Una passkey sincronizzata è una credenziale di accesso crittografica che può essere resa disponibile su più di un dispositivo tramite un sistema di sincronizzazione affidabile, come un gestore di password o un archivio protetto collegato all'account. Il materiale della chiave privata è protetto dal provider di sincronizzazione e viene sbloccato localmente su ciascun dispositivo, spesso con un PIN, una verifica biometrica o un'altra verifica del dispositivo.
Questo è importante perché la sincronizzazione migliora l'usabilità, ma amplia anche il perimetro di fiducia. Di solito un attaccante non può “forzare” la passkey in sé; invece può prendere di mira l'account, il flusso di recupero o il prompt di sblocco che concede l'accesso alle credenziali sincronizzate su un nuovo dispositivo. Nelle difese reali, le passkey sincronizzate vengono rafforzate da una forte protezione dell'account, dal monitoraggio dei prompt sospetti, dall'indurimento del recupero e dagli avvisi per la registrazione di nuovi dispositivi. Per gli utenti a rischio più elevato, le passkey vincolate al dispositivo o le chiavi di sicurezza hardware riducono la dipendenza dalla sincronizzazione cloud.