Passkeys – nowa era bezpieczeństwa

Passkeys nowa era cyberbezpieczenstwa

Hasła już od lat są podstawowym sposobem zabezpieczenia naszych kont w sieci. Istnieją z nami już od dawna a od czasu powstania IT znacznie się rozwinęło, przez co hasła są już nie wystarczające. Poza tym, hasła są źródłem wielu problemów. Są trudne do zapamiętania, podatne na phishing czy wycieki danych. Na szczęście z pomocą przychodzi passkeys. W tym artykule wyjaśnimy czym są passkeys, jak działają, dlaczego są ważne i jak mogą nam pomóc w utrzymaniu bezpieczeństwa.

Czym są passkeys?

Passkey (klucz dostępu) to forma uwierzytelniania, która z pewnością zastąpi tradycyjne hasła. Działa jak cyfrowy klucz, który jest przechowywany na Twoim urządzeniu, na przykład na telefonie, na komputerze czy na kluczu sprzętowym (YubiKey). Passkey służy do logowania do różnych serwisów. Zamiast wpisywać hasło, używamy biometrii na przykład odcisku palca czy rozpoznawania twarzy czy kodu PIN do uzyskania dostępu. Passkey wykorzystuje parę kluczy kryptograficznych – klucz prywatny i klucz publiczny. Klucz publiczny co do zasady jest przechowywany na serwerze, podczas gdy klucz prywatny pozostaje na naszym urządzeniu. Takie podejście zabezpiecza nas przed sytuacją, gdzie serwer na którym mamy konto zostanie zaatakowany a dane pozostaną wykradzione.

Trochę historii

Koncepcja passwordless nie jest nowa. Już od dość dawna istniały różne alternatywy, na przykład tokeny sprzętowe czy karty inteligentne. Jednak dopiero powstanie organizacji FIDO Alliance i opracowanie standardów FIDO (Fast Identity Online) oraz WebAuthn (Web Authentication) umożliwiło stworzenie uniwersalnego i prostego w użyciu rozwiązania jakim są właśnie passkeys. A to właśnie dzięki współpracy dużych firm technologicznych takich jak Google, Apple, Microsoft czy Yubico powstały standardy, które umożliwiają bezhasłowe uwierzytelnianie i obecnie są one już wspierane przez coraz więcej platform.

Dlaczego passkeys są lepsze od haseł?

Używanie passkeys niesie za sobą wiele korzyści:

  • Bezpieczeństwo – klucz prywatny nigdy nie opuszcza urządzenia, a więc jest niemal niemożliwe do odczytania
  • Wygoda – logowanie jest szybkie i proste. Wystarczy kod PIN, odcisk palca lub skan twarzy. Nie trzeba martwić się o regularną zmianę haseł
  • Wieloplatformowość –  passkey działają na różnych urządzeniach i systemach operacyjnych
  • Unikalność – każda para kluczy jest unikalna, co eliminuje ryzyko ponownego użycia na innych platformach
  • Odporność na phishing – na złośliwej stronie użycie passkey jest niemożliwe
  • Jak działają passkeys?

Jak już wspomniałem wyżej passkey jest oparte o kryptografia asymetryczna. W uproszczeniu cały proces wygląda następująco:

  1. Utworzenie passkey – podczas rejestracji konta, urządzenie użytkownika generuje parę kluczy – klucz publiczny i klucz prywatny
  2. Klucz publiczny jest wysyłany do serwera i tam jest przechowywany, natomiast klucz prywatny jest zapisywany na urządzeniu użytkownika
  3. Logowanie – podczas logowania serwer wysyła tak zwane wyzwanie kryptograficzne, które może zostać podpisane tylko Twoim kluczem prywatnym. Dostęp do klucza prywatnego aktywuje się w momencie użycia biometrii lub kodu PIN. Kiedy urządzenie podpisze żądanie serwera, serwer weryfikuje ten podpis za pomocą klucza publicznego i na tej podstawie umożliwia dalszy dostęp do konta.

Dlaczego passkeys są potrzebne?

Hasła pomimo ich popularności mają wiele wad. Ludzie używają prostych haseł, łatwych do zapamiętania. Wiele z tych haseł jest powtarzalnych bo wielu użytkowników używa tego samego hasła do wielu kont, a to zwiększa ryzyko kompromitacji konta. Hasła są nieodporne na ataki phishingowe nawet jeśli mamy skonfigurowane MFA w postaci SMSa czy powiadomienia push w aplikacji. Do tego wycieki danych – nawet najbardziej zabezpieczone serwisy mogą doświadczyć naruszenia danych.

Czy passkeys są w 100% bezpieczne?

Wiadomo, że żaden system nie jest w pełni odporny na ataki ale passkeys znacznie podnosi poprzeczkę cyberprzestępcom. Klucz prywatny nigdy nie opuszcza Twojego urządzenia, więc ryzyko u wycieku danych jest minimalny. Dodatkowo, każda para kluczy ma też zapisany link do strony, na której logowanie powinno działać. Użytkownik próbując zalogować się na innej stronie, nawet jeśli będzie łudząco podobna do oryginalnej to nie będzie wstanie się zalogować.

Wyzwania związane z passkeys

Mimo wielu zalet technologia napotyka pewne wyzwania:

Kompatybilność – aby passkeys były skuteczne muszą być szeroko przyjęte na różnych platformach czy usługach. Obecnie coraz więcej serwisów oferuje możliwość logowania przy użyciu passkeys natomiast jeszcze nie wszystkie wspierają tę technologię. Listę serwisów wspierających w pełni passkeys znajdziesz pod tym linkiem: https://fidoalliance.org/passkeys-directory/

Zależność od urządzeń – passkeys jest związane z konkretnym urządzeniem czy to telefonem czy kluczem sprzętowym, dlatego warto na przykład w przypadku używania klucza sprzętowego mieć co najmniej skonfigurowane 2 takie klucze.

Edukacja i zmiana przyzwyczajeń – wprowadzenie passkeys wymaga zmiany myślenia użytkowników ale również ich edukacji w zakresie korzyści jakie logowanie bezhasłowe jest w stanie nam dostarczyć.

Kompatybilność

Poniżej znajdziecie metody logowania z użyciem passkeys i ich kompatybilność z różnymi systemami. Łatwo wywnioskować, że klucze sprzętowe jako nośniki passkeys mogą być używane ze wszystkimi popularnymi systemami operacyjnymi.

passkey compability
Źródło: https://passkey.org/

Chcesz sprawdzić jak to działa?

Jeśli zaciekawiła Cię idea passkeys i chciałbyś doświadczyć jak to wygląda w rzeczywistości to zapraszam Cię na stronę https://webauthn.io/.

źródło: webauthn.io

Po poprawnej rejestracji możemy przejść do zalogowania do testowego systemu.

Przyszłość uwierzytelniania

Patrząc w przyszłość, passkeys mają potencjał aby stać się standardem w dziedzinie uwierzytelniania a integracja systemów z passkeys wydaje się być obiecująca. Użycie passkeys to również krok w stronę świata paswordless, który jest bardziej bezpieczny ale również wygodny i chociaż technologia ta jest jeszcze stosunkowo młoda to jednak szybko zdobywa uznanie i wsparcie.

Na koniec jeszcze krótki materiał wideo wyjaśniający graficznie jak działa passkeys.

Komentarze

Nie ma jeszcze komentarzy. Może zaczniesz dyskusję?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *