Passkey jest czymś w rodzaju hasła, elementem dostępu do konta. Jest tworzony na bazie infrastruktury klucza publicznego, dlatego warto się nim zainteresować.
Passkey wykorzystuje poświadczenia WebAuthn/FIDO2, które umożliwia bezhasłowe logowanie się do usług/aplikacji, które to umożliwiają, jak: Gmail, Facebook, Twitter, Microsoft365/Azure Wirtualna Polska, Onet, itp.
Yubico jest współtwórcą FIDO U2F i FIDO2 – protokołów umożliwiających bezpieczne logowanie się, które opiera się phishingowi. Jest też współtwórcą FIDO Aliiance, stowarzyszenia tworzącego i szerzącego bezpieczny sposób logowania.
Standard, który stoi za Passkey, czyli WebAuth/FIDO2, zaczęły wspierać takie firmy, jak Google czy Apple. To ważne, gdyż w oparciu o dowolną z ww. platform, będzie można się uwierzytelnić w usłudze/aplikacji. Dodatkowo, Passkey będzie wspierany w całym ich ekosystemie, czy to Google czy Apple.
Aby lepiej zrozumieć Passkey i ideę, która za nią stoi, firma Yubico stworzyła stronę o Passkey, która w przystępny sposób opisuje, w jakim celu można wykorzystać rozwiązanie. Należy przy tym pamiętać, że Passkey to rozwiązanie darmowe, które może wykorzystać każdy, czy to prywatnie, czy też w organizacji.
Gdzie można użyć Passkey?
Yubikey zabezpieczają Passkey
Łatwo jest myśleć, że Yubikey i Passkey to te same rzeczy, ale zrozumienie różnic jest krytyczne. Od czasu wprowadzenia na rynek Yubikey 5 w 2018 roku, Yubikey mógł tworzyć i przechowywać Passkey, gdzie Passkey nie może być skopiowany lub wyeksportowany. Przechowywanie kluczy dostępu na Twoim Yubikey jest inne niż w przypadku samego Passkey, który są kopiowalny. Klucze dostępu utworzone i zarządzane przez Twoją platformę domyślnie będą przechowywane i synchronizowane z Twoim kontem na platformie. Możliwość synchronizacji kluczy dostępu z kontem w chmurze platformy umożliwia tworzenie kopii zapasowych i odzyskiwanie kluczy, ale istnieją krytyczne kompromisy w zakresie bezpieczeństwa, gdy klucze mogą być kopiowalne.
Jak zweryfikować, czy Twój Passkey działa poprawnie?
Jeśli już stworzyłeś Passkey, ale nie wiesz, czy ono działa, możesz na tej stronie sprawdzić, tworząc tymczasowe konto, (które po 24 godzinach będzie automatycznie usunięte) a logując się za pomocą swojego Passkey.