Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost

Petra Javornická

Petra Javornická
30. 11. 2023

Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost

SDÍLET

Nutnost pamatovat si desítky hesel je dnes neodmyslitelnou podmínkou bezpečného fungování na internetu. Možná ale ne nadlouho. Přichází totiž passkeys – nová technologie pro snazší a bezpečnější správu hesel, která může významně pomoci jednotlivcům i firmám v boji proti phishingu a dalším kybernetickým hrozbám. Přinášíme přehled, jak passkeys fungují a jaké jsou výhody, ale také nevýhody tohoto řešení.

Podle průzkumu společnosti Nord Pass používá průměrný uživatel online služeb neuvěřitelných 100 hesel. Jejich počet navíc roste a v porovnání s lety 2019–2020 si jich dnes musíme pamatovat o 25 % více. Tento počet je samozřejmě pouze teoretický. A právě nutnost používat množství komplikovaných hesel vede k fenoménu, pro který se vžil termín „password fatigue“. Označuje se jím pocit únavy ze zadávání, zapomínání a obnovování hesel. Často vede k rezignaci na bezpečnostní zásady a používání jednoduchých hesel nebo jednoho hesla pro více účtů.



V bezpečí bohužel nejsou ani svědomití uživatelé, protože i silná hesla lze prolomit nebo zcizit. V darkwebových obchodech bylo podle bezpečnostní firmy Digital Shadows vloni nabízeno 24 miliard uživatelských jmen spárovaných s hesly (oproti roku 2020 šlo o 65% nárůst). Mnoho služeb a portálů proto dnes vyžaduje dvoufaktorové zabezpečení – typicky jde o zadání kódu odeslaného SMS zprávou nebo na e-mail. Dvoufaktorové zabezpečení ale není zdaleka ideálním řešením – může být pro uživatele nepohodlné (vyžaduje dodatečný krok v dalším zařízení) a navíc nemusí být stoprocentně bezpečné (metody zasílání kódů přes SMS nebo e-mail mohou být zranitelné vůči různým metodám sociálního inženýrství). Letos se ale objevila služba, která může všechny problémy s hesly vyřešit. Jmenuje se passkeys – přístupové klíče.

Passkey je krokem správným směrem při zavádění tzv. bezheslových metod přihlašování k online službám. Poskytuje vysoký stupeň zabezpečení spolu s tím, že odpadá nutnost pamatovat si složitá hesla. Uživatel pouze potvrzuje, že má přístup ke svému telefonu (pozn.: kde je uložen privátní klíč) a je tak oprávněný přistupovat k dané službě.

Citace od Radka Šichtance Radek Šichtanc
Šéf bezpečnosti O2

Jak passkeys fungují

Passkeys je technologie, která pro ověření identity využívá systém „asymetrické kryptografie“. Název může znít složitě, princip je ale jednoduchý. Pro každý účet, který chcete mít zabezpečený, passkeys vygeneruje dvě hesla – veřejný a soukromý klíč. Jedno z nich, veřejný klíč, je uloženo na webu nebo v aplikaci, kam se přihlašujete, a druhé, soukromý klíč, zůstává bezpečně ukryto ve našem identifikačním zařízení. Nejčastěji v mobilním telefonu.

Při přihlášení odešle server či aplikace do telefonu požadavek na spárování obou klíčů. Pokud uživatel požadavek schválí, uživatele přihlásí. Zajímavé na této ověřovací metodě je, že využívá biometrické metody, které (zatím) nelze zneužít – uživatel svoji totožnost ověří skenem obličeje, rohovky či otiskem prstu. Pokud ani jednu z těchto metod jeho zařízení neumožňuje, je možné zadat i číselný PIN kód.

