Uvod: Problem Lozinki Više Nije Teoretski
Lozinke su desetljećima bile osnovni mehanizam digitalne sigurnosti, ali njihova slabost danas je očita svima: korisnici ih ponavljaju na više servisa, zapisuju u bilješke, biraju prekratke kombinacije ili ih predaju phishing stranicama koje izgledaju uvjerljivo. Čak i kada koristite jaku lozinku, dovoljno je da jedan servis doživi curenje podataka i ta kombinacija postaje trajni rizik.
Zato se sve više govori o passkeys tehnologiji, odnosno prijavi bez lozinke koja se temelji na WebAuthn i FIDO2 standardima. Apple, Google, Microsoft, Bitwarden, 1Password i veliki web servisi već podržavaju passkeys, a korisnici ih sve češće vide kao opciju "Sign in with passkey" ili "Prijava pristupnim ključem".
Za hrvatske korisnike ovo nije daleka enterprise tema. Passkeys će postupno ulaziti u bankarstvo, e-trgovinu, poslovne aplikacije, školske sustave i državne e-usluge. Vrijedi razumjeti što se mijenja prije nego što postane svakodnevica.
Što Je Passkey?
Passkey je kriptografski par ključeva koji zamjenjuje lozinku. Jedan dio ključa ostaje na vašem uređaju ili u sigurnom password manageru, a drugi dio sprema se kod web servisa. Kada se prijavljujete, servis šalje izazov koji vaš uređaj potpisuje privatnim ključem. Lozinka se nikada ne šalje preko interneta jer lozinke zapravo nema.
U praksi to izgleda jednostavno: otvorite web stranicu, odaberete prijavu passkeyjem, a uređaj traži potvrdu otiskom prsta, prepoznavanjem lica, PIN-om ili sigurnosnim ključem. Korisničko iskustvo slično je otključavanju mobitela, ali sigurnosni model je znatno jači od klasične lozinke.
Zašto Su Passkeys Sigurniji
Najveća prednost passkeys tehnologije je otpornost na phishing. Ako otvorite lažnu stranicu koja imitira banku ili popularni servis, passkey se neće aktivirati za krivu domenu. Kriptografski ključ vezan je uz originalnu web adresu, pa napadač ne može jednostavno ukrasti "tajnu" koju upisujete.
Druga prednost je otpornost na curenje baza podataka. Servis ne čuva vašu lozinku, nego javni ključ. Ako napadač provali u bazu, ne dobiva nešto što može iskoristiti za prijavu na drugim stranicama. Time nestaje jedan od najvećih problema današnjeg interneta: reciklirane lozinke koje napadači automatski testiraju na stotinama servisa.
Treća prednost je korisnička disciplina. Ljudi su loši u upravljanju lozinkama, ali dobri su u otključavanju vlastitog uređaja. Passkeys prebacuju sigurnost s pamćenja tajne na posjedovanje uređaja i lokalnu biometrijsku ili PIN potvrdu.
Kako Se Passkeys Razlikuju od Dvofaktorske Autentifikacije
Klasična dvofaktorska autentifikacija dodaje drugi sloj na lozinku. To je bolje od same lozinke, ali i dalje počinje s tajnom koju korisnik može otkriti phishing stranici. SMS kodovi posebno su problematični zbog SIM swap napada i presretanja poruka.
Passkey nije dodatak lozinci, nego zamjena za lozinku. U mnogim scenarijima on kombinira "nešto što imate" (uređaj ili sigurnosni ključ) i "nešto što jeste ili znate" (biometrija ili PIN). Zato ga sigurnosni stručnjaci često smatraju praktičnijim i sigurnijim rješenjem od lozinke plus SMS koda.
To ne znači da će dvofaktorska autentifikacija nestati preko noći. Poslovni sustavi i banke često će kombinirati passkeys s dodatnim provjerama za rizične transakcije. No za svakodnevnu prijavu, passkeys su jasna nadogradnja.
Gdje Se Passkeys Već Mogu Koristiti
Najveći tehnološki ekosustavi već podržavaju passkeys. Google računi, Apple ID, Microsoft računi, GitHub, PayPal, eBay, Shopify i brojne platforme za developere omogućuju prijavu bez lozinke. Password manageri poput Bitwardena i 1Passworda omogućuju sinkronizaciju passkeys ključeva između uređaja, što rješava problem "što ako promijenim mobitel".
U Hrvatskoj će usvajanje vjerojatno ići sporije, posebno kod starijih poslovnih aplikacija i javnih sustava. No banke, fintech servisi i e-commerce platforme imaju snažan motiv za uvođenje jer phishing i krađa računa postaju sve skuplji problem. Kao što smo pisali u vodičima o poslovnim AI alatima, digitalna transformacija najbrže napreduje ondje gdje smanjuje konkretan operativni rizik.
Što Korisnici Trebaju Paziti
Passkeys nisu čarobni štit protiv svih sigurnosnih problema. Ako netko ima pristup vašem otključanom uređaju, još uvijek postoji rizik. Ako izgubite pristup svim uređajima i nemate dobro postavljen oporavak računa, možete si zakomplicirati povrat računa. Zato je važno razumjeti gdje su passkeys spremljeni.
Ako koristite Apple ekosustav, passkeys se sinkroniziraju kroz iCloud Keychain. Na Androidu i Chromeu često se oslanjaju na Google Password Manager. Password manageri trećih strana mogu biti bolji izbor ako koristite više platformi, primjerice Windows laptop, Android mobitel i iPad.
Najpraktičniji savjet: prije masovnog prelaska, provjerite imate li oporavak računa, backup kodove i ažurirane kontakt podatke. Sigurnost koja vas zaključa iz vlastitog računa nije dobra sigurnost.
Što Tvrtke Trebaju Planirati
Za tvrtke je passkeys tema identiteta, ne samo korisničkog sučelja. Potrebno je provjeriti podršku u identity provideru, definirati politiku oporavka računa, educirati helpdesk i pripremiti migracijski period u kojem lozinke i passkeys koegzistiraju.
Najbolji pristup je postupno uvođenje: prvo za administratore i zaposlenike s visokim rizikom, zatim za interne alate, a tek onda za širu korisničku bazu. Time se smanjuje rizik i dobiva realan uvid u probleme s uređajima, browserima i korisničkom podrškom.
Zaključak
Lozinke neće nestati sutra, ali njihov monopol je završen. Passkeys i WebAuthn donose sigurnosni model koji bolje odgovara stvarnom ponašanju korisnika: manje pamćenja, manje upisivanja, manje phishinga i manje štete nakon curenja podataka.
Za obične korisnike, najbolji korak je uključiti passkey na najvažnijim računima čim je opcija dostupna. Za tvrtke, vrijeme je za planiranje migracije jer će korisnici uskoro očekivati prijavu bez lozinki jednako prirodno kao što danas očekuju prijavu biometrijom na mobitelu.
Tehnologija napokon rješava jedan od najstarijih problema interneta. Sada je pitanje koliko brzo će je servisi, institucije i korisnici prihvatiti.
