Passkeys w firmie – koniec ery haseł nadchodzi

Czym są passkeys i skąd się wzięły?

Passkeys (klucze dostępu) to standard uwierzytelniania oparty na technologii FIDO2/WebAuthn, opracowanej przez konsorcjum FIDO Alliance przy udziale Google, Apple, Microsoft i dziesiątek innych firm technologicznych. Zamiast tradycyjnego hasła użytkownik loguje się za pomocą pary kluczy kryptograficznych: klucz prywatny pozostaje na urządzeniu (telefon, laptop), a klucz publiczny trafia na serwer usługodawcy.

Sama idea kryptografii asymetrycznej nie jest nowa – certyfikaty cyfrowe istnieją od lat. Nowość polega na tym, że passkeys są zaprojektowane z myślą o zwykłym użytkowniku: działają przez odcisk palca, rozpoznanie twarzy lub PIN urządzenia, bez potrzeby rozumienia matematyki stojącej za tym rozwiązaniem. Wielka trójka – Google, Apple i Microsoft – włączyła obsługę passkeys do swoich systemów operacyjnych i ekosystemów już w 2023 roku.

W 2026 passkeys przestają być ciekawostką technologiczną. Stają się realną, coraz powszechniej wymaganą alternatywą dla haseł – wdrożoną przez setki popularnych usług i domyślnie proponowaną przez producentów systemów operacyjnych.

Dlaczego hasła zawodzą – i co passkeys robią lepiej?

Problemy z hasłami są dobrze znane każdemu administratorowi IT. Użytkownicy wybierają zbyt proste kombinacje, używają tego samego hasła w dziesiątkach miejsc, zapisują je na karteczkach lub w plikach tekstowych. Hakerzy wykradają bazy danych i sprzedają miliony par login-hasło na darkwebie. Phishing polega właśnie na wyłudzeniu hasła – i działa, bo hasło można po prostu przepisać na fałszywej stronie.

Passkeys eliminują te problemy strukturalnie, a nie tylko organizacyjnie:

• Nie można ich wyłudzić phishingiem – klucz kryptograficzny jest ściśle powiązany z konkretną domeną; fałszywa witryna podszywająca się pod bank czy pocztę firmową nic nie uzyska.
• Nie ma bazy haseł do wykradzenia – serwer przechowuje wyłącznie klucz publiczny, który bez klucza prywatnego na urządzeniu użytkownika jest bezwartościowy.
• Każdy serwis dostaje unikalną parę kluczy – problem ponownego użycia hasła znika całkowicie.
• Logowanie jest szybsze i wygodniejsze – wystarczy odcisk palca lub spojrzenie w kamerę, bez wpisywania czegokolwiek.

Z perspektywy firmy oznacza to koniec problemu z pracownikami, którzy wszędzie wpisują hasło w stylu Firma2024! – bo nie ma żadnego hasła do (nie)zapamiętania.

Które platformy i usługi obsługują passkeys w 2026?

Ekosystem passkeys rósł dynamicznie przez ostatnie dwa lata. W 2026 obsługę kluczy dostępu oferują m.in.:

• Google Workspace – logowanie do kont Google bez hasła, dostępne dla organizacji od 2024 roku, w 2026 domyślnie proponowane nowym użytkownikom.
• Microsoft 365 / Entra ID – passkeys jako metoda MFA i logowania bez hasła; obsługiwane na Windows 11, iOS i Android; integracja z Microsoft Authenticator.
• Apple ID / iCloud – głęboka integracja z Touch ID i Face ID na wszystkich urządzeniach Apple.
• GitHub, Shopify, PayPal, LinkedIn, WhatsApp – popularne usługi biznesowe i konsumenckie z pełnym wsparciem passkeys.
• Menedżery haseł: 1Password, Bitwarden, Dashlane – działają jako magazyn i synchronizator passkeys między urządzeniami różnych producentów.

Na poziomie systemów operacyjnych: Windows 11 (od aktualizacji 23H2), macOS Ventura i nowsze, iOS 16+ oraz Android 9+ oferują natywną obsługę kluczy dostępu. To oznacza, że większość firmowych urządzeń jest już gotowa technicznie – kwestią pozostaje wdrożenie po stronie oprogramowania i firmowych procesów.