Přihlašování pomocí passkeys je rychlé, uživatelsky přívětivé a eliminuje nejčastější strategie kyberútočníků. Lovení přístupových hesel phishingem je zbytečné, protože hesla generuje přímo systém passkeys a uživatel proces přihlašování pouze potvrzuje. Prolamování hesel hrubou výpočetní silou a krádeže hesel uložených na serverech také nefungují, protože na serveru je uložena pouze veřejná část hesla a bez spárování s uživatelovým telefonem je k ničemu. Ani případná ztráta telefonu není žádnou tragédií. Přístupový token pro passkeys je kódovaný, a je ho tedy možné bez obav ukládat do cloudu, sdílet mezi několika zařízeními a jednoduše ho obnovit.

Google nabízí přihlašování přes Passkeys všem uživatelům od října 2023.

Žádná technologie není dokonalá. Passkeys také ne

Má passkeys i nevýhody? Odborníci poukazují na fakt, že passkeys sice eliminují napadnutelnost přihlašování na serverech, nebezpečí ale přenesly na uživatele a jeho telefon. Pokud na něm nemá zapnutou ochranu v podobě biometrické identifikace nebo PIN kódu, stačí útočníkovi telefon zcizit a má dveře ke všem zabezpečeným službám a profilům otevřené.

Další výtky pak směřují na poněkud problematickou synchronizaci mezi různými platformami a aplikacemi a především na stále malé rozšíření. Passkeys jsou vyvíjené jako společný standard aliance FIDO (Fast IDentity Online), za kterou stojí velké technologické společnosti, banky, sociální sítě a poskytovatelé kreditních karet. Spuštění se slibuje už dlouho, ale Google, Apple, WhatsApp, Uber, eBay a další velcí hráči passkeys opatrně zavádí teprve nyní. Menším službám, aplikacím a portálům to bude trvat ještě déle. Proč?

Hlavně proto, že implementace systému generujícího přístupové klíče zvané passkeys představuje výzvu v podobě změny celého přihlašovacího procesu a s tím spojené náklady. Na druhou stranu je potřeba si uvědomit, že tato technologie může mít pro firmy pozitivní důsledky. Zlepšuje bezpečnost tím, že eliminuje potřebu tradičních hesel, která jsou často terčem útoků.

Závěrem shrňme, že passkeys nejsou univerzálním řešením pro všechny bezpečnostní problémy. Bezpečnostní strategie se budou muset nadále vyvíjet a adaptovat, například se zaměřením na ochranu mobilních zařízení, která se stávají klíčovými prvky tohoto druhu autentizace. Je ale pravděpodobné, že přístupové klíče bude zavádět čím dál více společností, a možná se konečně dočkáme doby bezheslové.

Co si z článku odnést

  • Nutnost používání mnoha hesel vede k rezignaci na bezpečnostní zásady a zvyšuje riziko napadení zabezpečených účtů.
  • Přicházející technologie passkeys proces přihlašování zjednodušuje a zrychluje. Heslo generuje samotný systém a uživatel přihlášení pouze potvrzuje biometrickým klíčem nebo PIN kódem na svém telefonu.
  • Passkeys generují heslo ve dvou částech. Část uložená v telefonu se musí spárovat s odpovídající částí na webu, jinak přihlášení neproběhne.
  • Passkeys eliminují phishing, prolamování a krádeže hesel.
  • Passkeys už používají velké technologické a finanční společnosti. Rychlost zavádění bohužel zatím zaostává za očekáváním.


Petra Javornická Petra Javornická
Marketingový specialista pro B2B

Byl pro vás článek užitečný?

SDÍLET

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Analýza rizik

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?
Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?
SOC 2 cloud

Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost

Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost
O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb

O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb

O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb
Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?

Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?

Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?
Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding

Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding

Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding
5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?

5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?

5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?
Vishing na vzestupu: Jak se ve firmě bránit podvodným telefonátům?

Vishing na vzestupu: Jak se ve firmě bránit podvodným telefonátům?

Vishing na vzestupu: Jak se ve firmě bránit podvodným telefonátům?