- Les passkeys substitueixen les contrasenyes amb criptografia pública-privada i són resistents al phishing.
- Compatibilitat àmplia a iOS, Android i Windows amb sincronització a Apple i Google; Windows Hello sol ser local.
- Es poden crear, utilitzar i gestionar a Google, navegadors i ajustaments del sistema; hi ha opcions amb claus FIDO2.
- Bones pràctiques: mètodes de seguretat, dispositius actualitzats, evitar dependre d'un únic equip i verificar-ne la compatibilitat.
Si estàs cansat de barallar-te amb contrasenyes, les passkeys arriben com a aigua de maig: són credencials modernes que et permeten iniciar sessió amb biometria o un PIN sense memoritzar res. La idea és dir adéu a les contrasenyes tradicionals i guanyar en seguretat i comoditat a parts iguals.
En aquesta guia entendres què són, per què són més segures, com activar-les i gestionar-les en els principals sistemes i serveis, i què fer si alguna cosa es torça. Integrem enfocaments de Google, Apple, Microsoft, guies pràctiques i escenaris reals (inclosa la seva aplicació a organitzacions com Soyio o en entorns amb Bluetooth restringit) perquè surtis amb tot el necessari.
Què són les passkeys i com funcionen?
Una passkey és una credencial digital basada en criptografia de clau pública que substitueix la típica contrasenya. El vostre dispositiu genera un parell de claus diferents per a cada servei: la clau privada roman en un lloc segur en el teu equip i la pública es registra al servidor del lloc.
Quan t'autentiques, el servei t'envia un desafiament i el teu dispositiu el signa amb la clau privada després de verificar-te localment amb Face ID, Touch ID, Windows Hello o un PIN. La clau privada mai no surt del dispositiu, i la validació es produeix només en el domini legítim del servei gràcies a WebAuthn, cosa que bloqueja el phishing per disseny.
Les passkeys poden residir a diversos llocs: al clauer d'iCloud, al Gestor de contrasenyes de Google, al magatzem local de Windows Hello o fins i tot en una clau de seguretat FIDO2. Segons on es guardin, es poden sincronitzar entre dispositius (Apple i Google) o quedar-se vinculades a un únic equip (Windows Hello, en molts casos).
Per què són més segures que les contrasenyes
Amb contrasenyes, el servidor emmagatzema secrets reutilitzables i tu has de recordar cadenes complexes; amb passkeys, el servidor només desa la clau pública i el dispositiu protegeix la privada. Això redueix limpacte de filtracions i elimina atacs per força bruta i reutilització.
A més, són resistents al phishing: una passkey només funciona al domini per al qual va ser creada. Si un atacant intenta enganyar-te amb un web fals, l'autenticació simplement no es completa. I en no escriure contrasenyes, desapareixen els keyloggers centrats a capturar el que tecleges i amenaces com el robatori de codis de verificació.
L'experiència també millora: accedeixes amb un toc, el rostre, la petjada o el PIN, sense restablir contrasenyes ni esperar SMS. L'autenticació és més ràpida i passa localment, cosa que també ajuda en escenaris amb connectivitat limitada.
Compatibilitat per plataformes i requisits
A iOS i iPadOS des de la versió 16, ia macOS, el suport de passkeys està integrat amb el Clauer d'iCloud. Només necessites tenir Face ID o Touch ID configurat i activar l'autocompletat perquè el sistema suggereixi crear i fer servir passkeys quan els llocs ho permetin.
A Android, a partir d'Android 9 amb els Serveis de Google Play actualitzats i Chrome 108 o superior, podeu crear i utilitzar passkeys amb el Gestor de contrasenyes de Google. Activa Autocompletar amb Google i configura el bloqueig de pantalla (PIN/biometria) perquè tot flueixi.
