Przejdź do treści
Breachroad
Wróć do bloga
Uwierzytelnianie

Passkeys: dlaczego hasła odchodzą do lamusa

Passkeys eliminują hasła i są odporne na phishing. Wyjaśniamy, jak działają, czym różnią się od MFA i jak zacząć je wdrażać w firmie.

KR
Karol Rapacz
25 czerwca 2026 · 6 min czytania
Passkeys: dlaczego hasła odchodzą do lamusa

Hasło jako metoda uwierzytelniania ma wadę wpisaną w konstrukcję: to sekret, który trzeba komuś przekazać, żeby się zalogować — a to, co przekazujesz, można wykraść, podejrzeć albo wyłudzić. Passkeys rozwiązują ten problem u źródła i coraz szybciej stają się standardem. Warto zrozumieć, dlaczego są tak istotne.

Czym jest passkey

Passkey to poświadczenie oparte na kryptografii klucza publicznego (standardy FIDO2/WebAuthn). Przy rejestracji urządzenie generuje parę kluczy: prywatny nigdy nie opuszcza Twojego telefonu, komputera czy klucza sprzętowego, a serwis przechowuje tylko klucz publiczny. Logowanie polega na podpisaniu wyzwania kluczem prywatnym, odblokowanym biometrią lub PIN-em urządzenia.

Kluczowa różnica: nie ma sekretu do wykradzenia po stronie serwera. Wyciek bazy danych usługi nie ujawnia niczego, czym można się zalogować.

Dlaczego są odporne na phishing

To najważniejsza cecha. Passkey jest powiązany z konkretną domeną. Nawet jeśli klikniesz w link do idealnie podrobionej strony, przeglądarka nie użyje passkeya, bo domena się nie zgadza. Znika cała klasa ataków, którą opisujemy przy phishingu — nie da się „podać passkeya” na fałszywej stronie, tak jak podaje się hasło czy kod SMS.

Passkey a hasło i MFA

Passkey łączy w sobie dwa składniki: posiadanie (urządzenie z kluczem prywatnym) i cechę/wiedzę (biometria lub PIN odblokowujący klucz). To pełnoprawne, silne uwierzytelnianie wieloskładnikowe w jednym geście — bez hasła i bez przepisywania kodów. W przeciwieństwie do kodów SMS (możliwych do przechwycenia) czy powiadomień push (podatnych na MFA fatigue), passkey jest phishing-resistant z założenia.

Jak zacząć wdrażać w firmie

  • Włącz passkeys tam, gdzie już są dostępne — konta Google, Microsoft, Apple oraz coraz więcej aplikacji SaaS wspiera je natywnie.
  • Dla kont krytycznych (administratorzy, dostęp do chmury, poczta) rozważ sprzętowe klucze FIDO2 jako najsilniejszy wariant.
  • Passkeys synchronizowane (w ekosystemie Apple/Google/Microsoft) obniżają próg wejścia dla zwykłych użytkowników — wygoda sprzyja adopcji.
  • Zaplanuj ścieżkę odzyskiwania konta na wypadek utraty urządzenia — to najczęstszy punkt, w którym wdrożenia się potykają.

Czego się spodziewać

Passkeys nie znikną z dnia na dzień z hasłami — przez jakiś czas będą działać obok nich. Ale kierunek jest jasny: uwierzytelnianie, którego nie da się wyłudzić, to największy pojedynczy krok, jaki większość organizacji może dziś zrobić dla bezpieczeństwa logowania. Jeśli chcesz ocenić, gdzie w Twojej firmie hasła są najsłabszym ogniwem, skontaktuj się z nami.


Źródła i dalsza lektura: FIDO Alliance, W3C WebAuthn.

Udostępnij artykuł

Usługi Umów konsultację