75 prosent. Så mange globale forbrukere har slått på en passkey på minst én konto, ifølge FIDO Alliances 2026-tall gjengitt av The Hacker News. 68 prosent av selskapene bruker, tester eller innfører passkeys for ansatte. Når passordet forsvinner, forsvinner også verdien av et stjålet passord.
Dermed flytter angrepet seg dit systemene fortsatt stoler på at et menneske beviser hvem det er, altså til identitetsverifisering og gjenoppretting. Flytter angrepet seg nedstrøms, treffer det gjerne disse punktene:
- Kontogjenoppretting og ny-registrering av enhet.
- Steg-opp-verifisering for verdifulle transaksjoner.
- Magiske lenker sendt for å bekrefte at det er deg, som kan avskjæres via en usikret mobil-deeplink, en kompromittert innboks eller SIM-bytte.
Den andre kraften er generativ KI, som har gjort selve identitetsverifiseringen til et mål. Veriffs rapport for 2026 fant at 4,18 prosent av verifiseringsforsøkene var svindel, og at digitalt presentert media var 300 prosent mer sannsynlig KI-generert eller manipulert enn før. Forfalskning står nå for over 85 prosent av svindelangrepene selskapet observerte: deepfake-selfies, injiserte videostrømmer og syntetiske dokumenter.
For deg som bygger innlogging betyr det at jobben ikke er ferdig når passkeys er skrudd på. Angrepet flytter til gjenopprettingsflyten, og det er der KI-forfalskning treffer hardest.