Les passkeys han arribat a Android per jubilar a poc a poc les contrasenyes, i no és una moda passatgera: Google, Microsoft, Apple i un munt de serveis grans ja les estan fent servir o recomanant. Si et sonen a alguna cosa estranya o massa tècnica, tranquil·la, perquè en realitat estan pensades just per al contrari: que iniciar sessió sigui més senzill i molt més segur.
En aquesta guia aprendràs què són exactament les passkeys, per què protegeixen millor els teus comptes que les contrasenyes, com configurar-les i fer-les servir en Android, com combinar-les amb l'Administrador de credencials de Google i quines precaucions tenir per no quedar-te llençat si perds el mòbil. També veuràs com es fan servir en altres sistemes i serveis perquè tinguis una visió completa.
Què són les passkeys i per què interessen tant
Una passkey és, en poques paraules, una clau digital única que serveix per iniciar sessió a una app o web concreta sense escriure contrasenya. Per sota usen criptografia de clau pública (l'estàndard WebAuthn/FIDO2), però tu només veuràs que et demana el lector d'empremtes, el desbloqueig facial o el PIN del mòbil.
Quan creeu una passkey, el vostre dispositiu genera un parell de claus: una de privada que es queda guardada al mòbil i una altra de pública que s'envia al servidor. El servidor mai no guarda la teva clau privada, així que encara que hi hagi una filtració massiva de dades, el que es robaria no serviria per suplantar-te (si vols aprofundir en com gestionar passkeys, hi ha guies específiques).
Una altra característica clau és que cada passkey està vinculada a un sol servei ia un domini concret. No hi ha manera de reutilitzar-la en una altra web, ni tu ni un atacant. Això elimina d'un cop de ploma el típic problema d'usar la mateixa contrasenya a tot arreu.
A més, les passkeys estan dissenyades per ser resistents al phishing. El navegador i el sistema operatiu comproven que esteu parlant amb el domini correcte abans de deixar utilitzar la clau. Si un lloc fals intenta fer-se passar per l'original, la passkey simplement no funciona.
En ecosistemes com Google o Apple, les passkeys se sincronitzen mitjançant el núvol associat al teu compte (Compte de Google, iCloud, etc.). Això permet que puguis iniciar sessió des de diferents dispositius sense anar registrant-ho tot a mà a cadascun com passa amb moltes contrasenyes en gestors tradicionals.
Avantatges davant de les contrasenyes de tota la vida
La primera gran diferència és que amb passkeys deixes de memoritzar contrasenyes i patrons rars. El teu mètode de desbloqueig del dispositiu (empremta, cara, PIN o patró) passa a ser la manera de confirmar que tu ets qui intenta entrar al compte; si prefereixes utilitzar un gestor, aquí tens una llista de gestors de contrasenyes recomanats.
Des del punt de vista de seguretat, les contrasenyes pateixen filtracions, atacs de força bruta, reutilització i phishing. Una passkey no es pot endevinar ni forçar amb intents massius, perquè no és un text que viatgi al servidor, sinó el resultat duna operació criptogràfica signada amb la teva clau privada.
També desapareix el típic problema de “m'han enganyat en un correu i he posat la contrasenya a una web falsa”, ja que la passkey només respon davant el domini autèntic. El mateix protocol evita que signi res per a un lloc que no coincideixi amb el que es va registrar originalment.
Pel que fa a comoditat, el canvi és considerable: per iniciar sessió normalment n'hi haurà prou amb un toc sobre “Usar passkey” i després la teva biometria. escriure contrasenyes llargues al mòbil, ni de buscar codis SMS, ni de copiar codis d'aplicacions de verificació cada dos per tres.
Finalment, a nivell de manteniment, es van acabar els resets constants de “Has oblidat la teva contrasenya?”. Continues podent tenir mètodes de recuperació, però l'accés diari és molt més directe i amb menys fricció.
Requisits per utilitzar passkeys de forma segura a Android
A Android, les claus d'accés s'integren de forma nativa a través del Administrador de contrasenyes de Google i l'API de Credential Manager. Perquè tot funcioni bé, convé revisar alguns punts bàsics al telèfon.