A Windows 10 (1903) i Windows 11, la clau és tenir Windows Hello operatiu (PIN, empremta o rostre). Els navegadors compatibles inclouen Chrome, Edge i Firefox (a partir de determinades versions recents). Windows ofereix, a més, una interfície per gestionar passkeys guardades des de Windows 11 22H2 amb actualitzacions acumulatives concretes.
Pel que fa a llicències i edicions, el suport de passkeys està disponible a Windows Pro, Enterprise, Pro Education/SE i Education. Els drets d'ús es contemplen en llicències com Enterprise E3/E5 i Education A3/A5, de manera que el seu desplegament en entorns corporatius és plenament viable.
Activar el teu passkey a Google
Google permet crear una passkey associada al vostre compte per iniciar sessió sense contrasenya. El camí curt és entrar al vostre compte de Google i obrir Seguretat, localitzar Claus d'accés i triar Crear clau d'accés.
El procés et demanarà verificar la teva identitat i, si ets al mòbil, farà servir la biometria. Si utilitzeu el navegador a l'ordinador, podeu vincular un mòbil escanejant un codi QR per confirmar que tu ets qui diu el teu navegador que ets, usant el teu telèfon com a autenticador.
Un cop creada, Google Password Manager sincronitza la passkey amb els dispositius on hagis iniciat sessió amb el teu compte. No hauràs de recordar res ni configurar el mateix a cada equip: n'hi haurà prou amb autenticar-te localment al dispositiu que utilitzis.
Crear i utilitzar passkeys a la pràctica
Per crear la vostra primera passkey, visiteu un lloc compatible (Google, GitHub, Microsoft o llocs de prova com passkeys.io) i busqueu l'opció de crear una clau d'accés als paràmetres de seguretat. Segueix les indicacions del sistema i autentica't amb Face ID, Touch ID, Windows Hello o el teu PIN.
En iniciar sessió, la seqüència sol ser: introdueixes usuari si cal, tries Usar passkey i confirmes amb el teu mètode local. Alguns navegadors mostren suggeriments de comptes amb interfície condicional, de manera que només hauràs de tocar un suggeriment per completar tot el procés.
Si no apareix l'opció de passkey, pot ser que el lloc encara no la suporti o que us falti configurar biometria/PIN o actualitzar el navegador. Amb les versions recents de iOS, Android i Windows, i navegadors al dia, l'experiència sol ser immediata.
On es guarden i com se sincronitzen
Apple sincronitza passkeys amb iCloud Keychain entre iPhone, iPad i Mac, i fins i tot permet fer servir el clauer a Windows amb iCloud per a Windows i l'extensió corresponent. Això facilita utilitzar les claus de pas en tot l'ecosistema d'Apple sense fricció.
Google emmagatzema i sincronitza passkeys amb el vostre compte a través del Gestor de contrasenyes integrat a Android ia Chrome. A iOS, també pots utilitzar Chrome com a proveïdor d'autocompletat per accedir a les passkeys de Google a iPhone i iPad.
Windows Hello sol emmagatzemar passkeys de forma local al dispositiu. Això implica que aquesta passkey no viatja entre equips Windows per defecte, encara que pots iniciar sessió en un PC usant la passkey del teu mòbil escanejant un codi QR quan el lloc ho permeti.
També pots optar per claus de seguretat FIDO2 per portar les teves credencials a maquinari dedicat. Són útils en entorns d'alta seguretat o quan prefereixes un factor físic portable i desconnectat del sistema.
Un apunt pràctic: alguns gestors i ecosistemes fomenten el bloqueig a la plataforma. Per evitar dependre només d'un proveïdor, pots registrar diverses passkeys per a un mateix servei a diferents magatzems quan el servei ho permeti.
Passkeys a Windows: creació, ús i administració
En crear una passkey a Windows, el sistema t'oferirà guardar-la localment (protegida amb Windows Hello), fer servir un mòbil proper (iPhone, iPad o Android) com a autenticador o registrar-la en una clau FIDO2. Si escolliu mòbil, normalment haureu d'escanejar un codi QR i tenir Bluetooth actiu per a l'autenticació entre dispositius.