Jak wdrożyć passkeys w firmie MŚP – pierwsze kroki

Wdrożenie passkeys w firmie nie musi być rewolucją z dnia na dzień. Rekomendowany model to stopniowe przejście, które minimalizuje ryzyko i daje czas na przyzwyczajenie się pracowników:

1. Audyt obecnych metod logowania – sprawdź, które systemy już obsługują passkeys. Google Workspace i Microsoft 365 to naturalne punkty startowe, bo pokrywają logowanie do poczty, dokumentów i kalendarza.
2. Uruchom passkeys jako opcję dodatkową – nie usuwaj haseł od razu. Daj pracownikom możliwość zarejestrowania klucza dostępu obok hasła i pozwól im samodzielnie przejść w nowym trybie.
3. Przeszkol zespół – pokaż na żywo, jak rejestruje się passkey na telefonie lub laptopie. To operacja na dwie minuty, ale trzeba ją wykonać raz na każdym urządzeniu roboczym.
4. Wdróż synchronizację przez menedżer haseł – Bitwarden lub 1Password pozwalają przechowywać i synchronizować passkeys między urządzeniami, co rozwiązuje problem utraty dostępu przy zmianie lub zgubieniu telefonu.
5. Stopniowo wymagaj passkeys dla kluczowych systemów – gdy większość pracowników przejdzie migrację, wyłącz możliwość logowania samym hasłem dla systemów o podwyższonym ryzyku: poczta zarządu, CRM, systemy finansowe.

Kluczowy wniosek: nie rób wszystkiego naraz. Pilotaż na jednym zespole, zebranie feedbacku, potem rozszerzenie – to model, który działa. Jeśli potrzebujesz pomocy w planowaniu migracji, skontaktuj się z NovaSys – doradzamy i wdrażamy bezpieczne uwierzytelnianie w firmach z Wrocławia i okolic.

Ograniczenia i wyzwania passkeys – co warto wiedzieć przed wdrożeniem

Passkeys nie są pozbawione słabych stron. Kilka kwestii wymaga przemyślenia zanim zdecydujesz się na migrację:

• Utrata urządzenia – jeśli klucz prywatny jest wyłącznie na jednym telefonie i ten telefon ginie lub ulega awarii, tracisz dostęp do konta. Rozwiązanie: synchronizacja przez chmurę (iCloud Keychain, Google Password Manager) lub firmowy menedżer haseł z funkcją backupu.
• Nie wszystkie systemy są jeszcze gotowe – starsze aplikacje biznesowe, systemy ERP i dedykowane oprogramowanie branżowe mogą nie obsługiwać passkeys. Przez kilka najbliższych lat konieczne będzie utrzymywanie środowisk hybrydowych.
• Wiele urządzeń roboczych – pracownik używający telefonu służbowego i prywatnego musi zarejestrować klucz na każdym urządzeniu osobno lub skorzystać z synchronizacji między platformami.
• Przyzwyczajenia użytkowników – paradoksalnie, zmiana bywa wyzwaniem nawet gdy nowe rozwiązanie jest prostsze. Potrzebne są szkolenie, komunikacja i cierpliwość.
• Regulacje i audyty IT – passkeys są zgodne z wymogami silnego uwierzytelniania wynikającymi z RODO i NIS2, ale warto udokumentować wdrożenie na potrzeby ewentualnych kontroli.

Mimo tych ograniczeń bilans jest jednoznacznie pozytywny. Dla firm MŚP, gdzie zasoby IT są ograniczone, passkeys oznaczają realną poprawę bezpieczeństwa bez proporcjonalnego wzrostu skomplikowania zarządzania.

Passkeys a MFA – czy to koniec dwuskładnikowego uwierzytelniania?

Często pojawia się pytanie: skoro passkeys są tak bezpieczne, czy można zrezygnować z MFA? Odpowiedź jest subtelna. Passkeys same w sobie są uwierzytelnianiem dwuskładnikowym zamkniętym w jednym kroku: coś, co masz (urządzenie z kluczem prywatnym) oraz coś, czym jesteś lub co wiesz (biometria lub PIN urządzenia). Z technicznego punktu widzenia spełniają wymogi silnego uwierzytelniania wymagane przez większość regulacji.

W praktyce jednak – dla krytycznych systemów, takich jak poczta zarządu, systemy finansowe czy CRM – wielu ekspertów bezpieczeństwa zaleca dodatkowy składnik przynajmniej na etapie rejestracji nowego klucza passkey lub przy logowaniu z nieznanego urządzenia. To kompromis między bezpieczeństwem a wygodą, który każda firma powinna dopasować do własnego profilu ryzyka.

Jedno jest pewne: passkeys to poważna ewolucja w kierunku uwierzytelniania odpornego na phishing. W połączeniu z odpowiednią polityką bezpieczeństwa, szkoleniami pracowników i monitoringiem systemów stanowią solidny fundament ochrony firmowej tożsamości cyfrowej. Jeśli Twoja firma jeszcze nie rozważała tego tematu – 2026 to dobry moment, by zacząć.