Criipto är nu Idura. Läs varför här →

Vad är Passkeys? En introduktion för nybörjare

Av Natalia Moskaleva den 22 januari 2026

7 min lästid

Tecknad gubbe som håller tre stora nycklar

Passkeys är en ny typ av inloggningsuppgifter som helt ersätter lösenord.

Passkeys är säkrare än lösenord, enkla att använda och får allt större spridning. Från och med april 2024 har stora teknikföretag som Apple, Google och Microsoft infört stöd för passkeys på alla sina plattformar. Stora webbläsare och över hundra webbplatser är också ombord. Dessutom går ledande lösenordshanterare som 1Password och Bitwarden över till att använda passkeys.

Om du ännu inte har upplevt passkeys från första hand, förvänta dig att stöta på dem snart. Här är vad du behöver veta om den här nya autentiseringsmetoden.

Terminologi

Låt oss börja med en kort översikt över den terminologi som används i samband med passkeys.

FIDO (Fast IDentity Online): en uppsättning öppna, standardiserade autentiseringsprotokoll som skapats av FIDO Alliance. FIDO-protokollen använder kryptografitekniker med publik nyckel och lokala autentiseringsmetoder för att möjliggöra lösenordslösa inloggningar. Den senaste FIDO2-specifikationen inkluderar Web Authentication (WebAuthn) och FIDO Client to Authenticator Protocol (CTAP) .

Kryptografi med öppen nyckel (eller asymmetrisk kryptografi): ett kryptografiskt system som bygger på asymmetriska nyckelpar. Ett nyckelpar består av två motsvarande nycklar - en offentlig och en privat - som är matematiskt sammankopplade. Den offentliga nyckeln kan delas öppet, medan den privata nyckeln bör hållas konfidentiell. Nyckelpar kan användas för signering och verifiering eller för kryptering och dekryptering. Asymmetrisk kryptografi är grundläggande för modern internetsäkerhet och ligger till grund för allmänt använda protokoll som SSH och HTTPS/TLS.

Web Authentication API (WebAuthn): en specifikation och ett standard-API som gör det möjligt för webbservrar att registrera och autentisera användare via kryptografi med publik nyckel. WebAuthn är det underliggande protokollet för passkeys.

Passkey: en referens som gör det möjligt för användare att bevisa sin identitet under autentisering. Passkeys definieras formellt genom en uppsättning tekniska specifikationer: FIDO2 och WebAuthn. Den centrala byggstenen i Passkeys-infrastrukturen är ett offentligt-privat nyckelpar som kallas FIDO-legitimation. Passkeys kan leva exklusivt på en användares enhet eller vara molnsynkroniserade inom den plattform de skapades med.

Vad är passkeys?

En passkey är i huvudsak en digital token som sparas på din enhet (dator, smartphone, säkerhetsnyckel etc.). Till skillnad från ett lösenord är en passerkod inget du behöver skriva in eller komma ihåg.

Huvudelementet i en passnyckel är en kryptografisk privat nyckel i ett asymmetriskt nyckelpar: Den genereras och lagras på ett säkert sätt på din enhet. För att logga in med en passkey behöver du inte skriva in ett lösenord. Istället använder du den metod du redan använder för att låsa upp din enhet: ett fingeravtryck, ansiktsigenkänning, en PIN-kod eller ett mönster. Detta bevisar din identitet. När enheten är upplåst får den automatiskt tillgång till den privata nyckeln och använder den för autentisering. Du kommer inte att se den privata nyckeln och behöver inte känna till den. Autentiseringen sker tyst i bakgrunden när din enhet använder den privata nyckeln för att signera en kryptografisk utmaning. Vi ska se hur detta fungerar längre ner.

För att upprepa: Den privata nyckeln bakom din passkey finns på den enhet där den genererades. I vissa fall kan ditt operativsystem, din molntjänst eller lösenordshanterare molnsynkronisera denna nyckel till dina andra enheter. Leverantörer av synkning av lösenord som iCloud Keychain och Google Password Manager använder kryptering från början till slut för att hålla dina privata nycklar konfidentiella.

Hur ersätter passkeys lösenord?

Passkeys eliminerar beroendet av delade hemligheter, vilket är kärnan i traditionell lösenordsautentisering. Istället utnyttjar de ett unikt matematiskt förhållande mellan de två nycklarna i ett asymmetriskt nyckelpar.

Användarens enhet genererar de två nycklarna samtidigt, och användaren delar sedan den publika nyckeln med onlinetjänsten vid registreringen. Att dela den publika nyckeln äventyrar inte säkerheten för användaridentiteten: Det är offentlig information som kan delas utan risk. Den privata nyckeln hålls däremot konfidentiell. För att autentisera sig måste användaren visa att han/hon har motsvarande privata nyckel i det ursprungliga nyckelparet.

