Heslo bylo padesát let základní vstupenkou do digitálního světa. V roce 2026 ale stojíme na konci jeho éry. Passkeys, technologie postavená na asymetrické kryptografii a biometrii, slibuje, že už nikdy nebudete muset vymýšlet, ukládat nebo zapomínat hesla. Apple, Google a Microsoft ji nasazují plošně, banky a velké e-shopy ji přebírají rok od roku rychleji. V tomto průvodci najdete srozumitelně vysvětlený princip passkeys, porovnání hlavních platforem, top nástroje na správu i praktický návod, jak si je nastavit už dnes.
Co jsou passkeys a proč nahrazují tradiční hesla
Passkeys jsou kryptografické přihlašovací údaje postavené na otevřeném standardu FIDO2/WebAuthn. Místo aby si server uchovával vaše heslo (případně jeho hash), uloží si veřejný klíč. Soukromý klíč zůstává bezpečně uložený ve vašem zařízení — v Secure Enclave iPhonu, v Titan M2 čipu na Pixelu, ve Windows Hello TPM modulu, nebo v hardwarovém klíči typu YubiKey. Když se přihlašujete, prohlížeč nebo aplikace pošle serveru kryptografický důkaz, že soukromý klíč máte — bez toho, aby ho server kdy viděl.
Zásadní rozdíl proti heslům
Heslo je sdílené tajemství. Vy ho víte, server ho zná. Kdekoliv to selže — phishing, únik databáze, vzdálené sledování klávesnice — útočník získá plný přístup. Passkey je naopak založen na principu, který kryptografové znají od sedmdesátých let: server zná jen veřejný klíč, který lze publikovat třeba na billboardu. Bez soukromého klíče (a biometrického potvrzení uživatele) je veřejný klíč k ničemu.
Proč zrovna teď
Tři věci se v posledních dvou letech sešly: 1) Apple, Google a Microsoft začali synchronizovat passkeys napříč svými cloudovými ekosystémy, 2) prohlížeče a operační systémy dovolily uživateli pohodlnou volbu, kterou klíč použít, 3) banky a státní portály (v Česku například Czech POINT, Identita občana, mojeID) tlačí na masové přijetí. V roce 2026 už není otázka „proč passkeys“, ale „proč ne“.
Co biometrie dělá a co nedělá
Pozor — biometrie sama o sobě není „heslo“. Otisk prstu ani sken obličeje neopouští vaše zařízení. Biometrie jen lokálně odemyká soukromý klíč. Pokud někomu ukážete obličej, neukážete mu tím váš passkey. To je důležitý rozdíl proti dřívějším schématům, kde se biometrické vzorky někdy posílaly na server.
Krátká historie standardu FIDO
FIDO Alliance vznikla v roce 2013 jako iniciativa, která měla nahradit hesla bezpečnějším standardem. FIDO U2F (Universal 2nd Factor) v roce 2014 přinesla hardwarové klíče jako druhý faktor. FIDO2 v roce 2018 spojila WebAuthn (W3C standard) a CTAP (Client to Authenticator Protocol) a umožnila bezheslové přihlášení. Passkeys, jak je známe v roce 2026, jsou tedy logickým vyústěním více než desetileté práce stovek bezpečnostních inženýrů z Googlu, Microsoftu, Mozilly, Yubico a dalších firem. To je důležité pro pochopení, proč jsou passkeys robustní — nestaví je jedna firma se svým proprietárním kódem, ale otevřená komunita s veřejnou specifikací.
Hlavní výhody passkeys oproti heslům a SMS kódům
Passkeys mají několik kvantifikovatelných výhod, které ospravedlňují přechod i pro běžné uživatele.
Odolnost proti phishingu
Passkey je vázaný na konkrétní doménu. Když se přihlašujete na sberbank.cz, váš telefon nedovolí použít passkey určený pro sberbank.cz na falešné stránce sberbank-cz-login.com. Phishingové stránky tak okamžitě selhávají, protože doménová vazba je součástí kryptografie, ne marketingu.
Bez nutnosti pamatovat si
Jediná věc, kterou si musíte pamatovat, je odemčení vlastního zařízení. Žádné správce hesel, žádné generování složitých řetězců, žádné resety.
Synchronizace napříč zařízeními bez kompromisu
Apple Passkeys se synchronizují přes iCloud Keychain, Google přes Password Manager, Microsoft přes účet Microsoft. Ekosystém Bitwarden, 1Password a Dashlane to dělá multiplatformně. Synchronizace probíhá end-to-end zašifrovaně, takže ani sám poskytovatel se k vašim klíčům nedostane.
Rychlejší přihlašování
V průměru zaberou passkeys o 60 procent méně času než tradiční přihlášení e-mailem + heslem + 2FA SMS kódem. U mobilních aplikací je rozdíl ještě dramatičtější — stačí jeden dotyk Face ID.
