Passkeys: dlaczego hasła odchodzą do lamusa
Passkeys eliminują hasła i są odporne na phishing. Wyjaśniamy, jak działają, czym różnią się od MFA i jak zacząć je wdrażać w firmie.
Hasło jako metoda uwierzytelniania ma wadę wpisaną w konstrukcję: to sekret, który trzeba komuś przekazać, żeby się zalogować — a to, co przekazujesz, można wykraść, podejrzeć albo wyłudzić. Passkeys rozwiązują ten problem u źródła i coraz szybciej stają się standardem. Warto zrozumieć, dlaczego są tak istotne.
Czym jest passkey
Passkey to poświadczenie oparte na kryptografii klucza publicznego (standardy FIDO2/WebAuthn). Przy rejestracji urządzenie generuje parę kluczy: prywatny nigdy nie opuszcza Twojego telefonu, komputera czy klucza sprzętowego, a serwis przechowuje tylko klucz publiczny. Logowanie polega na podpisaniu wyzwania kluczem prywatnym, odblokowanym biometrią lub PIN-em urządzenia.
Kluczowa różnica: nie ma sekretu do wykradzenia po stronie serwera. Wyciek bazy danych usługi nie ujawnia niczego, czym można się zalogować.
Dlaczego są odporne na phishing
To najważniejsza cecha. Passkey jest powiązany z konkretną domeną. Nawet jeśli klikniesz w link do idealnie podrobionej strony, przeglądarka nie użyje passkeya, bo domena się nie zgadza. Znika cała klasa ataków, którą opisujemy przy phishingu — nie da się „podać passkeya” na fałszywej stronie, tak jak podaje się hasło czy kod SMS.
Passkey a hasło i MFA
Passkey łączy w sobie dwa składniki: posiadanie (urządzenie z kluczem prywatnym) i cechę/wiedzę (biometria lub PIN odblokowujący klucz). To pełnoprawne, silne uwierzytelnianie wieloskładnikowe w jednym geście — bez hasła i bez przepisywania kodów. W przeciwieństwie do kodów SMS (możliwych do przechwycenia) czy powiadomień push (podatnych na MFA fatigue), passkey jest phishing-resistant z założenia.
Jak zacząć wdrażać w firmie
- Włącz passkeys tam, gdzie już są dostępne — konta Google, Microsoft, Apple oraz coraz więcej aplikacji SaaS wspiera je natywnie.
- Dla kont krytycznych (administratorzy, dostęp do chmury, poczta) rozważ sprzętowe klucze FIDO2 jako najsilniejszy wariant.
- Passkeys synchronizowane (w ekosystemie Apple/Google/Microsoft) obniżają próg wejścia dla zwykłych użytkowników — wygoda sprzyja adopcji.
- Zaplanuj ścieżkę odzyskiwania konta na wypadek utraty urządzenia — to najczęstszy punkt, w którym wdrożenia się potykają.
Czego się spodziewać
Passkeys nie znikną z dnia na dzień z hasłami — przez jakiś czas będą działać obok nich. Ale kierunek jest jasny: uwierzytelnianie, którego nie da się wyłudzić, to największy pojedynczy krok, jaki większość organizacji może dziś zrobić dla bezpieczeństwa logowania. Jeśli chcesz ocenić, gdzie w Twojej firmie hasła są najsłabszym ogniwem, skontaktuj się z nami.
Źródła i dalsza lektura: FIDO Alliance, W3C WebAuthn.