Od samog početka interneta programeri web stranica i aplikacija snažno su se oslanjali na lozinke kao način zaštite korisničkih računa.
No kako hakeri razvijaju sve sofisticiranije tehnike za zaobilaženje sigurnosnih mjera, lozinke je sve lakše probiti, osobito uz pomoć moćnih GPU procesora i AI sustava. Nedavna studija pokazala je da pojedini GPU može probiti lozinku od deset znakova u sekundi ili manje. Ranljivost korisničkih računa zaštićenih lozinkama potaknula je mnoge tvrtke da traže alternative. Jedna od tih alternativa su passkeys. No nude li one zaista bolju sigurnost?
Passkeys su drukčije od lozinki. Za razliku od lozinki koje omogućuju autentifikaciju unosom slova, brojeva i posebnih znakova ili njihovom kombinacijom, passkeys omogućuju pristup pomoću PIN koda, prepoznavanjem lica ili otiskom prsta. Dakle, ne morate pamtiti niz znakova.
I lozinke i passkeys mogu koristiti višefaktorsku autentifikaciju (MFA). Passkeys korisnike štite ugrađenom MFA provjerom koja zahtijeva dokazivanje najmanje dvije stvari. Prvo, da možete pristupiti uređaju na kojemu se nalazi vaš privatni ključ, i drugo, da možete otključati uređaj ili račun svojim biometrijskim podacima ili PIN kodom. Ovisno o sustavu, korištenje lozinki ponekad zahtijeva MFA dodatno, pri čemu se korisniku šalje kod preko e maila, SMS poruke ili aplikacije za autentifikaciju.
Koji je sigurniji sustav, MFA s lozinkom ili MFA s passkeys Ako vas netko navede da otvorite lažnu stranicu koja izgleda kao prava, i upišete lozinku, napadači je mogu ukrasti zajedno s vašim MFA kodom u stvarnom vremenu i koristiti za pristup vašem računu. Iskusnim hakerima ovo nije teško izvesti. Ranije smo izvještavali o tome kako hakeri zaobilaze MFA ograničenja koristeći sofisticiran malware koji stvara iluziju normalnog procesa prijave.
Međutim, kod passkeys ishod je drugačiji. Čak i ako vas napadač navede da upotrijebite PIN, prepoznavanje lica ili otisak prsta na lažnoj stranici, vaš će uređaj prepoznati da je stranica lažna, što čini krađu podataka vrlo teškom ili nemogućom.
Kako passkeys prepoznaju lažne stranice objašnjava se procesom koji se naziva domain binding. Kada stvorite passkey za neku stranicu, generira se javni i privatni ključ koji se veže uz domenu te stranice. Za razliku od ljudi koji ponekad ne razlikuju slične URL adrese, vaš uređaj nikada neće otkriti privatni ključ ako URL nije potpuno isti. Javni ključ se obično pohranjuje na poslužitelju, a privatni ključ lokalno na uređaju. Ako dođe do proboja podataka na poslužitelju, napadači mogu doći do javnog ključa, ali on im ne vrijedi bez privatnog ključa koji je sigurno spremljen na vašem uređaju. Dakle, proboj podataka ne ugrožava vaš račun.
Iako se za aktivaciju passkey sustava može koristiti PIN, on ima drugačiju ulogu od lozinke. Kada koristite PIN za autentifikaciju, on samo otključava vaš privatni ključ, koji se zatim koristi u kombinaciji s vašom pravom lozinkom. Za razliku od lozinki koje se čuvaju kao kriptirane vrijednosti na poslužitelju i mogu biti otkrivene tijekom napada, PIN ni privatni ključevi nikada se ne pohranjuju na poslužitelju. Samo vaš uređaj poznaje privatni ključ i on ostaje nepoznat svima, uključujući i vas, što ga čini gotovo nemogućim za kompromitaciju.
Tvrtke poput Googlea, Applea i Microsofta prihvatile su i promoviraju passkeys tehnologiju. U travnju 2025. Microsoft je optimizirao proces prijave za korištenje passkeys sustava. Iako nitko ne tvrdi da su passkeys sto posto sigurni, jasno je da su općenito sigurniji od lozinki jer štite korisnike od mnogih socijalno inženjerskih trikova koje koriste hakeri.
