Varje gång du loggar in på ett konto eller låser upp en enhet måste du bevisa att du har behörighet att få åtkomst till det. Historiskt sett har det beviset varit i form av ett lösenord: en hemlig sträng som du måste memorera eller lagra i en lösenordshanterare.
En Passnyckel skiljer sig från ett lösenord genom att den knyter åtkomst till något du fysiskt har — en kryptografisk token lagrad på din telefon, bärbara dator eller säkerhetsnyckel — tillsammans med en biometrisk faktor, till exempel ett fingeravtryck eller en ansiktsskanning.
Ett vanligt sätt att beskriva skillnaden är:
- Lösenord = något du vet
- Passnyckel = något du har + vem du är
Även om båda metoderna ger dig åtkomst skiljer sig sätten de uppnår detta mål på, och det kan ha stor påverkan på säkerhet och användbarhet.
Vad är en passnyckel?
En passnyckel är som ett lösenord som finns på din enhet och kan verifieras av de konton du loggar in på med hjälp av kryptografi. Passnycklar bygger på FIDO2-standarden (definierad av FIDO Alliance(nytt fönster)) och WebAuthn API.
Så här fungerar det:
När en passnyckel skapas genererar din lösenordshanterare ett par kryptografiska nycklar: en offentlig nyckel och en privat nyckel.
- Den offentliga nyckeln delas med tjänsten du registrerar dig hos.
- Den privata nyckeln stannar i din lösenordshanterare eller på din enhet och lämnar den aldrig.
Under ett inloggningsförsök utfärdar tjänsten en slumpmässig utmaning. Din enhet använder den privata nyckeln på din enhet för att signera utmaningen, vilket skapar ett svar som bara den matchande privata nyckeln kan generera. Tjänsten verifierar sedan signaturen med den tidigare lagrade offentliga nyckeln och bekräftar att du är den legitima kontoinnehavaren.
Eftersom den privata nyckeln aldrig lämnar din enhet kan en nätfiskesajt inte lura dig att lämna ut den, vilket gör passnycklar i sig motståndskraftiga mot nätfiske.
Säkerhetsjämförelse: Passnyckel vs lösenord
Om du använder ett lösenord eller en Passnyckel beror på flera olika faktorer. Alla webbplatser erbjuder inte passnycklar som alternativ. Men för webbplatser som gör det finns det flera skäl att överväga att byta.
Passnycklar anses vara säkrare än lösenord eftersom den hemliga nyckeln aldrig lämnar din enhet. Även om någon lurar dig med en falsk sajt, stjäl nätverkstrafik eller försöker med en brute-force attack kan de inte få tag i den privata nyckeln — den förvaras i din telefon, dator eller en säkerhetsnyckeldongel. Så länge du skyddar enheten med en PIN, ett fingeravtryck eller någon annan form av Tvåfaktorsautentisering (2FA) och har en tillförlitlig återställningsmetod ger en passnyckel dig en starkare och mer nätfiskesäker säkerhetskonfiguration än ett vanligt lösenord.
| Funktion | Passnycklar | Lösenord |
| Autentiseringsmetod | Kryptografi med offentlig nyckel (privat nyckel lagrad på enhet) | Hemlig sträng som användaren memorerar |
| Motståndskraft mot nätfiske | Hög | Låg |
| Återställningsalternativ | Säkerhetskopiering av enhet, återställningsflöde för konto | Återställning via e-post, säkerhetsfrågor |
| Användarupplevelse | Biometri eller PIN | Inmatning eller autofyll |
| Kompatibilitet | Växande | Universell support |
| Sårbarhet för återanvändning | Alltid unik för varje webbplats | Vanligt problem |
Passnycklars användbarhet och användarupplevelse
Utöver säkerhetsfördelarna med att använda en passnyckel finns det andra fördelar:
- Passnycklar gör det snabbare att logga in eftersom autentiseringsflödet reduceras till ett enda tryck eller en blick, vilket tar bort friktionen med att manuellt ange lösenord eller återställ glömda lösenord.
- Många lösenordshanterare kan synkronisera passnycklar säkert mellan dina enheter. Därför kan en passnyckel som skapats på en smartphone användas på en bärbar dator, surfplatta eller en annan telefon utan att en ny registrering krävs. Proton Pass fungerar på alla plattformar och enheter, så du kan använda passnycklar på alla webbplatser som har support för dem.
Nackdelar och specialfall med passnycklar
Även om passnycklar erbjuder stark säkerhet och en friktionsfri inloggningsupplevelse är de inte en universallösning. Det finns fortfarande vissa situationer där användning av en passnyckel kan medföra utmaningar.
Förlust av enhet och återställning
Om enheten där din passnyckel är lagrad förloras, blir stulen eller skadas måste du förlita dig på säkerhetskopieringsmekanismer för att få åtkomst igen. Att återställ en passnyckel kräver ofta en sekundär enhet eller en återställningsfras, så om du inte har ett väl utformat återställningsflöde riskerar du att förlora åtkomsten till dina konton.
