Co jsou passkeys a proč o nich mluví celý internet
Passkeys jsou moderní metoda přihlašování, která nahrazuje heslo veřejným a soukromým klíčem. Uživateli se přitom neukládá žádné klasické heslo, které by si musel pamatovat, zapisovat nebo opakovaně měnit. Místo toho se přihlášení potvrzuje v zařízení, typicky pomocí otisku prstu, rozpoznání obličeje nebo PINu.
Hlavní změna je v tom, že server nikdy nedostane skutečné tajemství, které by mohl útočník zneužít při úniku dat. Právě proto velcí hráči jako Apple, Google a Microsoft passkeys aktivně prosazují. V praxi jde o odpověď na dlouhodobý problém: slabá hesla, phishing, opakované používání stejného hesla a rostoucí náklady firem na obnovu přístupu.
Podle bezpečnostních studií patří kompromitovaná hesla mezi nejčastější příčiny průniků do účtů. Passkeys tento problém výrazně omezují, protože nejsou přenosné jako klasické heslo a jsou vázané na konkrétní zařízení a konkrétní web nebo aplikaci.
Jak passkeys fungují v praxi
Z technického pohledu stojí passkeys na standardech FIDO2 a WebAuthn. Při registraci vznikne dvojice kryptografických klíčů. Soukromý klíč zůstává v zařízení uživatele, veřejný klíč se uloží na server služby. Při přihlášení server pošle výzvu, zařízení ji podepíše soukromým klíčem a služba podpis ověří pomocí veřejného klíče.
To znamená několik důležitých věcí:
- heslo se nikam neposílá, takže ho nelze odchytit při phishingu,
- každý web má vlastní klíč, takže stejný passkey nelze zneužít jinde,
- uživatel se přihlašuje rychleji, většinou jedním potvrzením v telefonu nebo notebooku,
- odpadá reset hesla u lidí, kteří si nepamatují přihlašovací údaje.
V běžném scénáři to vypadá jednoduše: uživatel si na webu vytvoří účet, systém nabídne vytvoření passkey, člověk potvrdí přihlášení biometricky a při příští návštěvě se přihlásí stejně rychle. Pokud zařízení podporuje synchronizaci, může být passkey dostupný i na dalších zařízeních v rámci stejného účtu, například přes iCloud Keychain nebo Google Password Manager.
Proč passkeys porážejí klasická hesla v bezpečnosti i použitelnosti
Hesla mají několik známých slabin. Lidé používají krátké kombinace, recyklují je napříč službami a často reagují na podezřelé e-maily bez dostatečné kontroly. I silné heslo může selhat, pokud ho někdo vyláká přes falešnou přihlašovací stránku. Passkeys tento útokový scénář zásadně omezují, protože přihlášení je vázané na konkrétní doménu.
To je důvod, proč se o passkeys mluví jako o náhradě hesel, ne jen o jejich doplňku. V prostředí e-commerce, SaaS nebo bankovnictví může přechod na passkeys snížit počet incidentů i zátěž zákaznické podpory. Firmy totiž často řeší velké množství resetů hesel, které stojí čas i peníze. U větších služeb jde o tisíce až miliony požadavků ročně.
Z pohledu uživatele je výhoda také v rychlosti. Přihlášení přes passkey bývá otázkou jedné až dvou sekund, zatímco u hesla lidé často přepínají mezi aplikacemi, hledají SMS kód nebo obnovují přístup. U mobilních zařízení je rozdíl ještě výraznější, protože biometrické ověření je pro mnoho lidí pohodlnější než ruční zadávání.
Passkeys ale nejsou kouzelná hůlka. Pokud uživatel ztratí přístup ke všem zařízením a nemá nastavené záložní možnosti, může být obnova komplikovaná. Proto je důležité mít promyšlený recovery proces, například přes další důvěryhodné zařízení, obnovovací kód nebo podporu účtu přes ověřenou identitu.
