Passkeys: konec hesel? Přihlášení bez hesla, které zastaví phishing (návod a praxe)
Passkeys: konec hesel? Přihlášení bez hesla, které zastaví phishing (návod a praxe)
Passkeys (FIDO2 / WebAuthn) jsou moderní způsob přihlašování bez hesel. V článku vysvětluju, jak fungují, proč jsou odolné proti phishingu, jak je nasadit ve firmě a na co si dát pozor (tokeny, endpoint, Zero Trust).
Autor: PC1Expert • Aktualizováno:
Co jsou Passkeys (FIDO2 / WebAuthn) a proč jsou „konec hesel“
Passkey je moderní metoda přihlašování, která nahrazuje heslo kryptografií.
Místo toho, aby uživatel zadával heslo (které lze ukrást nebo vylákat phishingem), zařízení použije
asymetrický kryptografický pár klíčů:
Soukromý klíč zůstává bezpečně v zařízení (TPM / Secure Enclave) a
veřejný klíč je uložen na serveru.
Prakticky to znamená: přihlašuješ se otiskem prstu, obličejem nebo PINem zařízení — a žádné heslo nikdy necestuje přes internet.
Proč hesla nestačí (a proč je SMS 2FA slabá)
Hesla selhávají hlavně kvůli lidskému faktoru: slabá hesla, opakované použití a úniky databází. U MFA přes SMS navíc hrozí SIM swap (převzetí čísla) nebo přesměrování zpráv. A i aplikace pro jednorázové kódy (TOTP) umí útočníci obejít přes real-time phishing.
- Phishing: uživatel zadá heslo na falešné stránce.
- Credential stuffing: útočník zkouší uniklá hesla z jiných služeb.
- SIM swap: útočník získá kontrolu nad SMS 2FA.
- Real-time proxy: i TOTP může projít, pokud útočník přeposílá přihlášení v reálném čase.
Jak Passkeys fungují technicky (srozumitelně)
1) Registrace (vytvoření passkey)
Při registraci vytvoří zařízení pár klíčů: soukromý klíč uloží lokálně do bezpečného úložiště a veřejný klíč odešle serveru. Server si tak nikdy neukládá tajemství typu „heslo“.
2) Přihlášení (ověření podpisem)
Server pošle zařízení výzvu (challenge). Zařízení výzvu podepíše soukromým klíčem a server podpis ověří veřejným klíčem. Útočník nemá co ukrást — soukromý klíč zařízení neopustí.
Důležitý detail: passkeys jsou vázané na konkrétní doménu. Proto phishingová kopie webu typicky nedokáže přihlášení dokončit.
Proč jsou Passkeys phishing-resistant (a co to znamená)
„Phishing-resistant“ znamená, že i když se uživatel nechá nalákat na falešnou stránku, přihlášení se buď neprovede, nebo nedá útočníkovi použít. Důvod je kombinace kryptografie + vazby na doménu + lokálního držení tajemství.
| Útok | Heslo | SMS 2FA | Passkeys |
|---|---|---|---|
| Phishing | ❌ | ⚠️ (lze obejít) | ✅ |
| Únik databáze | ❌ | ⚠️ | ✅ (veřejný klíč je OK) |
| Brute-force | ❌ | ⚠️ | ✅ |
| Keylogger | ❌ | ❌ | ✅ |
Příklad z praxe pro laiky: falešná banka vs. Passkey
Představ si, že ti přijde e-mail „Zkontrolujte účet, hrozí blokace“. Klikneš na odkaz a vidíš stránku, která vypadá jako banka. U hesel je průšvih jasný: zadáš heslo a útočník ho má.
U Passkeys je situace jiná: protože je passkey vázaná na správnou doménu, falešný web většinou nedokáže vyvolat validní přihlášení. Může to působit „rozbitě“ — a to je přesně ta ochrana.
Příklad z praxe pro IT: Windows Hello, Entra ID a Zero Trust
Ve Windows ekosystému jsou Passkeys často vidět jako Windows Hello (lokální klíče v TPM) a ve firmách jako passwordless sign-in přes Entra ID (dříve Azure AD). Reálný přínos v provozu:
- méně resetů hesel a servisních ticketů
- menší riziko kompromitace identity přes phishing
- lepší základ pro Zero Trust (identity + device trust + conditional access)
V praxi pak často řešíš kombinaci: passkey + požadavek na „compliant device“ + risk-based sign-in. Tím se bezpečnost posouvá od „znám tajemství“ k „věřím zařízení a kontextu“.
Nové hrozby: token hijacking, infostealery a kompromitované zařízení
Passkeys snižují útoky na hesla, ale útočníci přesouvají pozornost na: endpoint a session tokeny. Když malware ukradne session cookie/token, může získat přístup i bez hesla.
Co s tím (prakticky)
- Endpoint hardening: aktualizace, ochrana proti infostealerům, omezení spouštění
- Device compliance: přístup jen z důvěryhodných zařízení
- Session policy: kratší životnost session, detekce anomálií, re-auth pro citlivé akce
- Least privilege: minimalizace dopadů kompromitace
Doporučení: jak začít s Passkeys hned dnes
Pro běžné uživatele
- Zapni biometriku/PIN a zabezpeč zařízení (mobil/PC).
- Vytvářej passkeys u služeb, které je podporují.
- Používej aktualizovaný OS a prohlížeč.
Pro firmy a IT správce
- Začni pilotem: vybraný tým + jasná pravidla recovery.
- Vynucuj device compliance a conditional access (kde to dává smysl).
- Počítej s tím, že největší bitvy se přesunou na endpoint a session.
- Škol uživatele: phishing nezmizí, jen bude méně účinný na login.
FAQ – nejčastější otázky o Passkeys
Je Passkey totéž co „uložené heslo“ v prohlížeči?
Ne. Uložené heslo je stále heslo (tajemství), které může být vytaženo nebo zneužito. Passkey je kryptografický klíč — server neukládá žádné heslo.
Co když ztratím telefon?
Záleží na ekosystému. Obvykle se passkeys synchronizují přes cloud (např. účet Apple/Google/Microsoft) nebo se obnovují přes recovery proces. Ve firmách je důležité mít recovery politiku předem.
Jsou Passkeys 100% bezpečné?
Nic není 100%. Passkeys ale zásadně snižují rizika spojená s hesly a phishingem. Nové riziko je hlavně kompromitované zařízení a session tokeny.
Můžu Passkeys používat i ve firmě s Windows?
Ano. Typicky přes Windows Hello a identity platformu (např. Entra ID), případně přes FIDO2 security keys. Důležité je sladit to s politikami zařízení a přístupů.
Závěr: Hesla jsou legacy, Passkeys jsou směr
Passkeys jsou jeden z největších posunů v autentizaci za poslední roky: omezují phishing, snižují dopady úniků databází a zlepšují uživatelský komfort. Zároveň ale platí, že bezpečnost se přesouvá na zařízení a session — proto má smysl řešit endpoint ochranu a Zero Trust přístup.
Pokud chceš, můžu navázat článkem: Token hijacking v praxi, nebo „Jak nastavit passwordless strategii ve firmě“ krok za krokem.
Diskuze
Používáš už Passkeys? Napiš do komentářů: kde to funguje skvěle a kde narážíš na limity.
Komentáře
Okomentovat