы, не выходя за ее контуры.
Кстати, российские сервисы в силу законодательства о персональных данных очень много вкладываются в их защиту. Далеко не во всех приложениях принимаются такие SSO, но где можно, лучше использовать их.
А вот для важных рабочих инструментов или любого приложения, которое запрашивает доступ больше, чем к базовой информации профиля, лучше создать отдельную учетную запись. Это дает вам больше контроля и ограничивает ваши риски, если что-то пойдет не так.
Особенно это касается рабочих сервисов, электронной почты, облачных хранилищ, AI-инструментов и систем умного дома. Для них лучше заводить отдельный логин, использовать сложный пароль и двухфакторную аутентификацию.
Как защитить свой SSO-аккаунт
Если вы все же используете единый вход (а кто его не использует?), вот что нужно сделать прямо сейчас.
- Проверьте, какие приложения имеют доступ. Обычно список прячется в разделах настроек «Приложения, имеющие доступ к аккаунту», «Пароль и безопасность», «Сервисы и сайты» и так далее. Там при необходимости можно отозвать лишние доступы.
- Включите двухфакторную аутентификацию везде, где можно. Раздел можно найти по ключевым словам «двухэтапная аутентификация», «вход и безопасность» и другим комбинациям.
- Используйте ключи доступа (passkeys). Это технология, поддерживаемая Google и Apple, которая заменяет пароли криптографическими ключами. Она делает практически невозможным фишинг и перехват данных.
- Регулярно проверяйте список авторизованных OAuth-приложений. Особенно в корпоративных аккаунтах. Как показала атака на Drift в августе 2025 года (затронувшая более 700 организаций), OAuth-токены могут украсть и использовать для доступа к данным незаметно для пользователей.
Для ключевых сервисов — например, основной или рабочей почты, банковских приложений — имеет смысл использовать отдельные учетные записи и уникальные сложные пароли. Дополнительно повысить уровень защиты также помогут менеджер паролей и современные защитные решения для персональных устройств.
/twz/imgs/2026/05/14/14/6973839/4e481751b4b9fca53aa3a4c69f6780fa83a198bd.png)
Теперь вы знаете, что удобство и безопасность далеко не всегда работают в одной связке. Так что, возможно, настала пора провести ревизию ваших авторизаций. И, кстати, не забывайте иногда обновлять свои пароли в головных SSO-сервисах, ведь по нынешним временам это даже не паранойя, а азы кибербеза.
/twz/imgs/2026/05/05/12/6971210/c95972a202f0ae35f5057f45e956ad814e4ca2aa.png)
/twz/imgs/2026/05/04/13/6970969/ee58b872e29453fc950dc796e8b0fd8020a8f1f5.png)