Kde už se passkeys používají a kdo je podporuje
Podpora passkeys rychle roste. Technologie je dnes dostupná ve velké části moderních prohlížečů a operačních systémů. Podporují ji například iOS, macOS, Android, Windows i hlavní prohlížeče typu Chrome, Safari, Edge a Firefox v různých úrovních implementace.
V praxi to znamená, že uživatel může vytvořit passkey na jednom zařízení a přihlásit se s ním na jiném, pokud to konkrétní služba a ekosystém umožňuje. Pro běžného člověka je důležité hlavně to, že passkey nemusí být složitý technický pojem, ale prostě nová forma přihlášení bez hesla.
Typické scénáře použití už dnes zahrnují:
- e-shopy – rychlejší přihlášení a méně opuštěných košíků při nutnosti registrace,
- SaaS aplikace – nižší počet resetů hesel a lepší uživatelský komfort,
- bankovní a fintech služby – vyšší úroveň ochrany proti phishingu,
- interní firemní systémy – snazší správa přístupu zaměstnanců.
Pro firmy je zajímavé i to, že passkeys mohou fungovat jako součást vícefaktorového ověřování nebo jako plnohodnotná náhrada hesla. To záleží na implementaci a bezpečnostní politice. V některých případech tak může odpadnout potřeba SMS kódů, které jsou z pohledu bezpečnosti slabší a dražší na provoz.
Co musí udělat firmy a vývojáři, aby passkeys nasadili správně
Nasazení passkeys není jen otázka zapnutí nového tlačítka. Web nebo aplikace musí pracovat s WebAuthn, správně řešit registraci, přihlášení, obnovu a přenos mezi zařízeními. Pro vývojáře je klíčové otestovat různé platformy, protože chování se může lišit mezi iOS, Androidem, desktopem i jednotlivými prohlížeči.
Praktický postup pro firmy obvykle vypadá takto:
- nejprve ověřit podporu ve vlastním auth systému,
- zavést passkeys jako volitelnou možnost vedle hesla,
- změřit adopci a počet dokončených přihlášení,
- upravit recovery flow a zákaznickou podporu,
- teprve potom uvažovat o omezení nebo vypnutí klasických hesel.
Pro rychlejší implementaci existují knihovny a identity platformy, které WebAuthn podporují. V prostředí JavaScriptu se často používají řešení navázaná na backendové identity služby, například Auth0, Clerk, Firebase Authentication nebo vlastní implementace přes knihovny typu SimpleWebAuthn. U enterprise prostředí se passkeys často integrují do širšího systému SSO a IAM.
Firmy by zároveň měly počítat s tím, že část uživatelů bude stále potřebovat přístupové heslo nebo alternativu. Ne každý má kompatibilní zařízení, ne každý chce používat biometriku a ne každá organizace může přejít na bezheslový režim ze dne na den. Přechod je proto vhodné dělat postupně.
Co z passkeys získají uživatelé, marketéři i správci webů
Passkeys nejsou jen bezpečnostní novinka. Mají přímý dopad i na byznysové metriky. U webů, kde je registrace nebo přihlášení součástí nákupního či leadového procesu, může jednodušší autentizace snížit odpad v prvních krocích funnelu. Pokud se uživatel nemusí rozhodovat nad heslem, potvrzovacím kódem a obnovou přístupu, roste šance, že dokončí objednávku nebo registraci.
Pro marketing a UX to znamená méně překážek. Zákazník se rychleji dostane do účtu, snadněji dokončí nákup a méně často kontaktuje podporu. U opakovaných nákupů nebo členských webů je to zvlášť důležité. V kombinaci s kvalitním onboardingem, přehledným vysvětlením a jasným recovery procesem se passkeys mohou stát jedním z mála technických prvků, které současně zvyšují bezpečnost i konverzi.
Největší změna ale přichází v tom, jak lidé budou do budoucna chápat přihlašování. Stejně jako se dnes většina uživatelů nechce vracet k manuálnímu vyplňování formulářů na mobilu, postupně bude mizet i tolerance ke klasickým heslům. Passkeys tento posun urychlují, protože spojují bezpečnost s jednoduchostí, což je kombinace, kterou běžná hesla dlouhodobě nabídnout neuměla.