Słownik

Passkey — logowanie bez hasła, co to jest?

Passkey to nowoczesna metoda logowania oparta na kryptografii, odporna na phishing i wycieki haseł. Dowiedz się, czym się różni od hasła i jak zacząć.

Redakcja Bezpieczny Internet Ostatnia aktualizacja

Passkey (ang. passkey, dosłownie: klucz dostępu) to nowoczesna metoda uwierzytelniania, która zastępuje tradycyjne hasło parą kluczy kryptograficznych: prywatnym (przechowywanym bezpiecznie na urządzeniu użytkownika) i publicznym (zapisanym na serwerze serwisu). Zalogowanie się wymaga tylko potwierdzenia tożsamości na urządzeniu — odciskiem palca, skanerem twarzy lub PIN-em telefonu — bez wpisywania żadnego hasła.

Standard jest oparty na protokole FIDO2/WebAuthn, opracowanym przez konsorcjum FIDO Alliance (współtworzone przez Google, Apple, Microsoft i inne firmy technologiczne). To technologia dojrzała i obsługiwana natywnie przez najnowsze wersje iOS, Androida, Windows i macOS.

Jak to działa

Gdy tworzysz passkey dla danego serwisu, Twoje urządzenie generuje unikalną parę kluczy:

  • Klucz prywatny — zostaje na Twoim urządzeniu (lub w menedżerze haseł). Nigdy nie jest przesyłany na serwer.
  • Klucz publiczny — trafia do serwisu (np. Google, Allegro). Klucz publiczny jest bezużyteczny bez pasującego klucza prywatnego.

Przy logowaniu serwis wysyła do Twojego urządzenia losowe wyzwanie (challenge). Urządzenie podpisuje je kluczem prywatnym (po potwierdzeniu Twojej tożsamości — twarzą, odciskiem lub PIN-em) i odsyła podpis. Serwis weryfikuje podpis kluczem publicznym — jeśli pasuje, logowanie jest zatwierdzone.

Trzy kluczowe właściwości wynikają z tej architektury:

  1. Odporność na phishing — passkey jest kryptograficznie powiązany z konkretną domeną. Fałszywa strona g00gle.com nie może uzyskać podpisu przeznaczonego dla google.com.
  2. Brak ryzyka wycieku hasła — serwer nie przechowuje żadnego hasła ani jego skrótu. Wyciek bazy danych nie daje atakującemu nic.
  3. Odporność na ataki brute-force — nie ma hasła, które można zgadywać.

Passkeys mogą być przechowywane lokalnie na urządzeniu lub synchronizowane przez chmurę: iCloud Keychain (Apple), Google Password Manager, Bitwarden lub 1Password. Synchronizacja pozwala używać tego samego passkey na wielu urządzeniach.

Przykłady

Logowanie do Google na Androidzie — zamiast wpisywać hasło i kod 2FA, odblokowujesz telefon odciskiem palca. Google weryfikuje podpis kryptograficzny — cały proces trwa kilka sekund i jest odporny na phishing.

GitHub dla programistów — GitHub obsługuje passkeys od 2023 r. Deweloperzy logują się do repozytoriów bez haseł, używając klucza sprzętowego YubiKey lub biometrii telefonu.

Sklep internetowy — serwis z passkeys nie musi przechowywać bazy haseł ani ich skrótów. Nawet jeśli serwer zostanie zaatakowany, wyciek danych uwierzytelniających jest niemożliwy — nie ma co kraść.

Menedżer haseł + passkeys — Bitwarden i 1Password mogą pełnić rolę passkey provider, przechowując i synchronizując klucze prywatne między urządzeniami, niezależnie od ekosystemu (Apple/Google/Windows).

Powiązane pojęcia

Passkeys są ewolucją uwierzytelniania dwuskładnikowego (2FA) — łączą oba czynniki (coś, co masz = urządzenie, i coś, czym jesteś = biometria) w jednym kroku, bez haseł. Technologia opiera się na kryptografii asymetrycznej opisanej w haśle Szyfrowanie. Menedżerzy haseł coraz szerzej obsługują passkeys jako alternatywę dla klasycznych haseł. Passkeys eliminują najczęstszy wektor ataku — słabe lub skradzione hasła, które są furtką dla phishingu i malware.

Nie daj się oszukać w sieci

Praktyczne poradniki, niezależne testy i jasne porównania — wszystko po polsku, bez marketingowej ściemy.

Czytaj poradniki Sprawdź narzędzia