Co jsou passkeys a proč se o nich mluví
Passkeys jsou moderní způsob přihlašování, který nahrazuje klasická hesla. V praxi jde o přístup založený na standardu FIDO2 / WebAuthn, kde se při registraci vytvoří dvojice kryptografických klíčů: veřejný a soukromý. Veřejný klíč se uloží na server služby, soukromý zůstává v zařízení uživatele a nikdy jej neopouští. Ověření pak probíhá přes biometriku, PIN nebo bezpečnostní klíč, nikoli zadáním hesla.
Pro uživatele to znamená méně frikce. Pro firmy menší riziko phishingu, credential stuffing útoků a resetů hesel. Podle dat bezpečnostních týmů patří zcizená nebo slabá hesla dlouhodobě k nejčastějším příčinám kompromitace účtů. Passkeys tento problém řeší přímo u zdroje: nevzniká žádné sdílené tajemství, které by šlo odcizit a zneužít na jiné službě.
Důležité je i to, že passkeys nejsou jen „heslo uložené v telefonu“. Jde o odlišný model autentizace, který je navržený tak, aby se nedal snadno podvrhnout přes falešnou přihlašovací stránku. Uživatel se totiž ověřuje vůči konkrétní doméně a soukromý klíč se použije jen v tomto kontextu.
Jak přihlášení funguje v praxi
Celý proces má obvykle dvě fáze: registraci a přihlášení. Při registraci si uživatel na webu nebo v aplikaci zvolí vytvoření passkey. Zařízení vygeneruje kryptografický pár a soukromý klíč uloží do zabezpečeného úložiště, například do iCloudu, Google Password Manageru, Windows Hello nebo do hardwarového tokenu. Server si ponechá jen veřejný klíč a metadata o credentialu.
Při dalším přihlášení server pošle výzvu, takzvaný challenge. Zařízení ji podepíše soukromým klíčem až poté, co se uživatel ověří biometricky nebo PINem. Server podpis ověří pomocí veřejného klíče. Pokud sedí podpis i doména, přístup je povolen. Heslo se nikam neposílá a není co „odchytit“ při phishingu.
V běžném provozu je uživatelský zážitek velmi krátký. Na mobilu se objeví systémová výzva s Face ID, Touch ID nebo otiskem prstu, na notebooku dialog přes Windows Hello, Touch ID nebo PIN. Uživatel tak často projde přihlášením rychleji než klasickým vyplňováním hesla a jednorázového kódu.
Technicky je důležité, že passkey může být platformní nebo cross-device. Platformní passkey je svázaná s ekosystémem zařízení a synchronizuje se mezi zařízeními stejného účtu. Cross-device přihlášení umožní například přihlásit se na počítači pomocí telefonu přes QR kód a Bluetooth ověření blízkosti.
Kde passkeys přinášejí největší přínos
Největší efekt mají tam, kde je vysoký počet přihlášení a zároveň vysoké riziko útoků. Typicky jde o e-shopy, bankovnictví, SaaS platformy, interní firemní systémy, zdravotnictví nebo zákaznické portály. U těchto webů se často opakuje stejný problém: uživatelé zapomínají hesla, používají stejná hesla opakovaně a support řeší množství resetů.
Passkeys zkracují přihlašovací proces a snižují náklady na podporu. V praxi to znamená méně ticketů typu „nepamatuji si heslo“, menší zátěž call centra a nižší riziko převzetí účtu přes sociální inženýrství. U e-commerce navíc může rychlejší přihlášení podpořit konverzi, protože méně lidí opouští checkout kvůli zdlouhavé autentizaci.
Konkrétní příklad: pokud má web 100 tisíc přihlášení měsíčně a jen 5 % z nich končí resetem hesla, jde o 5 tisíc zásahů podpory nebo samoobslužných flow. Přechod na passkeys může tuto frekvenci výrazně snížit, zejména u vracejících se uživatelů na stejných zařízeních.
Výhodu mají i firmy s vyšší bezpečnostní zátěží. Pokud dnes používají SMS kódy, je vhodné vědět, že SMS je z pohledu bezpečnosti slabší kanál než kryptograficky vázané přihlášení. Passkeys jsou proti phishingu a opakovanému použití přihlašovacích údajů výrazně odolnější.
Co musí udělat web a vývojový tým
Nasazení passkeys není jen otázka zapnutí pluginu. Web nebo aplikace musí podporovat standard WebAuthn a správně ošetřit registraci, přihlášení, obnovu a správu zařízení. Důležité je také zachovat fallback pro uživatele, kteří passkey ještě nemají, například klasické heslo, e-mailový odkaz nebo TOTP, podle citlivosti služby.
