Přeskočit na obsah
OwlGuardScore

Passkey — přihlášení bez hesla

Heslo nahrazené kryptografickým klíčem v zařízení.

Co to je

Passkey je moderní způsob přihlášení bez psaní hesla. Tvoje zařízení (mobil, laptop) vytvoří pár kryptografických klíčů — soukromý zůstává jen u tebe, veřejný se uloží na serveru. Při přihlášení tě zařízení ověří otiskem prstu nebo obličejem a podepíše výzvu serveru.

Proč to záleží

Passkey nelze ukrást phishingem (klíč nikdy neopouští tvoje zařízení) a není potřeba si nic pamatovat. Postupně nahrazuje hesla i 2FA — pokud ti to služba nabízí, je to skoro vždy lepší volba.

Jak útok funguje

Passkey je z designu phishing-resistant — útoky, které fungují na hesla, na passkey nefungují. Ale několik vektorů zůstává:

  • Bypass přes "use password instead" — když má účet stále i klasické heslo jako fallback, útočník může uživatele social engineeringem dotlačit k "klasickému" přihlášení a tam vyplnit heslo na phishing stránce. Passkey samotný neukradne, ale heslo, které si nechal jako záchranu, ano.
  • Cloud sync compromise — passkeye se obvykle synchronizují přes Apple iCloud Keychain / Google Password Manager / 1Password. Pokud útočník získá přístup k tvému Apple ID nebo Google účtu (typicky kombinací phishing + 2FA bypass), může nabídnout své zařízení jako "důvěryhodné" a passkeye stáhne. Proto Apple/Google účet sám MUSÍ být chráněn na nejvyšší úrovni — silné heslo + hardware 2FA / passkey.
  • Sociální inženýrství k recovery — útočník zavolá supportu služby a vydává se za tebe ("ztratil jsem telefon, potřebuju resetovat přístup"). Pokud služba nezná zákazníka, může vystavit alternativní cestu přihlášení a tím obejít passkey. To je problém support procesu, ne kryptografie passkey.

Co útok na passkey neumí (na rozdíl od hesla):

  • Phishingová stránka nemůže passkey "získat", protože browser passkey k cizí doméně vůbec nepřipojí.
  • Útočník nemůže passkey zachytit "na cestě" — soukromý klíč nikdy neopouští zařízení.
  • Útok nemůže získat passkey z úniku databáze — server má jen veřejný klíč, který sám o sobě k ničemu nestačí.

Jak se chránit

Když passkey zapínáš:

  • Použij ho všude, kde je dostupný — Google, Apple, Microsoft, Amazon, GitHub, banking (postupně). Většinou: Nastavení účtu → Zabezpečení → "Přidat passkey" / "Pass key" / "Sign in without a password".
  • Po vytvoření passkey zruš nebo zpřísni heslo — pokud služba umožňuje úplně odstranit heslo, udělej to. Pokud ne, alespoň si dej dlouhé heslo přes password-manager a 2FA aplikační kód jako záložní.
  • Měj passkey na víc než jednom zařízení — sync přes iCloud/Google/1Password tě chrání před ztrátou jediného zařízení. Některé služby umožňují přidat víc passkeyů (jeden iCloud, jeden Google, jeden hardware klíč) — využij to.

Recovery plán:

  • Hardware klíč (YubiKey, Google Titan) jako záložní passkey pro klíčové účty (e-mail, banking, password manager). Když ztratíš telefon, máš dál cestu zpět.
  • Backup codes vytištěné a uložené offline.
  • Recovery e-mail (viz recovery-email) musí být sám chráněný passkeyem nebo silnou MFA — řetěz je pevný jen tak, jak nejslabší článek.

Ochrana hlavního účtu (Apple ID / Google):

  • Apple ID / Google jsou kořen tvého passkey trustu. Musí být na nejvyšší ochraně — hardware 2FA klíč nebo passkey, ne SMS.
  • Nikdy nepouštěj přihlášení k Apple/Google z odkazu v mailu. Otevři Nastavení → účet z aplikace.

Časté mýty

  • Mýtus"Passkey je nějaká budoucnost, zatím to nikdo nepoužívá."

    RealitaPasskey funguje od 2024 ve většině velkých služeb (Apple, Google, Microsoft, Amazon, GitHub, eBay, PayPal, KAYAK, mnoho bankoven postupně přidává). Jen v posledním roce přibylo víc velkých služeb než předtím za 5 let. Na běžném iPhone / Android telefonu si ho nastavíš za 30 sekund — biometrií, kterou už používáš.

  • Mýtus"Když ztratím telefon, ztratím všechny passkeye."

    RealitaPasskeye se synchronizují přes Apple iCloud Keychain (mezi tvými Apple zařízeními) nebo Google Password Manager (mezi Android/Chrome). Když ztratíš telefon, přihlásíš se na jiném zařízení svého Apple/Google účtu a passkeye jsou tam. Pro klíčové účty si přidej hardware klíč jako fallback.

  • Mýtus"Passkey je jen heslo s biometrií, žádný velký rozdíl."

    RealitaMezi heslem a passkeyem je principiální rozdíl. Heslo je *sdílené tajemství* — server ho zná taky, takže když ho ukradnou ze serveru nebo phishingem, máš problém. Passkey je *kryptografický pár* — server zná jen veřejný klíč, který sám o sobě nestačí k ničemu. Útoky na databáze a phishing v zásadě přestávají fungovat.

Quick checklist

Tento týden:

  • Zapnout passkey pro Apple ID / Google účet (kořen trustu).
  • Zapnout passkey pro e-mail (Gmail, Outlook, Seznam).
  • Zapnout passkey pro password manager (1Password, Bitwarden — kde je dostupný).

Tento měsíc:

  • Postupně zapnout passkey pro každou službu v password manageru, která ho nabízí.
  • Po nastavení passkey odstranit/zpřísnit heslo (kde to služba dovolí).
  • Pro klíčové účty (banka, password manager) přidat druhý passkey na jiném zařízení nebo hardware klíč.

Pro krizový scénář (ztráta telefonu):

  • Mám hardware klíč nebo druhé zařízení s passkeyem?
  • Mám backup codes (vytištěné, ne v telefonu) pro recovery?
  • Vím, jak se přihlásit na nový telefon přes Apple ID / Google → Find My / sync?

Podobná témata

Souvisí s kategoriemi v testu: Hesla, 2FA, základy identity

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.