Mats Warnolf AB

Passkeys 2026: Läget just nu

Lösenord har varit säkerhetens akilleshäl i decennier. Nu har passkeys nått en mognadsnivå där de inte längre är en framtidsvision utan ett praktiskt alternativ. Det här är vad du behöver veta inför 2026.

Vad är en passkey?

En passkey är en FIDO2/WebAuthn-baserad autentiseringsuppgift som ersätter lösenord med asymmetrisk kryptering. Istället för att skicka ett lösenord över nätet signerar din enhet en utmaning med en privat nyckel som aldrig lämnar enheten. Autentiseringen sker med biometri (fingeravtryck, ansiktsigenkänning) eller PIN.

Så fungerar passkey-autentisering, steg för steg

Registrering (skapa en passkey)

  1. Du besöker en tjänst som stöder passkeys och väljer att skapa en passkey.
  2. Tjänsten skickar en registreringsförfrågan till din webbläsare. Förfrågan innehåller tjänstens identitet (Relying Party ID, t.ex. login.microsoft.com) och en slumpmässig engångskod (challenge).
  3. Din enhet frågar efter verifiering – fingeravtryck, ansiktsigenkänning eller PIN. Detta bevisar att du är fysiskt närvarande.
  4. Enheten genererar ett nyckelpar:
    • En privat nyckel som stannar på enheten (eller i din passkey-provider som 1Password eller MIcrosoft Authenticator)
    • En publik nyckel som skickas till tjänsten
  5. Tjänsten sparar den publika nyckeln kopplad till ditt konto. Den privata nyckeln har aldrig lämnat din enhet.

Autentisering (logga in med passkey)

  1. Du besöker tjänsten och anger ditt användarnamn (eller så känner tjänsten igen dig).
  2. Tjänsten skickar en utmaning – en slumpmässig engångskod (challenge) tillsammans med sitt Relying Party ID.
  3. Din webbläsare kontrollerar domänen. Om du är på login.micros0ft.com (med nolla istället för ‘o’) matchar det inte login.microsoft.com – och autentiseringen avbryts. Det här är kärnan i nätfiskeskyddet.
  4. Din enhet frågar efter verifiering – fingeravtryck, ansikte eller PIN.
  5. Enheten signerar utmaningen med din privata nyckel och skickar tillbaka signaturen.
  6. Tjänsten verifierar signaturen med den publika nyckeln som sparades vid registreringen. Om signaturen stämmer är du inloggad.

Varför är detta säkert?

  • Privata nyckeln lämnar aldrig enheten – det finns inget lösenord att stjäla
  • Varje passkey är bunden till en specifik tjänst – samma passkey kan inte användas på en annan domän
  • Utmaningen är unik varje gång – en avlyssnad signatur är värdelös för nästa inloggning
  • Domänkontroll sker automatiskt – din enhet vägrar signera om domänen inte matchar

Det som alltså gör passkeys till ett genombrott är att de är nätfiskeresistenta – den privata nyckeln är kryptografiskt bunden till den specifika tjänsten och kan inte luras att autentisera mot en falsk webbplats.

Jämförelse: Entra ID MFA-metoder vs Passkeys

SMS-kod

Nätfiskeresistent: Nej

Upplevelse: Vänta på SMS, skriv in kod (20 sek)

Svaghet: SIM-swap, SS7-attacker, täckningsproblem

Telefonsamtal

Nätfiskeresistent: Nej

Upplevelse: Svara, tryck knapp (30 sek)

Svaghet: Kan vidarekopplas, kräver samtal

Authenticator push-notis

Nätfiskeresistent: Delvis

Upplevelse: Öppna app, godkänn (8 sek)

Svaghet: ”MFA fatigue” – användare godkänner av vana

Authenticator TOTP (sexsiffrig kod)

Nätfiskeresistent: Nej

Upplevelse: Öppna app, läs och skriv kod (15 sek)

Svaghet: Kan nätfiskas i realtid

Passkeys

Nätfiskeresistent: Ja

Upplevelse: Fingeravtryck/ansikte/PIN (3 sek)

Svaghet: Kräver kompatibel enhet

Med traditionell MFA kan en angripare sätta upp en falsk inloggningssida, fånga både ditt lösenord och din MFA-kod i realtid, och använda dem direkt. Med passkeys fungerar inte det – din enhet vägrar ju svara om den inte pratar med den riktiga tjänsten.

Number matching (där Authenticator visar en siffra du måste matcha) förbättrar push-notiser, men det skyddar inte mot sofistikerade nätfiskeattacker där angriparen sitter i mitten och vidarebefordrar allt i realtid.

Synkade vs enhetsbundna passkeys

Det finns två huvudtyper av passkeys med olika egenskaper:

  • Synkade passkeys: Den privata nyckeln lagras hos en molnleverantör (Apple, Google, Microsoft) och synkroniseras mellan enheter. Bekvämt för konsumenter och ger enkel återställning vid förlorad enhet.
  • Enhetsbundna passkeys: Den privata nyckeln stannar på en specifik enhet (t ex din iPhone). Högre säkerhet men kräver mer planering för återställningsscenarier. FIDO2-nycklar och Microsoft Authenticator-passkeys är enhetsbundna.

Passkeys i Microsoft-ekosystemet

Microsoft har gjort betydande framsteg under 2025. Här är de viktigaste förändringarna:

Windows Hello och passkeys

Sedan Windows 11 version 22H2 med KB5030310 finns inbyggt stöd för passkeys i Windows Hello. Du kan skapa och använda passkeys med biometri eller PIN för alla webbplatser och appar som stöder standarden. November 2025 kom ytterligare en milstolpe: Windows 11 fick inbyggt stöd för tredjepartshanterare som 1Password och Bitwarden, vilket ger flexibilitet att välja passkey-provider.

Microsoft Entra ID

Entra ID har fått flera uppdateringar som påverkar enterprise-implementationer:

  • Passkey Profiles (november 2025): Upp till 10 profiler per tenant med gruppbaserad kontroll. Du kan tillåta specifika FIDO2-modeller för en grupp och synkade passkeys för en annan.
  • Synkade passkeys (preview): Entra ID stöder nu synkade passkeys från tredjepartsleverantörer. När attestering är inaktiverad accepteras alla WebAuthn-kompatibla providers.
  • Enklare konfiguration: Key restrictions är inte längre obligatoriska. Gränsen är fortfarande 10 nycklar per användare.
  • Account Recovery (preview): AI-driven biometrisk verifiering mot legitimation för högkvalitativ kontoåterställning.

Passkeys som standard

Från maj 2025 är passkeys standardmetoden för alla nya Microsoft-konton. Detta är en signal om riktningen – Microsoft siktar på att göra lösenord obsoleta till 2030.

Användare och organisationer har olika prioriteringar

Användare prioriterar bekvämlighet: enkel registrering, smidig återställning och sömlös användning. Organisationer prioriterar säkerhet: kontrollerad utrullning, nätfiskeresistens och säker återställning med verifiering.

Synkade passkeys är utmärkta för att snabbt öka MFA-adoption bland vanliga användare – Microsoft rapporterar 99% framgångsrik registrering och 14 gånger snabbare inloggning jämfört med lösenord plus SMS-kod. Men för användare med tillgång till känslig data eller administrativa konton kan enhetsbundna passkeys med attestering vara mer lämpliga.

Portabilitet: CXP och CXF

Ett vanligt invändning mot passkeys har varit inlåsning i ekosystem. FIDO Alliance har addresserat detta genom Credential Exchange Protocol (CXP) och Credential Exchange Format (CXF).

CXF nådde Review Draft-status i mars 2025 och iOS 26 blev i september 2025 första plattformen att implementera standarden. Bitwarden var första tredjepartshanteraren med stöd. CXP förväntas bli färdig standard i början av 2026.

Detta betyder att argumentet om leverantörsinlåsning nu är betydligt svagare. Användare kan flytta sina passkeys mellan Apple, Google, Microsoft och tredjepartshanterare på ett säkert, krypterat sätt.

Siffrorna talar

FIDO Alliance Passkey Index och Dashlane Passkey Power 20 visar imponerande siffror:

  • 87% av företag har implementerat eller håller på att implementera passkeys
  • 69% av konsumenter har minst en passkey
  • 48% av topp-100 webbplatser stöder passkeys
  • 93% framgångsfrekvens för passkey-inloggningar (vs 63% för traditionella metoder)
  • 81% minskning av helpdesk-ärenden relaterade till inloggning
  • 8,5 sekunder genomsnittlig inloggningstid (vs 30+ sekunder för e-post/SMS-verifiering)

Rekommendationer

  1. Aktivera passkeys i Entra ID nu. Om ni inte redan gjort det, aktivera passkey-autentisering i Authentication methods. Börja med en pilotgrupp av tekniskt mogna användare.
  2. Planera för passkey profiles. Fundera på vilka användargrupper som behöver vilken typ av passkey. Administratörer och användare med tillgång till känsliga system kan behöva enhetsbundna passkeys med attestering.
  3. Uppdatera er MFA-strategi. NIS2 kräver inte uttryckligen passkeys, men om du väljer SMS-OTP som enda MFA-metod och drabbas av ett intrång via nätfiske, blir det svårt att hävda att du följt ”state of the art”-kravet. Den europeiska cybersäkerhetsmyndigheten ENISA:s vägledning gör det tydligt att nätfiskeresistenta metoder är förväntningen. Passkeys uppfyller detta krav och bör ersätta SMS-OTP för känsliga system.
  4. Utbilda helpdesk. Passkeys är nytt för många användare. Säkerställ att supporten kan hantera frågor och återställningsscenarier.
  5. Bevaka CXP-utvecklingen. När standarden blir färdig kan ni erbjuda användare flexibilitet att välja passkey-provider utan säkerhetsrisker.

Sammanfattning

2025 var året då passkeys gick från tidig adoption till mainstream. Microsoft har gjort passkeys till standard för nya konton, Windows Hello stöder nu passkeys fullt ut, och Entra ID erbjuder nu gruppbaserad kontroll.

Det här talar sitt tydliga språk: Passkeys är redo. De levererar bättre säkerhet och bättre användarupplevelse, och det är något vi sällan ser inom IT-säkerhet.

Frågan är inte längre om ni ska implementera passkeys, utan när och hur.

Mer information: passkeys.dev | FIDO Alliance Passkey Index / ENISA NIS2 Technical Implementation Guidance

Passkey-ikonen är ett varumärke som tillhör FIDO Alliance, Inc.

Etiketter

,
Fler blogginlägg

Lämna en kommentar

Denna webbplats använder Akismet för att minska skräppost. Lär dig om hur din kommentarsdata bearbetas.

Mats Warnolf är oberoende konsult som är specialiserad på Microsoft 365 och angränsande lösningar.

Om Mats Warnolf ›