Vývojáři by měli hlídat několik praktických bodů:
- HTTPS je povinnost – WebAuthn funguje jen na bezpečném připojení.
- Správná doména a origin – passkey je vázaná na konkrétní web, nelze ji používat napříč cizími doménami.
- Ukládání credential ID – server musí umět identifikovat uložené klíče pro konkrétní účet.
- Recover flow – je nutné mít proces obnovy účtu při ztrátě zařízení.
- UX pro více zařízení – uživatel musí vidět, že může přidat další passkey.
Pro vývoj je dnes dostupná podpora v moderních frameworkách i backendových jazycích. WebAuthn knihovny existují pro JavaScript, PHP, Python, Java i .NET. V praxi se často používají řešení jako SimpleWebAuthn, Yubico WebAuthn Server nebo nativní implementace v rámci identity platforem. Pro firmy s hotovým IAM stackem je možné passkeys napojit přes služby typu Auth0, Okta, Microsoft Entra ID nebo Firebase Authentication.
Velkou pozornost si zaslouží i analytika. Je vhodné měřit míru registrace passkeys, úspěšnost přihlášení, počet fallback přihlášení a počet obnov účtu. Teprve z těchto dat je vidět, zda nová metoda skutečně snižuje tření nebo jen přidává další volbu do menu.
Bezpečnost, omezení a rizika, která je třeba znát
Passkeys jsou bezpečnější než hesla, ale nejsou bez rizik. Nejčastější slabinou bývá špatně navržený recovery proces. Pokud firma nastaví obnovu účtu přes slabý e-mailový link bez dalších kontrol, útočník může obejít i velmi silné přihlášení. Bezpečnost passkeys je tedy vždy jen tak silná, jak silný je celý autentizační řetězec.
Dalším tématem je správa ztracených zařízení. Uživatelé mění telefony, maže se jim profil nebo přecházejí mezi operačními systémy. Systém musí umět nabídnout přidání nové passkey, výpis aktivních zařízení a bezpečné odpojení starých. U firemních účtů je vhodné kombinovat passkeys s administrátorskými politikami a podmíněným přístupem.
Je také dobré počítat s tím, že ne každý uživatel má nejnovější zařízení nebo stejné ekosystémy. Na desktopu může být problém s různými prohlížeči nebo staršími verzemi OS. Proto je rozumné zavádět passkeys postupně: nejprve jako volitelnou možnost, pak jako doporučený způsob a teprve u vybraných scénářů jako výchozí.
Pro organizace s vyššími nároky na compliance je přínosné propojit passkeys s auditní stopou. Každé přidání nebo odstranění klíče by mělo být logované, stejně jako změny recovery metod. To je důležité nejen pro bezpečnost, ale i pro interní kontrolu a případné incident response šetření.
Jak s passkeys začít bez zbytečných chyb
První krok je ověřit, zda váš web nebo aplikace skutečně potřebuje okamžitý přechod na bezheslové přihlášení, nebo zda je vhodnější hybridní model. U běžného B2C webu bývá nejlepší nabídnout passkeys jako rychlejší alternativu ke stávajícím metodám. U interních systémů nebo citlivých služeb lze postupovat agresivněji, ale vždy s dobře připraveným recovery procesem.
Pro menší weby a e-shopy je praktický postup tento:
- zjistit, jaký podíl přihlášení probíhá z mobilu a desktopu,
- identifikovat počet resetů hesel za měsíc,
- otestovat WebAuthn na stagingu v hlavních prohlížečích,
- přidat jasný onboarding s vysvětlením výhod,
- zavést fallback a obnovu účtu před ostrým spuštěním.
Dobré je také pracovat s mikrotexty v rozhraní. Místo technického názvu může uživatelům pomoci věta typu „Přihlásit se pomocí otisku prstu, obličeje nebo PINu“. Z pohledu UX je důležité, aby lidé ihned pochopili, že nejde o další heslo, ale o rychlejší a bezpečnější způsob ověření.
Passkeys nejsou krátkodobý trend. Navazují na standardy, které vznikly s cílem odstranit nejslabší místo digitální identity. Jakmile je web umí správně nasadit, získává rychlejší přihlášení, menší počet útoků a lepší uživatelský komfort. Pro firmy to znamená nejen bezpečnostní přínos, ale i měřitelný dopad na konverze, support a důvěru uživatelů.