Son dönemde birçok kuruluş, kullanıcı verilerini korumak amacıyla Passkey'leri ve WebAuthn'daki PRF (Pseudo-Random Function) uzantısını kullanmaya başladı. Bu yaklaşım, mesaj yedeklemeleri, kripto cüzdanları, belgeler ve uçtan uca şifreleme gibi senaryolarda yaygınlaşıyor. Ancak, makale bu uygulamanın ciddi riskler taşıdığına dikkat çekiyor. Yazar, kimlik doğrulama için kullanılan bir kimlik bilgisinin aynı zamanda şifreleme için de kullanılması durumunda, bu kimlik bilgisinin kaybının yaratacağı "patlama yarıçapının" ölçülemez derecede büyüyeceğini belirtiyor.
Makale, Erika adında bir kullanıcının hikayesiyle bu riski somutlaştırıyor. Erika, mesajlaşma uygulamasındaki şifreli yedeklemelerini Passkey'i ile etkinleştiriyor. Ancak, kullanıcı arayüzünde bu yedeklemelerin Passkey'e sıkıca bağlı olduğunu gösteren yeterli bir uyarı bulunmuyor. Bir süre sonra Erika, kimlik bilgisi yöneticisini temizlerken mesajlaşma uygulamasına ait Passkey'i siliyor. Yeni bir telefon aldığında ve hesabını kurtardığında, şifreli yedeklemelerine erişmek için Passkey'i isteniyor. Passkey'i olmadığı için, anılarını içeren verilerine erişemiyor. Kullanıcıların, sildikleri bir Passkey ile ölen akrabalarının fotoğraflarını veya dijital para birimlerini de silebileceklerini anlamaları beklenemez.
Yazar, PRF'nin WebAuthn'da kimlik bilgisi yöneticilerini ve işletim sistemlerini desteklemek gibi meşru kullanım alanları olduğunu kabul ediyor. Ancak, kullanıcıların hassas verilerini şifrelemek için Passkey'leri kullanmanın, veri kaybı potansiyeli nedeniyle kaçınılması gereken bir uygulama olduğunu vurguluyor. Sistemlerin, kullanıcıların teknik detayları bilmesini beklemek yerine, bu tür riskleri minimize edecek şekilde tasarlanması gerektiği mesajı veriliyor.
Passkey'leri doğrudan kullanıcı verilerini şifrelemek için kullanmak, kullanıcıların farkında olmadan önemli verilerini kaybetme riskini artırır.