Una passkey è un metodo di accesso crittografico che sostituisce una password digitata con una coppia di chiavi. Il dispositivo o l'autenticatore dell'utente conserva la chiave privata, mentre il servizio memorizza solo la chiave pubblica. Durante l'accesso, il servizio invia una sfida al dispositivo, che dimostra il possesso della chiave privata senza rivelare un segreto riutilizzabile.
Le passkey sono importanti perché riducono il valore di attacchi comuni come phishing, credential stuffing e riutilizzo delle password. Un aggressore che rubi un record di accesso passkey non può semplicemente riutilizzarlo su un altro sito. Nelle difese reali, le passkey vengono abbinate a standard come WebAuthn e FIDO per supportare un'autenticazione resistente al phishing. Tuttavia, la sicurezza dipende ancora dalla registrazione, dalla protezione del dispositivo e dai flussi di recupero. Se il recupero dell'account è debole o un dispositivo è compromesso, gli aggressori possono aggirare il metodo di accesso più मजबूत. Le passkey migliorano l'autenticazione, ma non eliminano la necessità della sicurezza degli endpoint e di una gestione attenta dell'identità.