Posted inCyberNews

Passkeys – przyszłość logowania bez haseł

1 Comment
Passkeys – przyszłość logowania bez haseł

Z okazji pierwszego na świecie World Passkey Day Microsoft ogłosił przełomowy krok w stronę świata bez haseł. Firma wprowadza passkeys jako domyślną metodę logowania dla nowych kont, co ma uprościć dostęp do usług i znacząco zwiększyć bezpieczeństwo użytkowników. To ogromny krok w kierunku przyszłości bez haseł, w której hasła będą jedynie wspomnieniem.

Dlaczego hasła są przestarzałe?

Hasła, mimo że są podstawowym mechanizmem uwierzytelniania od dekad, mają wiele poważnych wad:

  • Łatwe do złamania – szczególnie w erze postkwantowej
  • Podatne na phishing
  • Wymagania regularnej zmiany – większość firm wymaga regularnej zmiany haseł, co jest uciążliwe i prowadzi do używania łatwiejszych do zapamiętania
  • Reużywane w wielu serwisach – Badania pokazują, że większość użytkowników używa tych samych lub bardzo podobnych haseł w różnych serwisach, co znacząco zwiększa ryzyko kompromitacji danych.

Jak podaje Microsoft, w ciągu ostatniej dekady dało się zauważyć dwa ważne, zbieżne trendy: ludzie coraz bardziej przyzwyczaili się do logowania się do swoich urządzeń bez haseł, a liczba cyberataków opartych na hasłach dramatycznie wzrosła. Cyberprzestępcy mają świadomość, że era haseł dobiega końca, a liczba łatwych do złamania kont maleje. W odpowiedzi na to przeznaczają znaczne zasoby na automatyzację ataków brute force i phishingowych na każde konto nadal chronione hasłem. W ubiegłym roku można było zabserwować oszałamiające 7000 ataków na hasła na sekundę (ponad dwukrotnie więcej niż w 2023 r.).

Jak działają passkeys?

Passkeys to nowoczesne podejście do uwierzytelniania, które eliminuje konieczność używania haseł. Zamiast wpisywać złożone znaki czy kody jednorazowe, możesz zalogować się do dowolnej obsługiwanej aplikacji lub witryny za pomocą klucza dostępu, korzystając ze swojej twarzy, odcisku palca lub numeru PIN.  Passkeys bazuje na dwóch kluczowych standardach:

  1. WebAuthn (Web Authentication) – Jest to otwarty standard, który pozwala aplikacjom i serwisom internetowym na bezpieczne uwierzytelnianie użytkowników, bez potrzeby przechowywania haseł na serwerach. Każde urządzenie generuje unikalną parę kluczy (publiczny i prywatny), co zapewnia wysoki poziom ochrony.
  2. CTAP (Client to Authenticator Protocol) – To protokół, który umożliwia bezpieczną komunikację między urządzeniem użytkownika (np. smartfonem, kluczem sprzętowym YubiKey) a serwisem, do którego się loguje. Dzięki temu logowanie może być realizowane przy użyciu biometrii, PIN-u lub fizycznego klucza, co znacząco redukuje ryzyko phishingu.

Przykład działania:

  • Użytkownik inicjuje rejestrację passkey na swoim urządzeniu.
  • Urządzenie tworzy unikalną parę kluczy (publiczny i prywatny).
  • Klucz publiczny jest przesyłany do serwera, który zapamiętuje go jako „tożsamość” użytkownika.
  • Każde kolejne logowanie odbywa się poprzez podpisywanie wyzwania (challenge) kluczem prywatnym, który nigdy nie opuszcza urządzenia np. klucza YubiKey czy komputera.
źródło: microsoft.com

Rola YubiKey i innych kluczy bezpieczeństwa

Urządzenia takie jak YubiKey odgrywają kluczową rolę w przyszłości bez haseł, ponieważ:

  • Działają jako fizyczne klucze uwierzytelniające, które wspierają standardy FIDO2, WebAuthn i CTAP.
  • Zapewniają najwyższy poziom ochrony przed phishingiem i atakami typu man-in-the-middle.
  • Nie wymagają baterii ani połączenia z Internetem, co czyni je niezwykle niezawodnymi.

Jeśli chcesz dowiedzieć się więcej o tym, jak działa YubiKey, zapraszam do lektury Co to jest i jak działa YubiKey

Przyszłość bez haseł

Nowe konta Microsoft są teraz domyślnie pozbawione haseł. Nowi użytkownicy będą mieli kilka opcji logowania bez hasła i nigdy nie będą musieli konfigurować hasła. Wprowadzono preferowane logowanie bez hasła, automatycznie wykrywając najlepszą dostępną metodę logowania i ustawiając ją jako domyślną. Microsoft informuje również, że użytkownicy pokochali klucze dostępu – w zeszłym roku zarejestrowanych zostało prawie milion kluczy dostępu każdego dnia.

Widać, że jesteśmy w drodze do świata, w którym hasła będą jedynie wspomnieniem. To krok w kierunku bezpieczniejszej i bardziej przyjaznej przyszłości cyfrowej.

Ta zmiana Microsoft to idealny moment dla Ciebie, abyś wygenerował co najmniej jeden passkeys w dowolnym serwisie, który to umożliwia i przekonaj się jakie to proste.

Tags:

1 Komentarz

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *