• Per creare una passkey, l'utente deve autenticarsi utilizzando un PIN, un modello di scansione o dati biometrici. L'autenticatore invia quindi la chiave pubblica al server Web dell'account per la memorizzazione, mentre l'autenticatore memorizza in modo sicuro la chiave privata a livello locale.
• Quando l'utente prova ad accedere al suo account utilizzando la passkey, il server dell'account manda una "sfida" all'autenticatore, ovvero uno smartphone o altro dispositivo dove è memorizzata la passkey dell'utente.
• L'autenticatore utilizza la chiave privata associata alla passkey per firmare attraverso crittografica questi dati e restituire una "risposta" al server.
• Le passkey sono più sicure delle password perché i server degli account non devono memorizzare le chiavi private degli utenti, ma solo le loro chiavi pubbliche.
• Le passkey sono generate dall'autenticatore dell'utente e sono quindi sempre molto complesse e uniche per ogni utente e per ogni account, ogni volta.
• Le passkey si basano sull'autenticazione a due fattori e non possono essere compromesse nei tentativi di phishing.