Passkey — přihlášení bez hesla
Heslo nahrazené kryptografickým klíčem v zařízení.
Co to je
Passkey je moderní způsob přihlášení bez psaní hesla. Tvoje zařízení (mobil, laptop) vytvoří pár kryptografických klíčů — soukromý zůstává jen u tebe, veřejný se uloží na serveru. Při přihlášení tě zařízení ověří otiskem prstu nebo obličejem a podepíše výzvu serveru.
Proč to záleží
Passkey nelze ukrást phishingem (klíč nikdy neopouští tvoje zařízení) a není potřeba si nic pamatovat. Postupně nahrazuje hesla i 2FA — pokud ti to služba nabízí, je to skoro vždy lepší volba.
Jak útok funguje
Passkey je z designu phishing-resistant — útoky, které fungují na hesla, na passkey nefungují. Ale několik vektorů zůstává:
- Bypass přes "use password instead" — když má účet stále i klasické heslo jako fallback, útočník může uživatele social engineeringem dotlačit k "klasickému" přihlášení a tam vyplnit heslo na phishing stránce. Passkey samotný neukradne, ale heslo, které si nechal jako záchranu, ano.
- Cloud sync compromise — passkeye se obvykle synchronizují přes Apple iCloud Keychain / Google Password Manager / 1Password. Pokud útočník získá přístup k tvému Apple ID nebo Google účtu (typicky kombinací phishing + 2FA bypass), může nabídnout své zařízení jako "důvěryhodné" a passkeye stáhne. Proto Apple/Google účet sám MUSÍ být chráněn na nejvyšší úrovni — silné heslo + hardware 2FA / passkey.
- Sociální inženýrství k recovery — útočník zavolá supportu služby a vydává se za tebe ("ztratil jsem telefon, potřebuju resetovat přístup"). Pokud služba nezná zákazníka, může vystavit alternativní cestu přihlášení a tím obejít passkey. To je problém support procesu, ne kryptografie passkey.
Co útok na passkey neumí (na rozdíl od hesla):
- Phishingová stránka nemůže passkey "získat", protože browser passkey k cizí doméně vůbec nepřipojí.
- Útočník nemůže passkey zachytit "na cestě" — soukromý klíč nikdy neopouští zařízení.
- Útok nemůže získat passkey z úniku databáze — server má jen veřejný klíč, který sám o sobě k ničemu nestačí.
Jak se chránit
Když passkey zapínáš:
- Použij ho všude, kde je dostupný — Google, Apple, Microsoft, Amazon, GitHub, banking (postupně). Většinou: Nastavení účtu → Zabezpečení → "Přidat passkey" / "Pass key" / "Sign in without a password".
- Po vytvoření passkey zruš nebo zpřísni heslo — pokud služba umožňuje úplně odstranit heslo, udělej to. Pokud ne, alespoň si dej dlouhé heslo přes password-manager a 2FA aplikační kód jako záložní.
- Měj passkey na víc než jednom zařízení — sync přes iCloud/Google/1Password tě chrání před ztrátou jediného zařízení. Některé služby umožňují přidat víc passkeyů (jeden iCloud, jeden Google, jeden hardware klíč) — využij to.
Recovery plán:
- Hardware klíč (YubiKey, Google Titan) jako záložní passkey pro klíčové účty (e-mail, banking, password manager). Když ztratíš telefon, máš dál cestu zpět.
- Backup codes vytištěné a uložené offline.
- Recovery e-mail (viz recovery-email) musí být sám chráněný passkeyem nebo silnou MFA — řetěz je pevný jen tak, jak nejslabší článek.
Ochrana hlavního účtu (Apple ID / Google):
- Apple ID / Google jsou kořen tvého passkey trustu. Musí být na nejvyšší ochraně — hardware 2FA klíč nebo passkey, ne SMS.
- Nikdy nepouštěj přihlášení k Apple/Google z odkazu v mailu. Otevři Nastavení → účet z aplikace.
Časté mýty
Mýtus"Passkey je nějaká budoucnost, zatím to nikdo nepoužívá."
RealitaPasskey funguje od 2024 ve většině velkých služeb (Apple, Google, Microsoft, Amazon, GitHub, eBay, PayPal, KAYAK, mnoho bankoven postupně přidává). Jen v posledním roce přibylo víc velkých služeb než předtím za 5 let. Na běžném iPhone / Android telefonu si ho nastavíš za 30 sekund — biometrií, kterou už používáš.
Mýtus"Když ztratím telefon, ztratím všechny passkeye."
RealitaPasskeye se synchronizují přes Apple iCloud Keychain (mezi tvými Apple zařízeními) nebo Google Password Manager (mezi Android/Chrome). Když ztratíš telefon, přihlásíš se na jiném zařízení svého Apple/Google účtu a passkeye jsou tam. Pro klíčové účty si přidej hardware klíč jako fallback.
Mýtus"Passkey je jen heslo s biometrií, žádný velký rozdíl."
RealitaMezi heslem a passkeyem je principiální rozdíl. Heslo je *sdílené tajemství* — server ho zná taky, takže když ho ukradnou ze serveru nebo phishingem, máš problém. Passkey je *kryptografický pár* — server zná jen veřejný klíč, který sám o sobě nestačí k ničemu. Útoky na databáze a phishing v zásadě přestávají fungovat.
Quick checklist
Tento týden:
- Zapnout passkey pro Apple ID / Google účet (kořen trustu).
- Zapnout passkey pro e-mail (Gmail, Outlook, Seznam).
- Zapnout passkey pro password manager (1Password, Bitwarden — kde je dostupný).
Tento měsíc:
- Postupně zapnout passkey pro každou službu v password manageru, která ho nabízí.
- Po nastavení passkey odstranit/zpřísnit heslo (kde to služba dovolí).
- Pro klíčové účty (banka, password manager) přidat druhý passkey na jiném zařízení nebo hardware klíč.
Pro krizový scénář (ztráta telefonu):
- Mám hardware klíč nebo druhé zařízení s passkeyem?
- Mám backup codes (vytištěné, ne v telefonu) pro recovery?
- Vím, jak se přihlásit na nový telefon přes Apple ID / Google → Find My / sync?
Podobná témata
Souvisí s kategoriemi v testu: Hesla, 2FA, základy identity
Jaký byl tenhle článek?
Reakce jsou anonymní — pomáhají nám psát další články líp.
Najdeš chybu nebo máš dotaz? Napiš nám.