Co je to passkey?

Passkey je moderní způsob přihlášení bez hesla, který se stává čím dál oblíbenější.
Místo zapisování vašeho tajného hesla „Pepa123“ používá k ověření přímo vaše zařízení, které odemknete pomocí PINu nebo biometrie – například otiskem prstu nebo rozpoznáním obličeje.

Jak to funguje⚙️

Chcete se přihlásit např. na LinkedIn:

1. Na webu zadáte svůj email a zvolíte přihlášení pomocí passkey.
2. LinkedIn pošle vašemu zařízení výzvu k ověření.
3. Váš počítač vás vyzve k potvrzení totožnosti – otiskem prstu, obličejem nebo PINem.
   👉 Tím si ověří, že jste to opravdu vy.
4. Po ověření váš počítač podepíše výzvu svým soukromým klíčem a pošle LinkedInu pouze digitální podpis.
5. LinkedIn ověří, že podpis sedí k vašemu veřejnému klíči – a přihlásí vás.

Proč je to pohodlnější?

Místo přepisování dlouhého hesla si stačí pamatovat krátký PIN nebo rovnou použít biometrii.

Žádné přepisování hesel, žádné SMS kódy.

Proč je to bezpečnější?🛡️

Passkeys jsou tzv. phishing-resistant – odolné vůči falešným webům a krádeži hesel:

• Ověření probíhá kryptograficky přímo mezi vaším prohlížečem a serverem, ne přes formulář.
• PIN nebo biometrie se ověřují přímo na vašem zařízení – nikam se neposílají.
• Pokud používáte pouze passkey, server nikdy neukládá vaše heslo, pouze veřejný klíč.
  → I kdyby unikla databáze, útočník z ní nic nezíská. Protože žádné heslo neexistuje, nemůže ho útočník uhodnout.
• Ověření probíhá pomocí tzv. soukromého a veřejného klíče.
• Soukromý klíč máte jen vy ve svém zařízení – tím se podepisuje přihlašovací výzva.
• Veřejný klíč má LinkedIn a ověří, že podpis opravdu pochází od vás.
• Veřejný klíč umí pouze ověřovat – nikdy z něj nelze vytvořit podpis ani odvodit soukromý klíč.
• Odposlechnutý podpis je k ničemu – platí jen pro danou relaci a pár sekund.
• Passkeys jsou ve skutečnosti vícefaktorové:
• něco máte (zařízení se soukromým klíčem)
• a něco jste nebo víte (biometrie / PIN).

Může někdo muj passkey ukrást?

Passkey neopouští vaše zařízení, takže ho nelze opsat, vyfotit ani odposlechnout při přihlášení.

Webová stránka dostává pouze veřejnou část klíče, která sama o sobě neumožňuje přihlášení ani vytvoření podpisu.
I kdyby se někdo dostal k veřejnému klíči nebo zachytil komunikaci mezi vaším zařízením a serverem, je mu to k ničemu – podpis je pokaždé jiný a platí jen na pár vteřin.

💬 Zjednodušeně: vaše zařízení se jen podepisuje, nikdy neodesílá nic, co by šlo zneužít.

Co když své zařízení ztratím nebo se mi rozbije?

Používání passkey neznamená, že byste přišli o přístup ke svým účtům, pokud se vám zařízení ztratí nebo poškodí.
Stále můžete využít i klasické přihlášení pomocí hesla – doporučujeme tuto možnost zatím ponechat zapnutou jako zálohu.

Tím, že hesla nebudete používat pro běžné přihlašování, nebudou se přenášet přes internet, a tím se výrazně sníží riziko jejich zneužití.

💬 Passkey vám přináší pohodlí a bezpečí, ale klasické heslo se zatím vyplatí mít v záloze – pro jistotu.

Co je to vlastně soukromý a veřejný klíč?

• Soukromý klíč zůstává v zařízení, veřejný klíč má služba.
  

• Veřejný klíč slouží jen k ověřování – neumí podpis vytvořit.

Jaký je rozdíl mezi klasickým heslem a PINem u passkey? 

• Klasické heslo se při přihlášení odesílá na server, který ověřuje, zda je správné.

• PIN se na rozdíl od hesla nikam nikdy neposílá – ověřuje se pouze lokálně na vašem zařízení.

• Je to vlastně místní odemykací kód – něco jako klíč od trezoru.
  PIN vás nepřihlašuje k účtu, ale odemkne vaše zařízení, aby mohlo přihlášení provést bezpečně za vás.
  Server váš PIN nikdy nezná a nemůže ho odposlechnout ani zneužít.