Ce este un passkey — autentificare fără parole explicată
Passkey înlocuiește parola cu criptografie cu cheie publică, deblocat prin amprentă sau PIN. Imun la phishing și mai simplu decât parolele.
Ce este un passkey
Un passkey este o metodă de autentificare care înlocuiește parola cu o pereche de chei criptografice, deblocate local pe dispozitivul tău printr-o metodă biometrică (amprentă, recunoaștere facială) sau un PIN.
Pe scurt: în loc să introduci o parolă pe un site, atingi senzorul de amprentă sau privești camera, iar telefonul sau laptopul tău dovedesc criptomatic că ești tu — fără ca nicio parolă să fie transmisă pe internet.
Passkey-urile sunt construite pe standardele FIDO2 și WebAuthn, dezvoltate de alianța FIDO (Google, Apple, Microsoft, Amazon și alte companii) tocmai pentru a elimina vulnerabilitățile inerente ale parolelor.
Cum funcționează passkey-ul — criptografie simplificată
Când creezi un passkey pentru un cont, dispozitivul tău generează o pereche de chei:
- Cheia privată — rămâne pe dispozitivul tău, protejată de biometrie/PIN, nu o vede nimeni altcineva
- Cheia publică — este trimisă și stocată pe serverul site-ului
Când te autentifici ulterior:
- Site-ul trimite o „provocare” (un șir aleatoriu de date)
- Tu deblochezi passkey-ul cu amprenta sau PIN-ul
- Dispozitivul tău semnează „provocarea” cu cheia privată
- Site-ul verifică semnătura cu cheia publică pe care o deține
- Acces acordat — fără parolă transmisă
De ce este asta mai sigur? Cheia privată nu părăsește niciodată dispozitivul tău. Site-ul nu stochează o parolă care poate fi furată. Nu există nimic de phishing — chiar dacă ești pe un site fals, el nu poate obține cheia privată.
De ce passkey-urile sunt imune la phishing
⚠️ Atenție: Phishing-ul funcționează prin convingerea ta să introduci parola pe un site fals. Passkey-ul elimină această vulnerabilitate prin design.
Când folosești un passkey, dispozitivul verifică automat domeniul exact al site-ului înainte de a semna provocarea. Un site fals (chiar dacă arată identic cu cel real) nu poate obține o semnătură validă, pentru că cheia privată refuză să semneze pentru un domeniu neautorizat.
Compară cu 2FA prin SMS: chiar dacă ai 2FA activat, un atac de phishing sofisticat poate redirecționa codul tău în timp real. Passkey-urile nu permit acest lucru.
Unde poți folosi passkey-uri acum
Adoptarea passkey-urilor crește rapid. Servicii care suportă deja passkey-uri:
Marile platforme tehnologice
- Google: conturi Google (Gmail, YouTube, Drive) — passkey disponibil în setările de securitate
- Apple: ID Apple și site-uri prin Safari pe iOS 16+ și macOS Ventura+
- Microsoft: conturi Microsoft și Windows Hello
- GitHub: autentificare cu passkey pentru dezvoltatori
Servicii populare
- PayPal, eBay, Amazon, Shopify
- DocuSign, Kayak, Best Buy
- Creatorii de conținut: Adobe, Canva
În România
Adoptarea locală este în curs. Deocamdată, passkey-urile sunt disponibile mai ales la servicii internaționale. Băncile și platformele românești vor urma, pe măsură ce standardele WebAuthn devin cerință de conformitate.
Passkey vs. parolă vs. 2FA — comparație
| Criteriu | Parolă | Parolă + 2FA SMS | Passkey |
|---|---|---|---|
| Rezistență phishing | Scăzută | Medie | Foarte ridicată |
| Ușurință de utilizare | Medie | Scăzută | Ridicată |
| Risc scurgere server | Ridicat | Ridicat | Scăzut |
| Funcționare offline | Da | Nu (SMS) | Da |
| Suport universal | Universal | Larg | Parțial |
Cum se sincronizează passkey-urile
Spre deosebire de cheile hardware fizice (YubiKey), passkey-urile sunt proiectate să fie convenabile și să se sincronizeze:
- Ecosistem Apple: iCloud Keychain sincronizează passkey-urile pe iPhone, iPad, Mac
- Ecosistem Google: Google Password Manager sincronizează pe Android și Chrome
- Manageri de parole: 1Password și Bitwarden au adăugat suport pentru passkey-uri, permițând sincronizarea cross-platform
Limitări actuale
Passkey-urile nu sunt (încă) soluția universală:
- Suport limitat: nu toate site-urile le acceptă — adopția e în creștere, dar lentă
- Legarea de ecosistem: trecerea de la Apple la Android cu passkey-urile existente necesită migrare manuală
- Recuperare mai complexă: pierderea accesului la ecosistemul de sincronizare necesită proceduri de recuperare pregătite în avans
- Familiarizare: utilizatorii noi pot fi confuzi de absența câmpului de parolă
Relația cu 2FA
Passkey-urile nu înlocuiesc neapărat 2FA ca strat suplimentar — ele schimbă modul în care funcționează autentificarea primară. Passkey-ul în sine este multi-factor prin design (ceva ce ai + ceva ce ești/știi).
Pe site-urile care nu suportă passkey-uri, continuă să folosești autentificarea în doi pași clasică — este în continuare mult mai sigur decât parola singură.
Viitorul fără parole
Passkey-urile reprezintă cea mai semnificativă schimbare în autentificarea online din ultimele decenii. Nu înlocuiesc parolele mâine — tranziția va dura ani — dar direcția este clară: giganții tehnologici s-au angajat la adoptare universală.
Dacă vrei să fii pregătit, activează passkey-ul oriunde îl găsești disponibil, mai ales pentru conturile critice (Google, Apple, Microsoft). Continuă să folosești un manager de parole și parole puternice pentru restul serviciilor — ghidul nostru despre cum creezi o parolă sigură rămâne relevant pentru conturile fără suport passkey.
Viitorul este fără parole — dar tranziția se face treptat, cu pași concreti pe care îi poți face deja astăzi.