Menu

Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost

Petra Javornická

Petra Javornická
30. 11. 2023

KYBERBEZPEČNOST
Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost

SDÍLET

Nutnost pamatovat si desítky hesel je dnes neodmyslitelnou podmínkou bezpečného fungování na internetu. Možná ale ne nadlouho. Přichází totiž passkeys – nová technologie pro snazší a bezpečnější správu hesel, která může významně pomoci jednotlivcům i firmám v boji proti phishingu a dalším kybernetickým hrozbám. Přinášíme přehled, jak passkeys fungují a jaké jsou výhody, ale také nevýhody tohoto řešení.

Podle průzkumu společnosti Nord Pass používá průměrný uživatel online služeb neuvěřitelných 100 hesel. Jejich počet navíc roste a v porovnání s lety 2019–2020 si jich dnes musíme pamatovat o 25 % více. Tento počet je samozřejmě pouze teoretický. A právě nutnost používat množství komplikovaných hesel vede k fenoménu, pro který se vžil termín „password fatigue“. Označuje se jím pocit únavy ze zadávání, zapomínání a obnovování hesel. Často vede k rezignaci na bezpečnostní zásady a používání jednoduchých hesel nebo jednoho hesla pro více účtů.



V bezpečí bohužel nejsou ani svědomití uživatelé, protože i silná hesla lze prolomit nebo zcizit. V darkwebových obchodech bylo podle bezpečnostní firmy Digital Shadows vloni nabízeno 24 miliard uživatelských jmen spárovaných s hesly (oproti roku 2020 šlo o 65% nárůst). Mnoho služeb a portálů proto dnes vyžaduje dvoufaktorové zabezpečení – typicky jde o zadání kódu odeslaného SMS zprávou nebo na e-mail. Dvoufaktorové zabezpečení ale není zdaleka ideálním řešením – může být pro uživatele nepohodlné (vyžaduje dodatečný krok v dalším zařízení) a navíc nemusí být stoprocentně bezpečné (metody zasílání kódů přes SMS nebo e-mail mohou být zranitelné vůči různým metodám sociálního inženýrství). Letos se ale objevila služba, která může všechny problémy s hesly vyřešit. Jmenuje se passkeys – přístupové klíče.

Koncept nulové důvěry byl definován už v roce 2010. Díky technologiím, jako je například ZTNA, se daří aplikovat tyto principy i na současnou moderní IT architekturu.

Citace od Radka Šichtance Radek Šichtanc
Šéf bezpečnosti O2

Jak passkeys fungují

Passkeys je technologie, která pro ověření identity využívá systém „asymetrické kryptografie“. Název může znít složitě, princip je ale jednoduchý. Pro každý účet, který chcete mít zabezpečený, passkeys vygeneruje dvě hesla – veřejný a soukromý klíč. Jedno z nich, veřejný klíč, je uloženo na webu nebo v aplikaci, kam se přihlašujete, a druhé, soukromý klíč, zůstává bezpečně ukryto ve našem identifikačním zařízení. Nejčastěji v mobilním telefonu.

Při přihlášení odešle server či aplikace do telefonu požadavek na spárování obou klíčů. Pokud uživatel požadavek schválí, uživatele přihlásí. Zajímavé na této ověřovací metodě je, že využívá biometrické metody, které (zatím) nelze zneužít – uživatel svoji totožnost ověří skenem obličeje, rohovky či otiskem prstu. Pokud ani jednu z těchto metod jeho zařízení neumožňuje, je možné zadat i číselný PIN kód.

Přihlašování pomocí passkeys je rychlé, uživatelsky přívětivé a eliminuje nejčastější strategie kyberútočníků. Lovení přístupových hesel phishingem je zbytečné, protože hesla generuje přímo systém passkeys a uživatel proces přihlašování pouze potvrzuje. Prolamování hesel hrubou výpočetní silou a krádeže hesel uložených na serverech také nefungují, protože na serveru je uložena pouze veřejná část hesla a bez spárování s uživatelovým telefonem je k ničemu. Ani případná ztráta telefonu není žádnou tragédií. Přístupový token pro passkeys je kódovaný, a je ho tedy možné bez obav ukládat do cloudu, sdílet mezi několika zařízeními a jednoduše ho obnovit.

