Facebook biedt mobiele gebruikers op Android en iOS binnenkort de optie om door middel van passkeys in te loggen. Het techbedrijf claimt dat het een 'security upgrade' is ten opzichte van traditionele wachtwoorden en one-time sms-codes, omdat passkeys effectief zijn tegen phishing en password spraying-aanvallen.

Passkeys zouden wachtwoorden moeten vervangen en zijn gebaseerd op de Web Authentication (WebAuthn) standaard. Ze maken gebruik van public key cryptography. Gebruikers moeten eerst op hun computer of smartphone een passkey voor een account of website genereren. De bijbehorende private key blijft op het toestel van de gebruiker, terwijl de bijbehorende public key door de website of app wordt opgeslagen.

Het toestel van de gebruiker genereert vervolgens een signature gebaseerd op de private key die bij het inloggen wordt verstuurd. Tijdens het inloggen gebruikt de website of app waarop wordt ingelogd de public key om de signature van de private key te verifiëren. Om met een passkey in te loggen moeten gebruikers eerst de vingerafdruk, gezichtsscan of pincode invoeren waarmee ze normaal hun toestel ontgrendelen.

De passkey die Facebook-gebruikers aanmaken zal straks ook bij Messenger en Meta Pay zijn te gebruiken. Critici van passkeys hebben herhaaldelijk gewaarschuwd dat Big Tech passkeys gebruikt om mensen in hun 'ecosystemen' vast te houden, ook wel bekend als vendor lock-in.