Proč se přihlašování bez hesel dostává do popředí
Hesla dlouhodobě patří mezi nejslabší místo digitální bezpečnosti. Uživatelé si je opakovaně volí krátká, jednoduchá nebo stejná pro více služeb, což útočníkům usnadňuje práci. Podle bezpečnostních reportů patří phishing a zneužití uniklých přihlašovacích údajů mezi nejčastější příčiny kompromitace účtů. V praxi to znamená, že ani silné heslo často nestačí, pokud jej někdo vyláká přes podvodný web nebo získá z úniku dat.
Passkeys vznikly jako odpověď na tento problém. Nevyžadují, aby si uživatel pamatoval řetězec znaků, a zároveň odstraňují největší slabinu klasického přihlašování: sdílení tajemství mezi uživatelem a serverem. Místo toho pracují s dvojicí kryptografických klíčů, z nichž jeden zůstává bezpečně v zařízení uživatele. To je hlavní důvod, proč jsou v odborných debatách označovány za řádově bezpečnější než tradiční hesla.
Jak Passkeys fungují v praxi
Passkey je přihlašovací metoda postavená na standardu FIDO2/WebAuthn. Při registraci se v zařízení uživatele vytvoří dvojice klíčů: veřejný a soukromý. Veřejný klíč se uloží na server služby, soukromý klíč zůstává v telefonu, notebooku nebo v hardwarovém bezpečnostním modulu zařízení. Uživatel se pak ověří pomocí biometriky, PINu nebo systémového odemykání zařízení, například Face ID, Touch ID, Windows Hello nebo Android biometrie.
Princip je jednoduchý: server po přihlášení pošle jednorázovou výzvu a zařízení ji podepíše soukromým klíčem. Server následně ověří podpis pomocí veřejného klíče. Nikdy tedy nepracuje s heslem, které by šlo odchytit, přepsat nebo znovu použít. Pokud útočník získá databázi služby, získá jen veřejné klíče, které jsou samy o sobě nepoužitelné.
V praxi to probíhá ve třech krocích:
- Registrace: uživatel vytvoří passkey v účtu služby.
- Uložení: soukromý klíč se uloží do zabezpečeného úložiště zařízení nebo synchronizovaného správce klíčů.
- Přihlášení: uživatel potvrdí identitu biometricky nebo PINem a zařízení podepíše přihlášení.
Velkou výhodou je také synchronizace mezi zařízeními. U Applu se passkeys přenášejí přes iCloud Keychain, u Googlu přes Google Password Manager, Microsoft je podporuje v rámci svých přihlašovacích a správních mechanismů. Díky tomu uživatel nemusí vytvářet novou passkey pro každý telefon zvlášť, pokud používá kompatibilní ekosystém.
Proč jsou bezpečnější než hesla a MFA kódy
Bezpečnost passkeys stojí na několika vrstevnatých vlastnostech. První je odolnost vůči phishingu. Passkey je vázaná na konkrétní doménu, takže ji nelze použít na falešném webu s podobnou adresou. Pokud uživatel otevře podvodnou stránku, přihlašovací proces jednoduše neproběhne. To je zásadní rozdíl oproti heslu, které lze na phishingovém formuláři snadno zadat.
Druhou výhodou je, že se nepřenáší žádné sdílené tajemství. U klasického hesla existuje riziko úniku při přenosu, v databázi nebo přes malware. U passkeys se přenáší pouze kryptografický důkaz, který je navíc časově omezený a navázaný na konkrétní web. Třetí výhodou je odolnost proti credential stuffing útokům, kdy útočníci zkoušejí kombinace uniklých e-mailů a hesel na dalších službách. Passkey tímto způsobem zneužít nejde.
Často se uvádí, že passkeys jsou „tisíckrát bezpečnější“. Přesné číslo je spíše marketingové zjednodušení než univerzální metrika, ale trend je jasný: ve srovnání s hesly a SMS kódy výrazně snižují riziko převzetí účtu. SMS autentizace navíc trpí SIM swappingem, přesměrováním zpráv a sociálním inženýrstvím. Passkeys tak v mnoha scénářích nahrazují nejen hesla, ale i slabší formy dvoufaktorového ověření.
Pro firmy je důležité, že bezpečnost nestojí jen na uživateli. Pokud zaměstnanec zvolí špatné heslo nebo podlehne podvodu, systém je zranitelný. U passkeys se útok přesouvá z člověka na zařízení a kryptografii, což je pro obranu výrazně výhodnější.