El primer és la versió del sistema. Encara Android pot treballar amb passkeys des de la versió 9, l'experiència realment polida -inclosa la integració amb diferents gestors i la selecció unificada de mètodes d'accés- arriba amb Android 14 i versions posteriors.
També necessites tenir Google Play Services i el vostre navegador actualitzats. Chrome 108 o superior ja ofereix suport de base per a passkeys, i les versions més recents milloren la interfície i afegeixen extres com la creació automàtica de claus després d'iniciar sessió amb contrasenya.
Un altre requisit important és comptar amb un mètode de bloqueig de pantalla segur actiu: PIN, patró, contrasenya o biometria. Si el mòbil no està protegit, Android no permetrà fer servir passkeys, precisament per evitar que qualsevol pugui accedir als teus comptes.
Finalment, cal ajustar la secció d'autocompletar de Google. En activar Autocompletar amb Google i les opcions de contrasenyes i claus d'accés, el sistema us podrà suggerir tant contrasenyes guardades com passkeys i accessos federats (com “Accedir amb Google”) des d'un mateix panell.
Com crear i configurar passkeys a Android pas a pas
A Android hi ha dues peces clau per treballar amb claus daccés: el bloqueig de pantalla del dispositiu i l'administrador de credencials. Un cop estiguin llestos, la majoria del treball es fa directament des de la web o app de cada servei.
El primer pas és assegurar-te que tens configurat un bloqueig de pantalla robust. Aneu a la secció de Seguretat en Ajustos, entreu a “Bloqueig de pantalla” i escolliu PIN, patró o contrasenya, afegint empremta o reconeixement facial si el vostre mòbil ho permet; si vols més protecció davant pèrdues o robatoris, revisa com configurar el bloqueig de pantalla robust.
Després, a Configuració d'Android, entreu a l'apartat de Google i busqueu “Autocompletar amb Google” o “Contrasenyes, claus d'accés i comptes”. Activeu l'opció que Google gestioni contrasenyes i passkeys perquè l'API de Credential Manager pugui unificar-ho tot; si prefereixes fer servir un altre programari, consulta què gestor de contrasenyes és més segur.
A partir d'aquí, quan entreu en un lloc o servei compatible (per exemple, Google, Microsoft, TikTok, Amazon, PayPal, WhatsApp, etc.) i aneu a la vostra zona de seguretat, veureu alguna opció tipus “Crear clau d'accés”, “Crear passkey” o “Claus de pas”. El funcionament és molt similar a totes les plataformes.
El flux sol ser així: introdueixes el teu usuari, autentiques amb el mètode que tinguis actiu (per exemple, contrasenya i verificació en dos passos) i el servei t'ofereix crear una passkey associada a aquest dispositiu. Android mostrarà un quadre de l'Administrador de credencials perquè confirmis i, tan bon punt posis la teva empremta, rostre o PIN, la clau quedarà guardada.
Exemple: utilitzar passkeys amb el teu compte de Google a Android
Google és un dels casos més complets per veure com funcionen aquestes claus a Android, tant per iniciar sessió sense contrasenya com per gestionar diversos dispositius i claus de seguretat maquinari compatibles amb FIDO2.
Primer de tot, revisa si compleixes els requisits de Google: Android 9 o superior, navegador actualitzat (Chrome 109 o més), bloqueig de pantalla activat i, si vols utilitzar el mòbil com a clau per a un ordinador, Bluetooth encès en tots dos dispositius. Si us interessa el procés d'usar el telèfon com a clau per a un PC, aquí expliquem com utilitzar el mòbil com a clau de seguretat.
Per crear una passkey al propi mòbil, entra a myaccount.google.com/signinoptions/passkeys, inicia sessió si t'ho demana i fes clic a “Crear clau d'accés”. El sistema exigirà que desbloquegis el dispositiu per finalitzar el procés.
Si vols, també pots crear una passkey sobre una clau de seguretat física FIDO2 (com una YubiKey o una clau Titan). A la mateixa pàgina, trieu “Utilitzar un altre dispositiu”, connecta la clau USB o NFC quan s'indiqui i es valida amb el PIN o el sensor d'empremta d'aquesta clau.
