Bezpečnostní experti i velké technologické firmy se už léta shodují na tom, že klasická hesla jsou slabým článkem digitální bezpečnosti. Lidé si volí jednoduché a opakující se kombinace, útočníci je prolomí hrubou silou nebo phishingovými útoky, a uživatelé se tak neustále nacházejí v ohrožení. Passkeys, tedy klíče pro přihlašování bez hesla, mají tento problém elegantně vyřešit. Přesto se zdá, že jejich masové nasazení zatím za očekáváními pokulhává.

Slabiny hesel: Proč je potřebujeme nahradit?

„Hesla jsou katastrofa,“ shrnul na nedávné konferenci Andrew Shikiar, výkonný ředitel a CEO aliance FIDO (Fast Identity Online). Jak vysvětlil, většina běžných uživatelů si hesla nepamatuje, a pokud ano, obvykle používají slabé varianty nebo je opakují na různých platformách.

Dalším problémem je vícefaktorové ověřování (MFA), které mělo hesla posílit, ale v praxi se ukazuje jako nepraktické. Útočníci stále častěji využívají generativní AI k vytváření přesvědčivých phishingových e-mailů, které přimějí uživatele zadat MFA kód na podvodné stránky. Passkeys však fungují na principu kryptografie veřejného klíče, což znamená, že jejich autentizační proces se nespustí, pokud se uživatel nenachází na správném webu.

Zdroj: Shutterstock

Adopce passkeys: Rychlý růst, ale stále dlouhá cesta

Passkeys se rychle rozšířily mezi velké hráče na trhu. Amazon například oznámil, že uživatelé vytvořili 175 milionů passkey klíčů, zatímco Google hlásí více než 800 milionů účtů s touto funkcí. Přesto existuje mnoho odvětví, která jejich využití dosud ignorují.

Cestovní ruch je toho skvělým příkladem. Shikiar zmínil, že hotely a letecké společnosti by mohly mít z passkeys obrovský užitek, protože jejich přihlašovací systémy často matou uživatele tím, že od nich vyžadují nejen heslo, ale i příjmení jako druhý autentizační faktor. Hyatt tento systém už zavedl, ale jeho konkurenti Marriott a Hilton zatím zůstávají pozadu. Stejný problém se týká aerolinek – zatímco British Airways nebo Air New Zealand už passkeys podporují, velké americké společnosti stále váhají.

„Myslím, že v roce 2025 uvidíme v tomto odvětví významný posun,“ dodal Shikiar. Jeho optimismus posiluje i zpráva, že jeden z velkých amerických bankovních domů brzy zavede podporu pro přihlašování passkeys.

Proč jsou passkeys stále tak složité?

I tam, kde jsou passkeys dostupné, mohou mít uživatelé problém s jejich využitím. Některé společnosti je nazývají jinak – například americký vládní systém login.gov používá označení „face or touch unlock“. Jiné platformy zase přidávají zbytečné bezpečnostní kroky, které celý proces komplikují.

Podle pravidel FIDO by měl být přihlašovací proces co nejplynulejší: webové stránky by měly umožnit automatické vyplnění passkey klíčů a uživatel by měl být schopen přihlásit se jediným kliknutím. Místo toho se ale často setkáváme s tím, že si firmy nastavují vlastní autentizační metody, čímž uživatele matou a nutí je projít několika zbytečnými kroky.

Dalším problémem je konkurence mezi technologickými firmami. Operační systémy i webové prohlížeče se snaží nabízet vlastní řešení passkeys, což může vést k situacím, kdy uživatel vidí více různých vyskakovacích oken, aniž by věděl, které z nich má použít. Ars Technica v této souvislosti varovala, že „příliš mnoho kuchařů v kuchyni vede k tomu, že výsledný pokrm není stravitelný“.

Ačkoli adopce passkeys postupuje pomaleji, než se očekávalo, technologické firmy do ní stále investují. Klíčovým bodem pro budoucí úspěch bude sjednocení uživatelského zážitku – méně zmatených kroků, lepší kompatibilita napříč platformami a rozšíření mezi velké služby, jako jsou banky, aerolinky a další klíčové online služby.