Kde už se Passkeys používají a jaký je stav adopce
Passkeys dnes podporuje rostoucí počet velkých platforem. Patří sem například Google účty, Apple ID, Microsoft účty, PayPal, eBay, GitHub, Shopify, Uber a řada bankovních nebo fintech služeb. Podpora se rychle rozšiřuje i mezi SaaS nástroji, e-commerce platformami a firemními identitními systémy. Pro uživatele to znamená, že se s nimi mohou setkat už dnes, aniž by si to uvědomovali.
Adopce roste i proto, že velcí hráči tlačí na standardizaci. FIDO Alliance a W3C WebAuthn vytvořily technický základ, který umožňuje interoperabilitu mezi zařízeními a službami. To je důležité i pro vývojáře: nejde o proprietární řešení jedné firmy, ale o otevřený standard, který lze implementovat v moderních webových aplikacích.
Pro menší weby a e-shopy je klíčové, že se nejedná jen o trend pro technologické giganty. Pokud web pracuje s uživatelskými účty, objednávkami, předplatným nebo citlivými daty, dříve nebo později bude čelit tlaku na podporu bezheslového přihlášení. Uživatelé si zvykají na rychlejší a pohodlnější login bez nutnosti resetovat hesla každých několik měsíců.
Co musí udělat weby a firmy, aby byly připravené
Pro implementaci passkeys je zásadní podpora WebAuthn na straně frontend i backendu. V praxi to znamená, že web musí umět zaregistrovat novou credential, uložit veřejný klíč, ověřit podpis a správně pracovat s challenge-response mechanikou. Na trhu existují knihovny pro JavaScript, Java, .NET, PHP, Python i Node.js, které implementaci výrazně zjednodušují.
Pro vývojáře je dobré začít na testovacím prostředí a ověřit několik scénářů: registrace nového zařízení, přihlášení přes stejný účet na více zařízeních, obnova účtu při ztrátě telefonu a fallback pro uživatele bez kompatibilního zařízení. Vždy je potřeba zachovat bezpečný záložní mechanismus, například recovery kódy, administrátorský reset nebo další silný faktor.
Majitelé webů by měli sledovat tyto kroky:
- Zkontrolovat podporu identity provideru: například Auth0, Okta, Microsoft Entra ID, Google Identity nebo vlastní implementaci WebAuthn.
- Ověřit UX přihlášení: nabídnout passkey jako hlavní možnost, ale ponechat fallback pro kompatibilitu.
- Vysvětlit uživatelům výhody: kratší login, menší riziko podvodů, žádné pamatování hesel.
- Otestovat recovery proces: ztracené zařízení nesmí znamenat ztrátu účtu.
- Prověřit analytiku: sledovat míru dokončení registrace, úspěšnost přihlášení a počet resetů účtu.
Pro e-commerce je důležité snížit tření v checkoutu a účtech zákazníků. Pokud se uživatel přihlásí jedním potvrzením na telefonu nebo notebooku, roste šance na dokončení objednávky. U B2B aplikací zase passkeys snižují náklady helpdesku, protože ubývá resetů hesel a problémů s MFA kódy.
Co čekat dál a jak se na změnu připravit už teď
Passkeys neznamenají okamžitý konec hesel, ale jejich postupné vytlačování z hlavních scénářů přihlašování. V přechodném období budou vedle sebe existovat hesla, klasické MFA, passkeys i firemní SSO. Úspěšné budou organizace, které nabídnou jednoduchý přechod a neztratí kompatibilitu se staršími zařízeními.
Pro firmy je rozumné začít na kritických místech: správa administrátorů, interní portály, zákaznické účty s vysokou hodnotou a aplikace s citlivými daty. Tam má bezheslové přihlášení největší přínos. U veřejných webů je vhodné sledovat vývoj podpory v prohlížečích a operačních systémech, protože Chrome, Safari, Edge i Firefox už WebAuthn podporují, ale uživatelská zkušenost se může lišit podle platformy.
Pro marketéry a správce webu z toho plyne i nový úkol: přihlašování nesmí být překážkou konverze. Pokud je login rychlý, bezpečný a bez nutnosti přepisovat kódy z SMS, klesá počet nedokončených registrací a roste důvěra v značku. V době, kdy se uživatelé stále častěji setkávají s AI vyhledáváním, zero-click výsledky a vyšší citlivostí na bezpečnost, se kvalitní bezheslové přihlášení stává i konkurenční výhodou.