Un cop hagueu creat com a mínim una passkey al vostre compte de Google, la propera vegada que accediu des d'un dispositiu compatible, el sistema us proposarà utilitzar directament la clau d'accés en comptes de la contrasenya. A Android, n'hi ha prou amb tocar el teu compte a la pantalla de selecció i confirmar amb la biometria.
Com iniciar sessió amb passkeys a Android ia altres dispositius
Quan entres a una app o web a Android que admet claus d'accés, el Administrador de credencials us mostra una llista de comptes disponibles per a aquest servei, combinant contrasenyes, passkeys i accessos federats.
Si només teniu un compte desat, a Android 15 l'accés pot ser pràcticament instantani: tries el compte i vàlides amb el teu bloqueig de pantalla. A Android 14 i versions anteriors sol aparèixer primer una finestra amb el correu o usuari perquè confirmis.
Si utilitzeu diversos comptes per al mateix servei, veureu tots a la llista. En aquest cas, tria el compte adequat i després valida amb la biometria. Si el lloc ofereix tant password com passkey, Android intentarà recomanar-vos la clau d'accés com a opció preferent.
En cas que el vostre compte no surti al llistat o vulguis utilitzar un altre mètode, sempre podeu tocar “Més opcions”, “Opcions d'inici de sessió” o similar. Aquí es mostren les alternatives: introduir contrasenya manual, fer servir un accés amb Google, etc.
Un detall important és com funciona l'inici de sessió creuat: si vols entrar al teu compte de Google en un ordinador usant la passkey del mòbil, a la pantalla de login del PC tries “Utilitzar la teva clau d'accés” o “Provar una altra manera” i seleccioneu l'opció del telèfon, que mostrarà un codi QR que haureu d'escanejar amb la càmera del mòbil i validar amb biometria.
Experiència unificada amb l'administrador de credencials d'Android
Credential Manager (Administrador de credencials) és la capa d'Android que reuneix claus d'accés, contrasenyes i accessos federats en una sola interfície. En comptes d'omplir la pantalla de botons “Accedeix amb X” o “Inicia sessió amb Y”, el sistema mostra un únic selector intel·ligent.
A Android 14 i posteriors, l'Administrador de credencials és compatible amb diferents gestors de contrasenyes habilitats al dispositiu, inclòs el de Google. Android s'encarrega de recopilar credencials de tots i presentar ordenades per ús més recent.
Si per al mateix compte tens una contrasenya i una passkey guardades a diferents gestors, el sistema prioritzarà la clau d'accés per ser el mètode més segur i còmode, encara que us donarà l'opció d'usar la contrasenya des de “Més opcions”.
La idea és que no hagis de recordar si vas guardar la credencial a Google Password Manager, a un gestor de tercers oa la solució del fabricant: el diàleg d'Android les centralitza i et deixa triar sense tornar boig saltant entre apps.
En dissenyar una app o web, Google recomana fer servir aquest enfocament unificat: invocar l'Administrador de credencials i no posar un botó separat per a cada mètode d'inici, evitant confusions i millorant l'adopció de passkeys.
Crear passkeys en el moment adequat: alta, recuperació i gestió
Un dels factors clau perquè la gent usi passkeys és mostrar l'opció al moment oportú i amb missatges clars. No n'hi ha prou d'amagar-la en un racó de la configuració i esperar que algú la descobreixi.
Durant l'alta d'un compte nou, els usuaris ja estan pensant com entraran després, així que és un moment perfecte per proposar la creació d'una clau d'accés com a opció principal. Això sí, sempre deixant a mà una alternativa basada en contrasenya per a qui la prefereixi.
També té molt sentit oferir la creació de passkeys quan algú acaba de patir el destorb de restablir la contrasenya. En aquest instant la persona és més conscient de com són de molestos els oblits i més receptiva a solucions que prometen oblidar-se de contrasenyes.