Quan un lloc o una app suporta passkeys i tens una desada localment al Windows, l'inici de sessió invocarà Windows Hello automàticament. Si prefereixes fer servir una passkey que està al teu telèfon o en una clau FIDO2, seleccioneu aquesta opció al diàleg i completeu l'autenticació.
Des del Windows 11 22H2 amb determinades actualitzacions, Configuració inclou una secció per veure i eliminar claus d'accés desades. Pots filtrar per nom i esborrar les que no necessitis, cosa que simplifica la higiene de credencials en equips compartits o antics.
Ús en entorns amb Bluetooth restringit
En escenaris corporatius on es limita o deshabilita Bluetooth, l'autenticació entre dispositius (per exemple, fer servir el mòbil per entrar al PC) es pot veure afectada. Les organitzacions poden permetre casos d'ús molt concrets habilitant només autenticadors FIDO2 per Bluetooth i bloquejant la resta.
Això es pot aconseguir amb directives de Bluetooth i d'instal·lació de dispositius, restringint serveis i dispositius no desitjats i deixant passar només els necessaris per a passkeys. Fins i tot és possible aplicar aquestes polítiques via MDM i automatitzar-les amb scripts, després de provar-les en sessions elevades amb eines d'administració remota.
Passkeys amb Microsoft Authenticator al mòbil
Per a comptes gestionats amb Microsoft (com en entorns universitaris o d'empresa), Microsoft Authenticator pot actuar com a proveïdor de passkeys al mòbil. Es recomana Android 14 o iOS 17 i tenir l'app instal·lada i actualitzada.
El flux típic: obres Authenticator, afegeixes el teu compte professional o educatiu, superes la verificació MFA inicial i tries Claus de pas com a mètode. Autoritza que Authenticator gestioni passkeys al dispositiu i completa la configuració guiada a l'app.
Després podràs fer servir aquesta passkey per accedir des del propi mòbil o per confirmar accessos en altres dispositius propers mitjançant Bluetooth. Si perds el telèfon, aquestes passkeys estan vinculades al dispositiu i no se sincronitzen mitjançant el núvol en aquest cas, així que convé registrar més dun dispositiu.
Si canvies de mòbil, podràs eliminar passkeys antigues entrant a la pàgina d'informació de seguretat del teu compte a Microsoft (mysignins.microsoft.com/security-info). Allà veuràs en quin tipus de dispositiu resideix cada passkey i podràs revocar-la per mantenir tot sota control.
Passkeys a Soyio: identitat verificada, consentiments i signatures
A l'ecosistema de Soyio, les passkeys s'integren als mòduls d'identitat i consentiment. Durant el procés de Disclosure, primer verifiques la teva identitat aportant document i selfie, atorgues consentiments i es crea la teva identitat verificada.
En aquest moment pots registrar una passkey al teu dispositiu amb Face ID, Touch ID, Windows Hello o PIN segons la plataforma. A partir d'aquí, la passkey es fa servir per autoritzar accions sensibles sense dependre de contrasenyes, reduint fricció i reforçant la seguretat.
En mòduls com AuthRequest, se't demanarà la passkey per a operacions crítiques; a Signature, confirmes la signatura de documents; ia Consent, vàlides canvis de preferències de privadesa. La passkey garanteix que només tu puguis fer aquestes accions, de forma ràpida i verificable.
Demostració pràctica amb Chrome i una web de proves
Si vols provar sense riscos, llocs com passkeys.io permeten registrar i fer servir passkeys amb un correu de prova. Accedeix amb Chrome, inicia un registre fictici i tria crear una passkey per a aquest domini.
Chrome us mostrarà opcions com desar la passkey al Gestor de contrasenyes de Google o associar-la a Windows Hello si sou a Windows. Pots registrar diverses passkeys per al mateix compte i provar l'inici de sessió local i l'ús d'un dispositiu complementari.