Google nabízí přihlašování přes Passkeys všem uživatelům od října 2023.

Žádná technologie není dokonalá. Passkeys také ne

Má passkeys i nevýhody? Odborníci poukazují na fakt, že passkeys sice eliminují napadnutelnost přihlašování na serverech, nebezpečí ale přenesly na uživatele a jeho telefon. Pokud na něm nemá zapnutou ochranu v podobě biometrické identifikace nebo PIN kódu, stačí útočníkovi telefon zcizit a má dveře ke všem zabezpečeným službám a profilům otevřené.

Další výtky pak směřují na poněkud problematickou synchronizaci mezi různými platformami a aplikacemi a především na stále malé rozšíření. Passkeys jsou vyvíjené jako společný standard aliance FIDO (Fast IDentity Online), za kterou stojí velké technologické společnosti, banky, sociální sítě a poskytovatelé kreditních karet. Spuštění se slibuje už dlouho, ale Google, Apple, WhatsApp, Uber, eBay a další velcí hráči passkeys opatrně zavádí teprve nyní. Menším službám, aplikacím a portálům to bude trvat ještě déle. Proč?

Hlavně proto, že implementace systému generujícího přístupové klíče zvané passkeys představuje výzvu v podobě změny celého přihlašovacího procesu a s tím spojené náklady. Na druhou stranu je potřeba si uvědomit, že tato technologie může mít pro firmy pozitivní důsledky. Zlepšuje bezpečnost tím, že eliminuje potřebu tradičních hesel, která jsou často terčem útoků.

Závěrem shrňme, že passkeys nejsou univerzálním řešením pro všechny bezpečnostní problémy. Bezpečnostní strategie se budou muset nadále vyvíjet a adaptovat, například se zaměřením na ochranu mobilních zařízení, která se stávají klíčovými prvky tohoto druhu autentizace. Je ale pravděpodobné, že přístupové klíče bude zavádět čím dál více společností, a možná se konečně dočkáme doby bezheslové.

Co si z článku odnést

  • Nutnost používání mnoha hesel vede k rezignaci na bezpečnostní zásady a zvyšuje riziko napadení zabezpečených účtů.
  • Přicházející technologie passkeys proces přihlašování zjednodušuje a zrychluje. Heslo generuje samotný systém a uživatel přihlášení pouze potvrzuje biometrickým klíčem nebo PIN kódem na svém telefonu.
  • Passkeys generují heslo ve dvou částech. Část uložená v telefonu se musí spárovat s odpovídající částí na webu, jinak přihlášení neproběhne.
  • Passkeys eliminují phishing, prolamování a krádeže hesel.
  • Passkeys už používají velké technologické a finanční společnosti. Rychlost zavádění bohužel zatím zaostává za očekáváním.


Petra Javornická Petra Javornická
Marketingový specialista pro B2B

Byl pro vás článek užitečný?

Ano, byl užitečný Může se hodit Byl příliš obecný Hledal jsem jinou informaci

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

SDÍLET

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc

Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc

Zobrazit článek
Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc
Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2

Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2

Zobrazit článek
Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2
Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň

Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň

Zobrazit článek
Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň
Generace Z a kyberbezpečnost. Je pro ni důležitá?

Generace Z a kyberbezpečnost. Je pro ni důležitá?

Zobrazit článek
Generace Z a kyberbezpečnost. Je pro ni důležitá?
Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?

Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?

Zobrazit článek
Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?
IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

Zobrazit článek
IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?
Jak zabezpečit firemní prohlížeče a eliminovat rizika?

Jak zabezpečit firemní prohlížeče a eliminovat rizika?

Zobrazit článek
Jak zabezpečit firemní prohlížeče a eliminovat rizika?
CIO Agenda 2024: Kyberzločin je jen byznys

CIO Agenda 2024: Kyberzločin je jen byznys

Zobrazit článek
CIO Agenda 2024: Kyberzločin je jen byznys
;