Als comptes que ja existeixen des de fa temps, és bona idea afegir una secció clara al menú de seguretat o de perfil per gestionar claus d'accés. Des d'aquí s'haurien de poder crear de noves, veure les existents i esborrar les que ja no calguin.
Els textos que acompanyen aquests fluxos convé que siguin curts, directes i enfocats en beneficis (més ràpid, més segur, sense contrasenyes), usant llenguatge quotidià i evitant entrar a sac en tecnicismes criptogràfics. Si algú vol detalls tècnics, sempre es pot enllaçar amb un article més avançat.
Com explicar passkeys a usuaris no tècnics
Encara que claus d'accés o passkeys és el terme estàndard acordat per la indústria, no convé que tot el disseny giri al voltant de la paraula, perquè encara és nova per a la majoria de la gent i pot sonar rara.
El que funciona millor és centrar el missatge en l'experiència: “inicia sessió amb la teva petjada, cara o PIN sense escriure contrasenyes”. Ja estàs explicant a l'usuari què passarà, sense necessitat de descriure tot el mecanisme que hi ha al darrere.
És recomanable esmentar el terme clau d'accés en algun punt del text o del botó, tipus Crear una clau d'accés, perquè l'usuari el vagi associant i entengui que aquest nom apareixerà a altres pantalles del sistema o de Google.
Quan expliquis l'emmagatzematge, és més natural parlar de “guardar una clau d'accés a ” que de conceptes enrevessats. I en acabar el procés, mostrar un missatge clar tipus “La teva clau d'accés s'ha creat correctament” augmenta la confiança.
Per coherència amb Android i amb l'API de Credential Manager, és millor no inventar etiquetes de botó alternatives. Usar “Crear una clau d'accés” ajuda a que la persona no es despisti en veure textos diferents a cada pas del flux.
Gestió i esborrament de passkeys en Android i altres sistemes
Les passkeys no són visibles com una contrasenya de text, però sí que es poden revisar i manejar des de la configuració de seguretat de cada plataforma o des del gestor on els magatzems.
A Android, la ubicació exacta del menú varia una mica segons la capa del fabricant, però normalment veuràs una cosa semblant a "Contrasenyes, claus d'accés i comptes" o "Administrador de contrasenyes". En dispositius Samsung, la part de biometria i claus sol estar associada a Samsung Pass.
iOS et deixa veure i gestionar les teves claus a Configuració → Contrasenyes (i en iOS 18 se separa en una app Contrasenyes pròpia). A macOS Sequoia i posteriors també apareix aquesta app, mentre que en versions prèvies està dins de la configuració del sistema.
Windows ha afegit un apartat de "Claus d'accés" dins de Configuració → Comptes, i si utilitzeu l'administrador de contrasenyes de Google, podeu consultar i gestionar les claus desades des del web del gestor, igual que feu amb les contrasenyes.
Sempre hauríeu de tenir l'opció de esborrar una clau d'accés associada al vostre compte quan deixeu d'usar un dispositiu o si heu creat la clau per error en un mòbil compartit. Encara que de vegades també cal eliminar-la del gestor de contrasenyes corresponent, tan bon punt s'esborra d'un dels costats, deixa de servir per iniciar sessió.
Passkeys i autenticació multifactor: SMS, apps i claus de pas
Les passkeys actuen a la pràctica com un mètode d'autenticació multifactor integrat en una sola acció, perquè combinen alguna cosa que tens (el dispositiu), alguna cosa que saps (PIN) i una cosa que ets (empremta o rostre), segons com ho tinguis configurat.
Això les fa més robustes davant del phishing que els codis per SMS o les claus temporals de molts sistemes de verificació en dos passos, que sí que pots teclejar en una web falsa si t'enganyen amb un correu maliciós.
En entorns corporatius o educatius, com ara comptes gestionats amb Microsoft 365 o Google Workspace, les passkeys poden funcionar com a segon factor, opció de recuperació o mecanisme per confirmar accions sensibles, encara que l'administrador només pot limitar l'inici de sessió amb clau d'accés.