Ett nyckelpar är inte knutet till någon specifik person och vem som helst kan generera ett sådant på sin enhet. Men de två nycklarna är kryptografiskt länkade, så att den offentliga nyckeln endast kan verifiera data som signerats med den matchande privata nyckeln. Det är denna speciella relation mellan de två nycklarna som gör att passskeys kan ersätta lösenord i autentiseringsflöden.

WebAuthn: Hur fungerar det under huven?

Låt oss ta en närmare titt på det underliggande WebAuthn-protokollet och mekaniken för hur passerkoder genereras och används.

WebAuthn är ett webbläsar-API som gör det möjligt för applikationer att skapa och använda nycklar för inloggning. Det involverar tre huvudaktörer: den förlitande parten, klienten och autentiseraren.

  • Relying Party (RP) är en webbplats (eller en webbserver) som användaren autentiserar sig mot.
  • Klienten är en webbläsare eller ett operativsystem som används för att komma åt den förlitande parten.
  • Autentiseraren är ett säkert element i maskinvaran eller en kryptografisk autentiserare som användaren kan interagera med. Autentiserare gör det möjligt att generera och lagra asymmetriska nyckelpar.

WebAuthn beskriver två ceremonier för att möjliggöra inloggningar: registrering och autentisering.

Registrering

Precis som vid traditionell lösenordsbaserad autentisering måste användaren registrera sig hos onlinetjänsten (Relying Party, RP) när han eller hon försöker komma åt den för första gången.

Processen går till på följande sätt:

  1. Användaren upprättar en anslutning till RP.
  2. Användarens enhet genererar ett nytt par asymmetriska nycklar specifikt för den RP.
  3. Enheten kopplar den privata nyckeln till RP:s id och domän och lagrar den på en säker plats (t.ex. Windows Credential Manager eller iPhone Keychain).
  4. Den publika nyckeln delas med RP, som lagrar användarens id och publika nyckel tillsammans. På så sätt säkerställs att den publika nyckeln är unikt knuten till användaren.

Autentisering

Nästa gång användaren loggar in kommer RP att skicka en kryptografisk utmaning till användaren. Användaren måste svara genom att signera utmaningen med den privata nyckel som är associerad med denna RP.

Så här fungerar det:

  1. Användaren initierar inloggningsprocessen.
  2. RP genererar en kryptografisk utmaning (vanligtvis ett stort slumpmässigt tal) och skickar den till användaren.
  3. Användaren verifierar sin identitet med hjälp av den enhetsbaserade metod som användaren föredrar, t.ex. en biometrisk eller en PIN-kod. Detta steg ger tillgång till den privata nyckel som finns lagrad på enheten (autentiseraren).
  4. Den privata nyckeln används för att signera RP:s kryptografiska utmaning.
  5. Den signerade utmaningen skickas tillbaka till RP.
  6. RP verifierar signaturen med hjälp av den publika nyckel som är associerad med användaren.

WebAuthn Authentication diagram

En framgångsrikt verifierad signatur säkerställer meddelandets integritet och bekräftar att det inte har manipulerats.

Denna process bevisar att den användare som har signerat meddelandet är ägare till den privata nyckeln.

Användaren interagerar aldrig direkt med den privata nyckeln. Istället får de tillgång till den privata nyckeln som finns lagrad på deras enhet genom att ange sina biometriska data eller sin PIN-kod.

Hur fungerar autentiserare?

Passkeys kräver inte att du använder en smartphone varje gång du loggar in. Du kan skapa en separat passerkod på varje enhet du använder (t.ex. en bärbar dator, PC eller surfplatta). Vissa plattformar erbjuder säkerhetskopiering och synkronisering av passkeys mellan användarens enheter.

Det är också möjligt att skapa en passerkod på en enhet men använda en annan enhet för att logga in. Säg att du använder en Windows-bärbar dator för att logga in på ett konto som din iPhone skapade den ursprungliga passerkoden för. I det här fallet behöver din iPhone helt enkelt vara fysiskt nära din Windows-bärbara dator. Under autentiseringen kommer detta att verifieras via Bluetooth eller genom att skanna en QR-kod.

Sammanfattningsvis finns det två typer av autentiserare:

  • Plattformsautentiserare är inbyggda direkt i en enhet eller är programvarukomponenter som fungerar på den (t.ex. Google Password Manager eller Apple iCloud Keychain).
  • Roaming-autentiserare kan användas på andra enheter än den som användaren autentiserar sig på. Om en autentiserare är inbyggd i en enhet men gör det möjligt för andra enheter att få tillgång till en tjänst är det en roamingautentiserare. Säkerhetsnycklar och smartphones (när de används med en annan enhet) är roamingautentiserare.