Konec problému se ztrátou hesel
Statistiky help-desků velkých firem ukazují, že 20 až 40 procent ticketů se týká resetu hesel. S passkeys tato kategorie problémů prakticky zaniká.
Obrana proti automatizovaným útokům
Botnety, které zkoušejí miliony kombinací hesel z úniků databází (credential stuffing), se na passkeys vůbec nedají použít. Passkey nelze „uhádnout“, nelze ho vyzkoušet z hesla uniklého z jiné služby a nelze ho odposlechnout na nezabezpečené síti. To staví celou kategorii útoků na hlavu — útočník musí vždy mít fyzický přístup k zařízení nebo úspěšně zaútočit na recovery flow, což je řádově obtížnější.
Compliance a regulatorní výhody
Pro firmy v regulovaných odvětvích (finance, zdravotnictví, veřejná správa) passkeys výrazně zjednodušují plnění norem typu NIS2, ISO 27001 nebo PSD2. Strong Customer Authentication (SCA), který vyžaduje evropská směrnice PSD2 pro platby, je s passkeys splněn elegantně — jedno odemčení biometrií pokrývá faktor „něco co mám“ (zařízení) i „něco čím jsem“ (biometrie).
Porovnání platforem a správců passkeys pro rok 2026
Než si passkeys aktivujete, je dobré vědět, kdo vám je bude spravovat a jak fungují cross-platform. Ceny jsou orientační — aktuální detaily si vždy ověřte u poskytovatele.
| Platforma / Správce | Cena / měsíc | Synchronizace | Cross-platform | Hlavní výhoda |
|---|---|---|---|---|
| Apple iCloud Keychain | 0 Kč | iCloud (Apple účet) | Omezeně přes QR | Nejhladší UX v Apple ekosystému |
| Google Password Manager | 0 Kč | Google účet | Android + Chrome | Nejširší dosah na Androidu |
| Microsoft Authenticator | 0 Kč | Microsoft účet | Windows + iOS/Android | Integrace do M365 |
| 1Password | cca 100 Kč | Vlastní cloud | Plně cross-platform | Sdílení v rodině/týmu |
| Bitwarden | 0 Kč / cca 25 Kč | Vlastní cloud / self-host | Plně cross-platform | Open-source, self-hosting |
| Dashlane | cca 120 Kč | Vlastní cloud | Plně cross-platform | VPN navíc v plánu |
| YubiKey 5 | jednorázově cca 1 400 Kč | Žádná (hardware-bound) | Hardwarový klíč | Maximum bezpečnosti, žádná cloudová stopa |
Nativní vs. třetí strana
Pokud žijete v jednom ekosystému (například výhradně Apple, nebo výhradně Google), nativní řešení vám obvykle stačí a je zdarma. Jakmile potřebujete pravidelně přepínat mezi macOS a Windows, mezi iPhonem a Androidem, nebo sdílet passkey s rodinou či kolegou, vyplatí se třetí strana — 1Password a Bitwarden jsou nejčastější volby.
Hardwarové klíče pro maximum bezpečnosti
YubiKey nebo Titan Security Key jsou hardwarová zařízení velikosti USB klíčenky. Soukromý klíč nikdy neopouští čip, takže útočník musí mít fyzický přístup. Pro novináře, aktivisty, vývojáře infrastruktury nebo majitele kryptoměnových peněženek je to nejbezpečnější varianta. Pro běžného uživatele je to možná „overkill“, ale jako záložní klíč k hlavnímu cloudovému správci to dává smysl.
Top nástroje a služby s podporou passkeys v roce 2026
Adopce passkeys u velkých služeb roste lavinově. Tady jsou klíčové platformy, které je v roce 2026 nabízejí.
Velké cloudové služby
Google, Apple ID, Microsoft Account, Amazon, Adobe, GitHub, GitLab — všichni passkeys podporují, často je dokonce upřednostňují před heslem. Pokud máte účet u Googlu nebo Apple, máte passkeys k dispozici prakticky okamžitě.
Sociální sítě a komunikační platformy
Facebook, Instagram, WhatsApp, X, LinkedIn, TikTok — všechny tyto platformy přidaly podporu passkeys v posledních 18 měsících. Pro veřejné účty influencerů a brandů je to zásadní obrana proti hijackingu.
Banky a fintech
V Česku zatím zaostávají oproti USA, ale Revolut, Wise, Trading 212 a několik dalších neobanků passkeys nabízí. Z tuzemských bank dosud nejdále postoupila Air Bank, Komerční banka a ČSOB experimentují v pilotních režimech. Pro klasické české internetové bankovnictví se dosud kombinuje SMS kód a aplikační 2FA.
Vládní a identitní služby
Identita občana ve formě bankovní identity (BankID) je v Česku de facto standard pro státní portály. Plně FIDO2-compatible passkeys zatím Identita občana nepodporuje, ale na evropské úrovni se připravuje eIDAS 2.0 s EU Digital Wallet, který má FIDO2 zahrnout.