Microsoft, per exemple, permet configurar claus de pas vinculades al dispositiu des de l'app Microsoft Authenticator. Aquestes claus no se sincronitzen pel núvol, cosa que afegeix seguretat extra però implica que, si perds el mòbil, hauràs de configurar noves claus en un altre dispositiu.
La recomanació general és no dependre d'un mòbil: si tens més d'un dispositiu personal, crea una clau de pas a cada un. Així, si en perds un, no et quedes completament bloquejat i pots continuar accedint mentre reconfigures tot.
Compatibilitat actual de passkeys amb plataformes i serveis
A dia d'avui, les passkeys ja estan suportades per els grans sistemes operatius: Android, iOS/iPadOS, Windows 10/11, macOS Ventura en endavant i ChromeOS, juntament amb els navegadors més usats com Chrome, Edge, Safari i, amb certes limitacions, Firefox.
Al terreny dels serveis, la llista creix sense parar: Google (inclòs YouTube), Microsoft i Xbox, Meta amb Facebook i WhatsApp, Apple amb iCloud i plataformes com X/Twitter, LinkedIn, TikTok, Discord, Amazon, PayPal, Yahoo, GitHub o Adobe ja admeten claus d'accés; si vols veure com funcionen les passkeys a WhatsApp, hi ha guies específiques.
Encara hi ha noms grans que no s'han sumat o només ho han fet de manera parcial, com alguns portals de compres, serveis de música o eines d'IA. Hi seguiràs estirant contrasenyes i, en el millor dels casos, d'autenticació en dos passos clàssics.
Si treballeu amb diversos sistemes operatius i navegadors, és possible que noteu diferències en l'experiència: no tots els llocs han polit igual la seva interfície de passkeys i alguns segueixen prioritzant la contrasenya encara que ja tinguin suport tècnic per a claus daccés.
Per als que barregen Android, Windows, macOS, Linux i diferents navegadors, una bona solució és fer servir un gestor de contrasenyes de tercers que suporti passkeys a totes aquestes plataformes. Així teniu una capa de sincronització independent d'Apple, Google o Microsoft.
Riscos, límits i bones pràctiques en fer servir passkeys
Tot i que les passkeys milloren moltíssim la seguretat davant de contrasenyes tradicionals, no són una bala de plata perfecta. Hi ha alguns riscos i límits que cal tenir molt presents en configurar-les.
El més obvi és que qualsevol que pugui desbloquejar el dispositiu pot utilitzar les claus d'accés. Si comparteixes ordinador o tauleta amb més gent a casa, o si el teu PIN del mòbil és ridículament senzill, aquesta persona podria entrar als teus comptes sense necessitat de saber cap contrasenya.
Un altre problema important apareix si totes les teves passkeys estan en un únic dispositiu i aquest es trenca, es perd o t'ho roben. Si a més heu desactivat gairebé totes les vies de recuperació basades en contrasenya o correu alternatiu, la recuperació d'accés pot ser lenta o, en alguns serveis, molt complicada.
També cal recordar que moltes webs, fins i tot després d'activar passkeys, mantenen l'inici de sessió per contrasenya actiu. Això vol dir que, si la teva clau vella era feble o la reutilitzaves, un atacant continuaria podent entrar-hi si aconsegueix aquesta contrasenya per alguna via.
Per tot això, val la pena mantenir alguns principis bàsics: bloqueig de pantalla forta, dispositius sempre actualitzats, almenys un mètode de recuperació alternatiu i, si és possible, més d'un dispositiu amb passkeys configurades per als comptes importants. A més, considera fer servir apps antirobatori per reduir riscos si un mòbil es perd o t'ho roben.
El panorama d'autenticació està canviant ràpidament i les passkeys s'estan consolidant com l'opció més assenyada per equilibrar comoditat i seguretat. Entendre bé com funcionen en Android, com s'integren amb l'Administrador de credencials i quin paper juguen amb contrasenyes, SMS i apps de verificació et permet aprofitar els seus avantatges sense portar-te ensurts quan perdis un mòbil o canviïs de dispositiu, usant un sistema més resistent a atacs i força més còmode per al teu dia a dia digital.