Després, en prémer Iniciar sessió amb passkey en aquest mateix lloc, selecciona la credencial i autentica't amb la teva biometria o PIN per entrar. Al Windows trobareu una secció a Configuració per revisar i eliminar claus d'accés locals. En alguns fluxos de Google, la gestió visible pot variar segons la versió i l'entorn.
Solució de problemes freqüents
Si no us apareix l'opció de passkey, pot ser que el lloc encara no l'hagi activat, que el vostre navegador estigui desactualitzat o que falti configurar Face ID, Touch ID, Windows Hello o un PIN. Actualitzar el navegador i activar l'autenticació local sol resoldre'l.
Si no aconsegueixes iniciar sessió, confirma que el teu mètode local funciona (biometria/PIN) i que la sincronització està activa a iCloud Keychain o Google Password Manager. Prova des d'un altre dispositiu amb el mateix compte si tens passkeys sincronitzades i utilitza mètodes de seguretat en última instància.
Si vas perdre o et van robar el dispositiu on guardaves passkeys, utilitza un altre equip sincronitzat o els codis de recuperació del servei, si n'hi ha. Contactar amb suport pot ser necessari per recuperar accés quan no hi ha cap altre mètode disponible.
Funcionen sense internet? L'autenticació local sí, perquè el desafiament se signa al dispositiu; però crear noves passkeys o sincronitzar-les entre equips requereix connectivitat. Tingues això en compte si treballaràs en mobilitat o amb baixa cobertura.
Bones pràctiques i precaucions
Activa mètodes de recuperació i conserva codis quan el servei els ofereixi. Mantingues els teus dispositius i navegadors al dia per gaudir de la millor compatibilitat i pegats de seguretat.
No depengueu d'un únic dispositiu per a tot. Registra la passkey a més d'un equip o combina mòbil, PC i una clau FIDO2 si el teu entorn ho permet, així no et quedaràs llençat davant pèrdues o avaries.
Comprova que els serveis que més uses suporten passkeys i on guardes cada passkey. Si treballes amb dades crítiques, valora utilitzar maquinari FIDO2 i polítiques de restricció a entorns corporatius per minimitzar superfície d'atac.
Passkeys, 2FA i MFA: com encaixen
Encara que no introdueixis un codi d'un segon factor, les passkeys implementen múltiples factors de manera implícita: alguna cosa que tens (el teu dispositiu/clau privada) i que ets o saps (biometria o PIN). Per això poden reemplaçar contrasenyes i 2FA tradicionals oferint menys fricció i més seguretat.
Si un servei encara no permet substituir completament la contrasenya, la passkey pot actuar com a segon factor robust. És un salt de qualitat davant SMS o codis TOTP, que són més vulnerables a pesca o robatori de SIM.
Notes operatives i de producte
En certs entorns de treball, els propietaris d'espais poden no activar passkeys per a tots els usuaris. Si necessites aquesta funció de forma global, remet els teus comentaris al proveïdor per prioritzar-ne la implementació.
A l'ecosistema de Windows, recorda on resideixen els teus passkeys: locals amb Windows Hello, sincronitzades a Google si les vas crear amb Chrome oa iCloud si véns d'Apple. Per a ús creuat entre plataformes, un gestor de contrasenyes compatible o una clau FIDO2 pot servir com a pont.
Si la vostra organització limita Bluetooth, coordina amb TI l'aplicació de directives i llistes permeses per a autenticadors FIDO2. Això fa possible l'autenticació entre dispositius sense obrir la porta a altres perfils Bluetooth no desitjats.
Les passkeys representen un canvi d'era a l'autenticació: més còmodes, més segures i amb suport generalitzat a les grans plataformes. Comença per crear el teu clauer al mòbil o navegador que facis servir cada dia, registra un segon mètode i prova un inici de sessió real als teus serveis habituals per interioritzar el flux i guanyar confiança. Comparteix aquest tutorial i més usuaris sabran gestionar la seva seguretat amb funcions Passkeys.