Varför är passskeys bättre än lösenord?

Lösenord skapar vissa problem för både slutanvändare och utvecklare. Passkeys löser många av dem:

  1. Inga fler lösenord som är lätta att gissa sig till: Passkeys är som genereras automatiskt med hjälp av en säker algoritm med slumpmässiga parametrar. Därmed elimineras risken för ordboksbaserade attacker på grund av svaga lösenord.

  2. Säkrare lagring: Den privata delen av en lösenordsnyckel lagras på ett säkert sätt i en betrodd autentiseringsenhet, så att sårbarheten i samband med otillräckliga lagringsrutiner på klientsidan elimineras. Lösenord lagras inte längre på osäkra platser som post-it-lappar eller kontaktlistor i mobiltelefonen.

  3. Unikt lösenord för varje webbplats (ingen återanvändning av inloggningsuppgifter): Olika nycklar skapas automatiskt för olika webbplatser. Detta eliminerar risken för återanvändning av lösenord, minskar känsligheten för "credential stuffing" och mildrar effekterna av komprometterade referenser.

  4. Inga hemligheter skickas över Internet: Passkeys bygger på att en signerad utmaning - inte den faktiska privata nyckeln - skickas till webbplatsen vid inloggning. Den privata nyckeln förvaras säkert på användarens enhet utan risk för avlyssning under resan.

  5. Inga fler minimikriterier för lösenord: Med passkeys finns det inte längre något behov av komplexa, godtyckliga krav på t.ex. lösenordslängd eller teckenuppsättningar.

  6. Förbättrad databassäkerhet: Den privata delen av en passerkod lagras aldrig i serverns databaser. Detta eliminerar risken för otillräckliga lagringsrutiner eller potentiella databasintrång. (Även om webbplatser fortfarande måste säkra resten av de uppgifter de samlar in).

  7. Slut på nätfiske: Passkeys förhindrar nätfiskeförsök genom att eliminera behovet av att ange lösenord på en webbplats. Eftersom alla autentiseringsuppgifter är kopplade till en viss webbtjänst - ett nyckelpar som registrerats på example.com kan inte användas på evil-example.com- bör dinenhet känna igen en phishing-webbplats som falsk. Eftersom domänen är annorlunda kommer den falska nätfiskewebbplatsen inte ens att visa nyckelprompten i första hand.

Vad betyder passkeys för Single-Sign-On och OpenID Connect?

Passkeys introducerar ett nytt sätt att autentisera en användare men ändrar inte hur utvecklare hanterar den resulterande autentiseringssessionen. När den förlängande parten har autentiserat användaren kan den generera autentiseringscookien eller en JWT, precis som den gjorde med lösenordsbaserad autentisering.

Därför kan passkey och SSO sömlöst samexistera, och det är fortfarande möjligt att använda ett konto för att komma åt flera applikationer. På samma sätt kan passkeys samexistera med OpenID Connect eller OAuth 2.0: Efter en passkey-baserad autentisering kan identitetsleverantören eller auktoriseringsservern utfärda de nödvändiga tokens som vanligt.

Sammanfattning

Passkeys är ett steg framåt när det gäller autentiseringsmetoder jämfört med traditionella lösenord. De erbjuder en sällsynt kombination av säkerhet och bekvämlighet och åtgärdar många brister i traditionell lösenordsbaserad autentisering. Användarupplevelsen med passkeys är snabb, smidig och bekväm.

Det har varit en aldrig tidigare skådad nivå av samarbete och framåtanda i branschen när det gäller att implementera passkeys. Detta betyder inte att lösenord kommer att försvinna inom en snar framtid: De kommer sannolikt att förbli en alternativ metod för att logga in på konton under en tid.

Men övergången till lösenordslösa inloggningar har redan börjat.
Table of contents

Visa alla
Hur man använder Fiddler för att felsöka autentiseringsflöden
OpenID + Fiddler loggor
Guider

Hur man använder Fiddler för att felsöka autentiseringsflöden

22 januari 2026 9 min lästid
Förstå JWT-validering: En praktisk guide med kodexempel
Två datorer bredvid varandra med kodningslinjer
Guider

Förstå JWT-validering: En praktisk guide med kodexempel

22 januari 2026 11 min lästid
Så här integrerar du BankID i en React Native/Expo-app
Expo + BankID
Guider

Så här integrerar du BankID i en React Native/Expo-app

22 januari 2026 3 min lästid