Luckor i införandet
Vissa webbplatser och applikationer har inte implementerat WebAuthn/FIDO2-standarderna som driver passnycklar. Även bland dem som har gjort det kan stöd för passnycklar vara begränsat till vissa ekosystem eller operativsystem.
Begränsningar i äldre hårdvara
Äldre enheter, till exempel äldre smarttelefoner, bärbara datorer utan biometriska sensorer eller webbläsare som saknar WebAuthn-support, kan inte generera eller lagra passnycklar.
När behöver jag fortfarande ett lösenord?
Förutom att ha ett lösenord konfigurerat som reserv finns det vissa situationer där ett traditionellt lösenord är nödvändigt som din primära metod för att få åtkomst.
1. Sajter utan support för passnycklar
Tills passnycklar har fått bred spridning kan du fortfarande behöva förlita dig på lösenord för vissa sajter. I det här fallet kan du konfigurera 2FA-metoder som OTP för att öka säkerheten.
2. Situationer med offentlig eller delad dator
Om du inte använder din egen enhet gör det möjligt att ange ett lösenord (helst tillsammans med 2FA) att få tillfällig åtkomst utan att lämna kvar beständiga inloggningsuppgifter.
3. Organisatoriska policyer och efterlevnadskrav
Företagsföreskrifter, inklusive statliga eller finansiella standarder, kan kräva konfigurationer med flera faktorer som fortfarande innehåller en lösenordskomponent, eller kräva regelbunden lösenordsrotation för revisionsändamål. Dessutom integrerar företagslösningar för single sign-on (SSO) ibland passnycklar bara som en valfri faktor, medan lösenord förblir den primära inloggningsuppgiften.
Så börjar du använda passnycklar
Det är relativt enkelt att byta till passnycklar.
- Aktivera stöd för passnycklar i ditt operativsystem
- Ladda ner en lösenordshanterare
- Välj en lösenordshanterare som har support för lagring av passnycklar, till exempel Proton Pass.
- Lägg till passnycklar i din lösenordshanterare
- Importera befintliga passnycklar eller skapa nya direkt från appen.
- Registrera passnycklar i tjänster som har support
- När du registrerar dig eller loggar in på en sajt som erbjuder ”Logga in med Passnyckel” väljer du det alternativet.
- Konfigurera en återställningsmetod
- Aktivera en sekundär enhet för att lagra en kopia av passnyckeln, och notera eventuell återställningsfras som tjänsten tillhandahåller.
Vanliga frågor
Kan jag använda en passnyckel om jag inte har en lösenordshanterare?
Ja, det kan du. De flesta moderna operativsystem lagrar passnycklar lokalt (iCloud Keychain på Apple-enheter, Google Password Manager på Android, Windows Hello på Windows). En dedikerad lösenordshanterare kan förenkla synkronisering mellan enheter och ge ett extra lager av säkerhetskopiering, men den krävs inte för att använda passnycklar.
Kan jag använda passnycklar på äldre enheter?
Passnycklar kräver att operativsystemet och webbläsaren har support för WebAuthn/FIDO2-standarderna. Moderna plattformar (iOS 15+, Android 14+, senaste macOS, Windows 10 1903+ och uppdaterade Chrome/Edge/Firefox/Safari) fungerar direkt. Äldre telefoner, äldre webbläsare eller enheter före iOS 15/Android 13 saknar den supporten, så du skulle inte kunna använda en passnyckel på de enheterna.
Vad är skillnaden mellan en passnyckel och en fysisk token?
En passnyckel är en inloggningsuppgift som lagras på en enhet eller i en lösenordshanterare och synkroniseras säkert mellan dina enheter. En fysisk token (till exempel en YubiKey) är en fristående hårdvarunyckel som du måste infoga i din enhet. En fysisk token lagrar inte den privata nyckeln på värdenheten, vilket ger isolering, men kräver att du bär med dig tokenen och hanterar säkerhetskopior. Båda alternativen ger lösenordsfri autentisering som är motståndskraftig mot nätfiske, men passnycklar prioriterar bekvämlighet och synkronisering, medan fysiska token prioriterar hårdvaruisolering.
Kan jag använda en passnyckel på min Windows-PC?
Ja, moderna versioner av Windows 10/11 har support för passnycklar via Windows Hello. När du har aktiverat ”Passwordless sign-in” i Inställningar kan du registrera dig och autentisera dig med ett fingeravtryck, ansiktsigenkänning eller en PIN som låser upp den privata nyckeln som är lagrad i Trusted Platform Module (TPM). En TPM är ett litet, manipulationssäkert chip som är inbyggt i de flesta moderna PC-datorer, bärbara datorer och vissa surfplattor. Dess syfte är att ge en maskinvarubaserad förtroenderot för säkerhetskritiska operationer.
Vad händer om jag tappar bort min telefon?
Om din telefon innehåller den enda kopian av en passnyckel behöver du en förkonfigurerad säkerhetskopieringsmetod för att återställa åtkomsten. Det är vanligtvis en annan enhet, en lösenordshanterare eller en återställningsfras som tillhandahålls av tjänsten. Utan en säkerhetskopia måste du följa tjänstens kontoåterställningsflöde.