E-shopy a SaaS
Shopify, Amazon, eBay, Alza, Mall — větší obchody passkeys zavedly nebo zavádějí. SaaS jako Notion, Slack, Linear, Figma, Cloudflare passkeys plně podporují.
Praktické tipy pro bezpečné nasazení passkeys
Přechod na passkeys nemusíte udělat za den. Naopak, postupný přístup je rozumnější.
Začněte u jednoho hlavního účtu
Vyberte si jeden účet, na kterém vám nejvíc záleží — Apple ID, Google účet nebo Microsoft účet. Aktivujte passkeys, vyzkoušejte přihlášení v různých scénářích (notebook, telefon, veřejná Wi-Fi) a teprve potom přejděte k dalším službám.
Vždy si vytvořte záložní mechanismus
Co se stane, když vám zmizí telefon i notebook? Bez záložního mechanismu jste odříznuti. Možnosti zahrnují: druhé zařízení s passkeys, hardwarový klíč (YubiKey), záložní kódy uložené v trezoru, nebo recovery e-mail. Většina služeb umožňuje kombinaci — využijte ji.
Nenechte se zamknout vlastním cloudem
Pokud si necháte všechny passkeys synchronizovat jen přes iCloud a zapomenete heslo k Apple ID, máte problém. Proto je rozumné mít aspoň jeden univerzální správce (například Bitwarden) jako druhou linii.
Pro firmu zaveďte konzistentní politiku
Pokud nasazujete passkeys ve firmě, sjednoťte se na jednom správci (typicky M365 + Microsoft Authenticator nebo Google Workspace + Google Password Manager). Nechte si vytvořit interní návod a investujte do krátkého školení.
Hardwarové klíče jako záloha pro VIP účty
U účtů s vysokou hodnotou (administrátorské, finanční, ovládání domény) doporučuji mít dva hardwarové klíče — jeden u sebe, druhý v sejfu. Investice cca 3 000 Kč se vrátí, jakmile dojde na ztracený telefon nebo úspěšný phishing.
Nezahazujte hesla úplně
Některé služby (banky, starší aplikace) passkeys stále nepodporují. Heslo tam pořád potřebujete. Doporučení: použijte správce hesel pro tyto staré účty, zapněte si tam silné 2FA, a všude jinde co nejrychleji přejděte na passkeys.
Sledujte phishing nové generace
Phishing přes passkeys je velmi obtížný, ale ne nemožný. Útočníci se posunuli k podvodnému získání recovery kódů, sociálnímu inženýrství operátorů (SIM swap) nebo zneužití nedostatečné izolace mezi účty. Buďte ostražití u zpráv „resetujte si passkey, váš účet byl kompromitován“.
FAQ — Často kladené otázky o passkeys
Co se stane, když ztratím telefon?
Pokud máte passkeys synchronizované přes cloud (iCloud, Google, Microsoft, 1Password, Bitwarden), stačí se přihlásit na novém zařízení a passkeys se obnoví. Pokud máte hardwarový klíč jako jedinou kopii, ten ztratíte natrvalo — proto vždy mějte zálohu.
Můžu mít passkey na více zařízeních zároveň?
Ano. Cloudoví správci synchronizují stejný passkey na všechna vaše zařízení. Některé služby umožňují i registraci více nezávislých passkeys (například iPhone + YubiKey + pracovní notebook).
Je biometrie bezpečnější než heslo?
Pro účely odemčení lokálního klíče ano. Otisk prstu ani sken obličeje nikdy neopouští vaše zařízení a slouží jen jako lokální spínač. Útočník by musel mít fyzický přístup k vašemu zařízení.
Co když nemám biometriku — třeba na starším notebooku?
Místo otisku nebo obličeje funguje PIN nebo heslo k zařízení. Zabezpečení je o něco slabší, ale stále lepší než tradiční heslo k webové službě.
Můžu passkey „ukrást“?
Soukromý klíč v Secure Enclave nebo TPM modulu prakticky nelze získat ani s fyzickým přístupem k zařízení (bez biometrie nebo PIN). Útočníci se proto soustředí na recovery flow — proto chraňte záložní e-mail a recovery kódy stejně pečlivě.
Fungují passkeys offline?
Samotné přihlášení vyžaduje připojení k serveru, kterému se chcete prokázat. Ale uvolnění klíče z vašeho zařízení (biometrické odemčení) probíhá lokálně bez internetu.
Jak je to s passkeys u státních služeb v Česku?
Identita občana přes BankID je dnes hlavní cestou. Plně FIDO2 passkeys státní portály zatím nenabízí, ale evropská iniciativa EU Digital Wallet v rámci eIDAS 2.0 to v příštích letech změní.
Chcete víc tipů pro digitální bezpečnost? Pokračujte na internetpraha.com — pravidelně publikujeme průvodce cybersecurity, AI nástroji i moderní produktivitou pro českou firmu i domácnost.
Čtěte také
Přečtěte si i ostatní články z blogu.
