Trecerea de la parole la passkeys: cum îți ții conturile în siguranță în 2026
:format(webp)/https://playtech.ro/wp-content/uploads/2026/02/diferenta-parola-passkey.jpg)
Autentificarea bazată pe parole a dominat mediul digital timp de decenii, însă datele recente arată tot mai clar limitele acestui model.
Organizațiile certificate ISO/IEC 27001 se confruntă cu o presiune dublă: creșterea riscurilor cibernetice și nevoia de a menține conformitatea strictă.
Potrivit Verizon Data Breach Investigations Report 2023, aproape jumătate dintre incidentele de securitate implică parole compromise, iar reutilizarea acelorași credențiale pe mai multe platforme rămâne o practică frecventă.
În acest context, tehnologiile passwordless, în special passkeys, devin o alternativă tot mai adoptată la nivel global.
Cum funcționează autentificarea passwordless și ce rol au standardele FIDO2 și NIST
Autentificarea fără parolă elimină dependența de șiruri memorate de utilizatori și se bazează pe chei criptografice, date biometrice sau dispozitive deținute de utilizator. Cea mai matură implementare este reprezentată de passkeys, dezvoltate pe baza standardelor FIDO2 și WebAuthn.
La crearea unei passkey, dispozitivul generează o pereche de chei criptografice: cheia privată rămâne stocată local, iar cheia publică este înregistrată pe serverul serviciului utilizat.
În procesul de autentificare, serverul transmite o provocare (challenge), iar dispozitivul o semnează cu cheia privată. Deoarece aceasta nu părăsește niciodată dispozitivul, atacatorii nu pot intercepta informații reutilizabile.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/Inteligenta-artificiala-ajuta-hackerii-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/hacker-cropped-316x158.jpg)
Conform ghidului NIST SP 800-63B, metodele de autentificare sunt clasificate pe niveluri de asigurare (AAL). În funcție de implementare, passkeys pot îndeplini cerințele AAL2 sau chiar AAL3, ceea ce le poziționează peste autentificarea tradițională bazată exclusiv pe parolă, scrie Bleeping Computer.
Există două tipuri principale: passkeys legate de dispozitiv (de exemplu, chei hardware dedicate) și passkeys sincronizabile prin servicii cloud criptate.
Actualizările recente ale NIST recunosc oficial utilizarea autentificatorilor sincronizabili, subliniind însă importanța gestionării riscurilor asociate pierderii dispozitivului.
Adopția este accelerată: miliarde de conturi online acceptă deja passkeys, iar mari companii tehnologice au implementat această opțiune pentru sute de milioane de utilizatori. Tendința indică o schimbare structurală a modului în care este tratată autentificarea.
Ce presupune conformitatea ISO/IEC 27001 în era autentificării fără parole
Standardul ISO/IEC 27001 oferă un cadru riguros pentru managementul securității informației. Revizuirea din 2022 a reorganizat controalele din Anexa A în patru categorii majore: organizaționale, umane, fizice și tehnologice.
Autentificarea este direct vizată de mai multe controale esențiale:
- A 5.15 (Controlul accesului) – impune definirea regulilor privind accesul la sisteme și informații, inclusiv politici clare de autentificare și revocare a accesului.
- A 5.17 (Informații de autentificare) – solicită proceduri documentate pentru alocarea și protejarea credențialelor.
- A 8.5 (Autentificare securizată) – stabilește cerințe tehnice, inclusiv utilizarea autentificării multifactor pentru conturile privilegiate.
Trecerea la passkeys nu este o simplă actualizare tehnologică, ci un proces care trebuie integrat în analiza de risc, planurile de tratare a riscurilor și documentația oficială a sistemului de management al securității informației (ISMS).
Organizațiile trebuie să demonstreze că noua metodă:
- Îndeplinește sau depășește obiectivele de control existente;
- Elimină riscuri precum phishing-ul, atacurile de tip credential stuffing sau brute force;
- Abordează noile riscuri, inclusiv pierderea dispozitivului, atacurile de tip downgrade (forțarea revenirii la parolă) sau complexitatea recuperării contului.
Pentru conturile privilegiate, este recomandată utilizarea passkeys legate de dispozitiv (AAL3), în timp ce pentru utilizatorii standard pot fi acceptate variante sincronizabile (AAL2). Procedurile de fallback, declanșatoarele de reînrolare și cerințele de criptare trebuie documentate clar pentru a satisface cerințele auditorilor.
Care sunt beneficii operaționale, dar provocările din spate, de fapt
Dincolo de reducerea riscurilor de securitate, trecerea la passkeys aduce avantaje operaționale. Problemele legate de resetarea parolelor reprezintă un procent semnificativ din solicitările către help desk, iar costul mediu al unei resetări poate ajunge la zeci de dolari per incident. În organizațiile mari, aceste costuri se acumulează rapid.
Companii globale au raportat creșteri ale ratei de succes la autentificare și timpi mai scurți de logare pentru utilizatorii care folosesc exclusiv passkeys.
Mai mult decât atât, această tehnologie contribuie simultan la respectarea altor standarde și reglementări, precum PCI DSS 4.0, cerințele NIST privind autentificarea rezistentă la phishing sau obligațiile de protecție a datelor impuse de GDPR.
Totuși, introducerea nu este lipsită de provocări. În perioada de tranziție, majoritatea organizațiilor operează într-un mediu mixt, în care coexistă parole și passkeys. Acest lucru poate genera inconsistențe de politică, dificultăți de audit și confuzie în rândul utilizatorilor.
De asemenea, recuperarea contului devine un element critic. Soluțiile pot include coduri de rezervă, autentificatori multipli, verificare manuală sau mecanisme bazate pe e-mail, fiecare având implicații de securitate ce trebuie analizate și documentate în cadrul ISO 27001.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/03/1667480684/2ceead8155fb1d3c7f2609935a9139d6-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/03/1737978465/ef28690e81be4d4f01ad24551ca0709e-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/03/1737972417/cb10c2818666d2f4691f7bcb586363b6-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/02/1646818613/049ca3c7e6dfa2c52e6a7867aaf73eee-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/03/1683783849/d6e694df262e3b7c2a8740f21e367bf3-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2025/07/1610191967/3814bc318aefc3c58c0fab3e7ffe4e91-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/02/Poti-opri-complet-caldura-intr-un-apartament-la-bloc.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/ai-te-prinde-daca-esti-anonim-pe-net.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/avere-pavel-durov-telegram.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/Cum-a-construit-Finlanda-unul-dintre-cele-mai-solide-sisteme-de-aparare-din-Europa.-De-ce-strategia-sa-este-studiata-acum.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/03/1561646252/f7ec6e33d58298d6e9e93526af1dac74-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/03/1561646252/730cf8712d3362c8f8ddf64b609d7093-o.jpg)