Co je passkey a jak funguje v praxi
Passkey je moderní metoda přihlášení bez hesla, která využívá dvojici kryptografických klíčů. Privátní klíč zůstává uložený v zařízení uživatele, například v telefonu, notebooku nebo hardwarovém zabezpečeném úložišti, zatímco veřejný klíč je uložený u služby. Při přihlášení se neodesílá žádné textové heslo, ale digitální důkaz, že uživatel vlastní správné zařízení a potvrdil identitu pomocí Face ID, Touch ID, otisku prstu nebo PINu.
V praxi to znamená, že uživatel na webu klikne na „Přihlásit pomocí passkey“, potvrdí se v telefonu nebo na počítači a je uvnitř. Bez přepisování hesla, bez SMS kódu a bez rizika, že někdo jeho přihlašovací údaje zachytí. Technologie stojí na standardech FIDO2 a WebAuthn, které podporují hlavní prohlížeče i operační systémy.
Proč klasická hesla v roce 2026 narážejí na limity
Textová hesla dlouhodobě selhávají ve třech oblastech: bezpečnosti, použitelnosti a provozních nákladech. Uživatelé je recyklují napříč službami, zapisují do poznámek nebo používají slabé kombinace. Z pohledu útočníků je to ideální prostředí pro credential stuffing, phishing a útoky přes uniklé databáze. Jen v praxi bezpečnostních týmů tvoří zneužití přihlašovacích údajů jednu z nejčastějších vstupních cest do účtů.
Passkey odstraňuje samotný problém s tím, že by bylo co ukrást ve formě hesla. Útočník může získat veřejný klíč, ale ten sám o sobě není k přihlášení použitelný. Navíc je přihlášení vázané na konkrétní doménu, takže je výrazně odolnější vůči phishingovým kopiím přihlašovacích stránek. To je zásadní rozdíl oproti heslům i jednorázovým SMS kódům, které lze stále zneužít sociálním inženýrstvím.
Pro firmy je důležitý i ekonomický rozměr. Každý reset hesla znamená náklady na podporu, ztrátu času a často i pokles konverze. U e-shopů a SaaS služeb bývá odchod uživatele při problému s přihlášením jedna z nejdražších mikro-ztrát v celé zákaznické cestě.
Jaký přínos mají passkeys pro uživatele i byznys
Největší výhoda passkey je kombinace rychlosti a bezpečnosti. Přihlášení bývá podle testů napříč platformami výrazně rychlejší než zadávání hesla, zejména na mobilních zařízeních. Uživatel nemusí vyplňovat formulář, hledat správné heslo v správci nebo přepisovat kód z SMS. V prostředí, kde rozhodují sekundy, je to praktická výhoda pro konverze i retenci.
Pro firmy je klíčové, že passkey snižuje počet selhání při loginu. To se projeví například u:
- e-shopů – méně opuštěných košíků kvůli problému s účtem,
- SaaS aplikací – méně tiketů na obnovu hesla,
- bankovnictví a fintech – vyšší důraz na bezpečnost bez zhoršení UX,
- interních systémů – jednodušší přístup pro zaměstnance a kontraktory.
V reálné praxi navíc passkey dobře funguje i jako druhý faktor nebo jako postupný přechod od hesel. To je důležité pro weby, které nemohou přejít na nový model najednou. Uživatel si může passkey přidat vedle stávajícího účtu a postupně ho začít používat jako primární způsob přihlášení.
Jak passkey nasadit na web nebo do aplikace
Technicky se nasazení opírá o WebAuthn API a serverovou implementaci FIDO2. Zjednodušeně řečeno: frontend spustí registraci nebo přihlášení, backend vygeneruje výzvu, klient ji podepíše pomocí privátního klíče a server ověří podpis pomocí veřejného klíče. Na moderních stackech, například Next.js, React nebo serverless architekturách, je integrace běžně proveditelná bez zásadního zásahu do celé aplikace.
Pro weby na WordPressu existují pluginy a hotová řešení, ale u kritických systémů je vhodnější vlastní implementace přes ověřené knihovny a bezpečnostní review. U e-shopů na WooCommerce nebo custom CMS je vhodné začít pilotem: nejdřív přidat passkey jako volitelnou možnost, sledovat míru aktivace a teprve potom tlačit na větší adopci.
Praktický postup vypadá takto:
- zjistit, kolik přihlášení dnes končí chybou nebo resetem hesla,
- přidat passkey jako alternativu vedle hesla a 2FA,
- upravit onboarding tak, aby uživatel pochopil výhodu během jedné obrazovky,
- testovat na iOS, Androidu, Windows i macOS,
- měřit úspěšnost přihlášení, dobu do loginu a počet support tiketů.
Pro vývojáře je důležité také bezpečné uložení identifikátorů zařízení, správná práce s fallbacky a podpora více zařízení na jednom účtu. Uživatel dnes často očekává, že passkey vytvořená v telefonu bude fungovat i v notebooku přes synchronizaci v rámci ekosystému Apple, Google nebo Microsoftu.
Na co si dát pozor: kompatibilita, obnovy účtu a firemní politika
Passkey není kouzelná náhrada všeho. Stále je nutné řešit obnovu účtu v situaci, kdy uživatel ztratí všechna zařízení nebo změní ekosystém. Dobře navržený systém proto nabízí více metod záchrany: záložní ověření přes důvěryhodné zařízení, recovery kódy, administrátorský zásah nebo ověření identity přes podporu. Bez tohoto procesu se může bezpečnostní přínos změnit v provozní problém.
Další limit je firemní správa zařízení. Ve firmách s MDM, přísnou politikou BYOD nebo s požadavky na audit je potřeba jasně definovat, kde se passkeys ukládají, kdo je může obnovit a jak se řeší odchod zaměstnance. U citlivých systémů je vhodné kombinovat passkey s podmíněným přístupem, device trust a logováním přihlášení do SIEM nebo bezpečnostní analytiky.
Pro weby zaměřené na SEO a marketing je důležité i uživatelské sdělení. Pokud se login stane příliš složitým nebo nepřehledným, uživatel odejde. Nejlepší praxe je jednoduchý text typu: „Přihlaste se otiskem prstu nebo obličejem, bez hesla.“ Krátké vysvětlení často zvýší adopci více než technicky přesný, ale složitý popis.
Proč je rok 2026 zlomový a co z toho plyne pro weby
V roce 2026 se passkey dostává z fáze „novinka“ do fáze „očekávaný standard“. Podporují ho hlavní platformy, velcí dodavatelé identity i stále více služeb, které chtějí snížit ztráty způsobené phishingem a přihlášením přes hesla. V kombinaci s rostoucím tlakem na bezpečnost, lepší UX a nižší závislost na SMS ověřování je jasné, kam se trh posouvá.
Pro majitele webů a produktové týmy z toho plyne jednoduchý závěr v praxi: kdo začne s passkeys dřív, získá výhodu v bezpečnosti i v konverzích. Kdo bude čekat, bude později dohánět nejen technické nasazení, ale i edukaci uživatelů. Nejrozumnější strategie pro rok 2026 je proto nečekat na úplné zmizení hesel, ale připravit login tak, aby passkey byla první volba a heslo jen záloha pro přechodné období.