Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost
Petra Javornická
30. 11. 2023
Nutnost pamatovat si desítky hesel je dnes neodmyslitelnou podmínkou bezpečného fungování na internetu. Možná ale ne nadlouho. Přichází totiž passkeys – nová technologie pro snazší a bezpečnější správu hesel, která může významně pomoci jednotlivcům i firmám v boji proti phishingu a dalším kybernetickým hrozbám. Přinášíme přehled, jak passkeys fungují a jaké jsou výhody, ale také nevýhody tohoto řešení.
Podle průzkumu společnosti Nord Pass používá průměrný uživatel online služeb neuvěřitelných 100 hesel. Jejich počet navíc roste a v porovnání s lety 2019–2020 si jich dnes musíme pamatovat o 25 % více. Tento počet je samozřejmě pouze teoretický. A právě nutnost používat množství komplikovaných hesel vede k fenoménu, pro který se vžil termín „password fatigue“. Označuje se jím pocit únavy ze zadávání, zapomínání a obnovování hesel. Často vede k rezignaci na bezpečnostní zásady a používání jednoduchých hesel nebo jednoho hesla pro více účtů.
V bezpečí bohužel nejsou ani svědomití uživatelé, protože i silná hesla lze prolomit nebo zcizit. V darkwebových obchodech bylo podle bezpečnostní firmy Digital Shadows vloni nabízeno 24 miliard uživatelských jmen spárovaných s hesly (oproti roku 2020 šlo o 65% nárůst). Mnoho služeb a portálů proto dnes vyžaduje dvoufaktorové zabezpečení – typicky jde o zadání kódu odeslaného SMS zprávou nebo na e-mail. Dvoufaktorové zabezpečení ale není zdaleka ideálním řešením – může být pro uživatele nepohodlné (vyžaduje dodatečný krok v dalším zařízení) a navíc nemusí být stoprocentně bezpečné (metody zasílání kódů přes SMS nebo e-mail mohou být zranitelné vůči různým metodám sociálního inženýrství). Letos se ale objevila služba, která může všechny problémy s hesly vyřešit. Jmenuje se passkeys – přístupové klíče.
Koncept nulové důvěry byl definován už v roce 2010. Díky technologiím, jako je například ZTNA, se daří aplikovat tyto principy i na současnou moderní IT architekturu.
Jak passkeys fungují
Passkeys je technologie, která pro ověření identity využívá systém „asymetrické kryptografie“. Název může znít složitě, princip je ale jednoduchý. Pro každý účet, který chcete mít zabezpečený, passkeys vygeneruje dvě hesla – veřejný a soukromý klíč. Jedno z nich, veřejný klíč, je uloženo na webu nebo v aplikaci, kam se přihlašujete, a druhé, soukromý klíč, zůstává bezpečně ukryto ve našem identifikačním zařízení. Nejčastěji v mobilním telefonu.
Při přihlášení odešle server či aplikace do telefonu požadavek na spárování obou klíčů. Pokud uživatel požadavek schválí, uživatele přihlásí. Zajímavé na této ověřovací metodě je, že využívá biometrické metody, které (zatím) nelze zneužít – uživatel svoji totožnost ověří skenem obličeje, rohovky či otiskem prstu. Pokud ani jednu z těchto metod jeho zařízení neumožňuje, je možné zadat i číselný PIN kód.
Přihlašování pomocí passkeys je rychlé, uživatelsky přívětivé a eliminuje nejčastější strategie kyberútočníků. Lovení přístupových hesel phishingem je zbytečné, protože hesla generuje přímo systém passkeys a uživatel proces přihlašování pouze potvrzuje. Prolamování hesel hrubou výpočetní silou a krádeže hesel uložených na serverech také nefungují, protože na serveru je uložena pouze veřejná část hesla a bez spárování s uživatelovým telefonem je k ničemu. Ani případná ztráta telefonu není žádnou tragédií. Přístupový token pro passkeys je kódovaný, a je ho tedy možné bez obav ukládat do cloudu, sdílet mezi několika zařízeními a jednoduše ho obnovit.
Google nabízí přihlašování přes Passkeys všem uživatelům od října 2023.
Žádná technologie není dokonalá. Passkeys také ne
Má passkeys i nevýhody? Odborníci poukazují na fakt, že passkeys sice eliminují napadnutelnost přihlašování na serverech, nebezpečí ale přenesly na uživatele a jeho telefon. Pokud na něm nemá zapnutou ochranu v podobě biometrické identifikace nebo PIN kódu, stačí útočníkovi telefon zcizit a má dveře ke všem zabezpečeným službám a profilům otevřené.
Jak zabezpečit mobilní telefony před únikem firemních dat?
Zobrazit článek
Další výtky pak směřují na poněkud problematickou synchronizaci mezi různými platformami a aplikacemi a především na stále malé rozšíření. Passkeys jsou vyvíjené jako společný standard aliance FIDO (Fast IDentity Online), za kterou stojí velké technologické společnosti, banky, sociální sítě a poskytovatelé kreditních karet. Spuštění se slibuje už dlouho, ale Google, Apple, WhatsApp, Uber, eBay a další velcí hráči passkeys opatrně zavádí teprve nyní. Menším službám, aplikacím a portálům to bude trvat ještě déle. Proč?
Hlavně proto, že implementace systému generujícího přístupové klíče zvané passkeys představuje výzvu v podobě změny celého přihlašovacího procesu a s tím spojené náklady. Na druhou stranu je potřeba si uvědomit, že tato technologie může mít pro firmy pozitivní důsledky. Zlepšuje bezpečnost tím, že eliminuje potřebu tradičních hesel, která jsou často terčem útoků.
Závěrem shrňme, že passkeys nejsou univerzálním řešením pro všechny bezpečnostní problémy. Bezpečnostní strategie se budou muset nadále vyvíjet a adaptovat, například se zaměřením na ochranu mobilních zařízení, která se stávají klíčovými prvky tohoto druhu autentizace. Je ale pravděpodobné, že přístupové klíče bude zavádět čím dál více společností, a možná se konečně dočkáme doby bezheslové.
Co si z článku odnést
- Nutnost používání mnoha hesel vede k rezignaci na bezpečnostní zásady a zvyšuje riziko napadení zabezpečených účtů.
- Přicházející technologie passkeys proces přihlašování zjednodušuje a zrychluje. Heslo generuje samotný systém a uživatel přihlášení pouze potvrzuje biometrickým klíčem nebo PIN kódem na svém telefonu.
- Passkeys generují heslo ve dvou částech. Část uložená v telefonu se musí spárovat s odpovídající částí na webu, jinak přihlášení neproběhne.
- Passkeys eliminují phishing, prolamování a krádeže hesel.
- Passkeys už používají velké technologické a finanční společnosti. Rychlost zavádění bohužel zatím zaostává za očekáváním.
Petra Javornická
Marketingový specialista pro B2B
Byl pro vás článek užitečný?