Hesla jsou nejslabším článkem firemní bezpečnosti. Zaměstnanci je opakují napříč službami, lepí na monitory a nechávají se napálit phishingovými e-maily. Přihlašování bez hesla – takzvané passkeys – tento problém řeší v samotném základu: heslo, které neexistuje, nelze ukrást ani vyzradit. V tomto průvodci vysvětlíme, jak passwordless funguje, proč na něj v roce 2026 přechází většina firem a jak ho krok za krokem nasadit i v malé firmě.

Co je přihlašování bez hesla (passkeys)?

Passkey je moderní přihlašovací údaj, který nahrazuje heslo. Místo toho, abyste si pamatovali kombinaci znaků, ověříte svou totožnost stejným způsobem, jakým odemykáte telefon nebo notebook – otiskem prstu, obličejem nebo PINem zařízení. Passkey je založen na otevřeném standardu FIDO2 od aliance FIDO, který dnes podporují Microsoft, Apple i Google.

Zjednodušeně řečeno: passkey je digitální klíč, který nikdy neopustí vaše zařízení a nedá se „uhádnout” ani vylákat phishingem. Uživatel nezadává žádné heslo – pouze potvrdí, že je to opravdu on.

Jak passkeys technicky fungují

Za passkey stojí asymetrická kryptografie, tedy dvojice klíčů. Při registraci se vytvoří:

• Soukromý klíč – zůstává bezpečně uložený přímo v zařízení (v čipu, ve Windows Hello nebo v hardwarovém klíči) a nikdy se nikam neposílá.
• Veřejný klíč – uloží se na straně služby, ke které se přihlašujete (například Microsoft 365).

Při přihlášení vám server pošle náhodnou výzvu, kterou vaše zařízení „podepíše” soukromým klíčem až poté, co ověří vaši totožnost biometrií. Server podpis ověří veřejným klíčem. Protože se po síti nikdy nepřenáší žádné tajemství, není co odposlechnout ani ukrást. A protože je passkey svázán s konkrétní doménou, nelze ho zneužít na podvodné napodobenině webu – v tom spočívá jeho odolnost vůči phishingu.

Proč by firmy měly přejít na passwordless v roce 2026

Passkeys nejsou módní výstřelek – jejich nasazení se měřitelně vyplácí. Podle zprávy aliance FIDO ke Světovému dni passkeys 2026 už passkeys nasazuje nebo aktivně zavádí 68 % organizací a plně bezheslové přihlašování si jako cíl stanovilo 82 % firem. Důvodů je hned několik:

• Odolnost vůči phishingu. Passkey nelze vylákat podvodným e-mailem – phishing, který stojí za většinou úspěšných útoků na firmy, jednoduše přestane fungovat.
• Méně práce pro IT podporu. Po nasazení passkeys klesá počet požadavků na reset hesla typicky o 60–80 %. Méně tiketů znamená nižší náklady i spokojenější zaměstnance.
• Rychlejší a pohodlnější přihlašování. Otisk prstu nebo pohled do kamery je rychlejší než vyťukávání dlouhého hesla a opisování kódu z SMS.
• Soulad s normami. Standard NIST SP 800-63 dnes synchronizované passkeys uznává jako plnohodnotné silné ověření (úroveň AAL2), což odstranilo poslední překážku pro firemní nasazení.
• Nižší riziko úniku dat. Žádné heslo v databázi znamená, že ani případný únik dat poskytovatele nevede ke kompromitaci účtů.

Passkey vs. heslo a klasické MFA – v čem je rozdíl

Mnoho firem dnes používá heslo doplněné o druhý faktor, nejčastěji kód z SMS nebo aplikace. To je obrovský krok vpřed oproti samotnému heslu a doporučujeme ho každému – více v našem článku o dvoufaktorovém ověření ve firmě. Passkeys jdou ale o úroveň dál.

Klasické MFA stále stojí na hesle, které lze ukrást, a SMS kódy jdou v reálném čase vylákat (tzv. real-time phishing). Passkey naproti tomu spojuje obě fáze ověření do jednoho kroku odolného vůči phishingu: něco, co vlastníte (zařízení s klíčem), a něco, čím jste (biometrie). Není tedy žádné heslo, které by šlo zneužít, ani kód, který by šlo vylákat.

Synchronizované vs. zařízení-vázané passkeys

Před nasazením je dobré rozumět dvěma typům passkeys:

• Synchronizované (synced) passkeys se bezpečně zálohují do cloudu (Apple iCloud Klíčenka, Google Password Manager, Microsoft) a automaticky se objeví na všech zařízeních uživatele. Jsou pohodlné a ideální pro většinu zaměstnanců.
• Zařízení-vázané (device-bound) passkeys nikdy neopustí konkrétní zařízení – typicky hardwarový bezpečnostní klíč (YubiKey) nebo čip notebooku. Hodí se pro administrátory a přístup k těm nejcitlivějším systémům.

V praxi obě varianty kombinujeme: běžní uživatelé synchronizované passkeys pro pohodlí, privilegované účty hardwarové klíče pro maximální bezpečnost. Tento princip „přiměřené ochrany podle rizika” je jádrem moderního přístupu, který popisujeme v článku o Zero Trust pro malé firmy.

Jak nasadit passkeys ve firmě krok za krokem

Pokud používáte Microsoft 365, máte k passwordless blíž, než si myslíte – funkce passkeys jsou dostupné ve všech edicích Microsoft Entra ID včetně té bezplatné, bez nutnosti dokupovat licence. Postup nasazení vypadá zhruba takto:

1. Zmapujte výchozí stav. Zjistěte, kdo se kam přihlašuje, jaká zařízení zaměstnanci používají a které systémy passkeys podporují. To je ideální výstup z firemního IT auditu.
2. Zapněte metodu passkey (FIDO2). V Entra admin centru v sekci Authentication methods povolte metodu Passkey (FIDO2) pro vybranou skupinu uživatelů. Oficiální postup popisuje dokumentace Microsoft Learn.
3. Spusťte pilotní skupinu. Začněte u malého týmu (například IT a vedení), který passkeys vyzkouší a pomůže odladit proces, než ho rozšíříte na celou firmu.
4. Zaregistrujte passkeys uživatelům. Každý zaměstnanec si vytvoří passkey ve Windows Hello, na telefonu nebo na hardwarovém klíči. Registrace zabere jednotky minut.
5. Vynuťte bezheslové přihlašování. Pomocí podmíněného přístupu nastavte, aby vybrané aplikace vyžadovaly silné, phishingu odolné ověření.
6. Mějte záložní plán. Definujte postup pro ztracené nebo vyměněné zařízení a dočasné nouzové přístupy, aby se nikdo nezamkl mimo systém.

Časté chyby, kterým se vyhnout

Z naší praxe vidíme u firem opakovaně tyto chyby:

• Skok přes noc. Nepřepínejte všechny najednou. Postupné zavádění s pilotní skupinou výrazně snižuje počet problémů.
• Žádný záložní způsob přihlášení. Bez nouzového přístupu hrozí, že se uživatel po ztrátě telefonu nedostane k práci.
• Zapomenuté privilegované účty. Administrátorské účty by měly přejít na hardwarové klíče jako první, ne poslední.
• Nedostatečná osvěta. Zaměstnancům vysvětlete, proč se mění zaběhnutý postup – jinak narazíte na odpor. I po nasazení passkeys má smysl ponechat firemní správce hesel pro služby, které passkeys zatím nepodporují.

Které služby už passkeys podporují

Dobrá zpráva je, že passkeys dnes podporuje drtivá většina klíčových firemních nástrojů. Bez problémů je nasadíte do:

• Microsoft 365 a Entra ID – kompletní podpora passkeys včetně přihlášení do Windows přes Windows Hello.
• Google Workspace – passkeys pro firemní účty i administrátory.
• Hlavní cloudové a SaaS služby – například Amazon Web Services, GitHub, Salesforce nebo password manažery 1Password a Bitwarden.
• Operační systémy a prohlížeče – Windows 11, macOS, iOS, Android i Chrome, Edge a Safari mají passkeys nativně zabudované.

Pro firmu to v praxi znamená, že přechod na passwordless lze začít právě u nejdůležitějších systémů – e-mailu, dokumentů a přihlašování do počítače – a postupně ho rozšiřovat. U starších interních aplikací, které passkeys zatím neumí, doporučujeme přechodně ponechat silné heslo se správcem hesel a vícefaktorovým ověřením.

Často kladené otázky

Jsou passkeys bezpečnější než silné heslo se správcem hesel?

Ano. I to nejsilnější heslo lze získat phishingem nebo únikem databáze. Passkey se po síti nikdy nepřenáší a je svázán s konkrétní doménou, takže je vůči phishingu prakticky odolný. Správce hesel přesto zůstává užitečný pro služby, které passkeys ještě nepodporují.

Co se stane, když zaměstnanec ztratí telefon nebo notebook s passkey?

U synchronizovaných passkeys se klíče bezpečně obnoví na novém zařízení po přihlášení do cloudového účtu. Pro jistotu by ale měl mít každý uživatel zaregistrovaný druhý passkey (například na hardwarovém klíči) a firma připravený proces nouzového přístupu.

Potřebujeme na passkeys speciální drahý hardware?

Ne. Většina moderních notebooků s Windows Hello, firemních telefonů i tabletů podporuje passkeys bez dalšího nákupu. Hardwarové klíče (YubiKey) doporučujeme jen pro nejcitlivější účty, typicky administrátory.

Funguje přihlašování bez hesla i v malé firmě s Microsoft 365?

Ano. Passkeys jsou dostupné ve všech edicích Microsoft Entra ID včetně bezplatné a nevyžadují žádnou speciální licenci. Pro malé firmy je to jeden z nejlevnějších způsobů, jak výrazně zvýšit bezpečnost.

Jak dlouho trvá nasazení passwordless ve firmě?

U malé firmy do 20 zaměstnanců zvládneme pilotní nasazení a registraci uživatelů zpravidla v řádu dnů. Záleží na počtu zařízení, používaných aplikacích a tom, zda už máte zavedené Microsoft Entra ID.

Závěr: začněte s přihlašováním bez hesla ještě letos

Přihlašování bez hesla je nejvýznamnější změna ve firemní bezpečnosti za poslední dekádu. Passkeys odstraňují hesla – tedy příčinu většiny úspěšných útoků – a zároveň zaměstnancům usnadňují práci. Pro malé a střední firmy je nejlepší zprávou to, že nasazení je dostupné, levné a lze ho zvládnout postupně bez výpadku provozu.

Nevíte, kde začít? Rádi vám s přechodem na passwordless pomůžeme. V rámci bezplatného IT auditu zmapujeme vaše prostředí, navrhneme plán nasazení passkeys na míru a postaráme se o bezpečné spuštění. Ozvěte se nám a zbavte se hesel jednou provždy.

Autor: tým IT Doma – specialisté na správu firemního IT a kybernetickou bezpečnost v Praze.