Son dönemde birçok kuruluşun, kullanıcı verilerini korumak amacıyla passkey'leri ve WebAuthn'daki PRF (Pseudo-Random Function) uzantısını kullanarak uçtan uca şifreleme ve yedekleme gibi işlevleri desteklemesi endişe yaratıyor. Yazar, bu yaklaşımın kullanıcıların en değerli verilerini kaybetme riskini artırdığını belirtiyor. Özellikle mesaj yedekleri, uçtan uca şifreleme, belge şifreleme ve kripto cüzdanların kilidini açma gibi alanlarda passkey'lerin PRF ile birlikte kullanılması yaygınlaşıyor. Ancak bu durum, kimlik doğrulama için tasarlanmış bir kimlik bilgisinin aynı zamanda şifreleme anahtarı olarak kullanılmasıyla büyük bir risk oluşturuyor.
Bu yaklaşımın temel sorunu, bir passkey'i hem kimlik doğrulama hem de şifreleme için kullandığınızda, o kimlik bilgisinin kaybedilmesi durumunda ortaya çıkacak "felaket alanının" ölçülemeyecek kadar genişlemesidir. Makale, Erika adında bir kullanıcının hikayesiyle bu riski somutlaştırıyor: Erika, mesajlarını ve fotoğraflarını yedeklemek için passkey'ini kullanıyor ancak arayüzde yeterli uyarı bulunmuyor. Bir süre sonra Erika, gereksiz gördüğü passkey'ini siliyor. Yıllar sonra yeni bir telefon aldığında ve yedeklerini geri yüklemek istediğinde, passkey'i olmadığı için verilere erişemiyor ve değerli anılarını kaybediyor.
Kullanıcıların, sildikleri bir passkey'in aslında vefat etmiş yakınlarının fotoğraflarını, şifreli tapu belgelerini veya dijital paralarını yok edebileceğini anlamaları beklenemez. WebAuthn'da PRF'nin kimlik yöneticilerini ve işletim sistemlerini desteklemek gibi meşru kullanım alanları olsa da, doğrudan kullanıcı verilerini şifrelemek için kullanılması, kullanıcı deneyimi ve veri güvenliği açısından ciddi sorunlar teşkil etmektedir. Geliştiricilerin passkey'leri veri şifreleme amacıyla kullanmaktan kaçınmaları ve kullanıcıların veri kaybı riskini en aza indirecek alternatif çözümlere yönelmeleri büyük önem taşımaktadır.
Kullanıcıların passkey'leri veri şifreleme için yanlışlıkla kullanmaları, geri dönüşü olmayan veri kaybına yol açabilir.