Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

Passkeys – rewolucja w uwierzytelnianiu. Czy zrezygnujemy z haseł?

Passkeys – rewolucja w uwierzytelnianiu. Czy zrezygnujemy z haseł?

123456 – to najczęściej używane hasło w serwisach internetowych na całym świecie. Niewiarygodne? A jednak. Hasła są wciąż najbardziej rozpowszechnioną metodą uwierzytelniania. Ale też najbardziej podatną na różne zagrożenie bezpieczeństwa, w tym na phishing. Na rynku pojawiają się jednak nowe technologie, które wyraźnie podnoszą poziom odporności na cyberataki. Najbardziej obiecującą z nich są dziś passkeys. Jak działają?

Szyfrowanie asymetryczne, U2F, passkeys

Historia passkeys zaczęła się tak naprawdę już w latach 70. ubiegłego wieku. A dokładniej w roku 1976, kiedy to Whitfield Diffie i Martin Hellman opisali protokół wymiany kluczy będący dziś podstawą wielu systemów szyfrowania asymetrycznego. 

Idea szyfrowania asymetrycznego  jest prosta. Mamy dwa klucze – prywatny i publiczny. To, co jest zaszyfrowane (lub inaczej podpisane) kluczem prywatnym, może być odszyfrowane tylko i wyłącznie kluczem publicznym. I odwrotnie. To, co podpisane kluczem publicznym, może być odczytane tylko za pomocą klucza prywatnego. Klucz publiczny może być rozpowszechniony (sam w sobie bowiem – bez klucza prywatnego – jest bezużyteczny), natomiast klucz prywatny jest poufny i powinien być bezpiecznie przechowywany.

Na zasadzie szyfrowania asymetrycznego działają dziś choćby protokół HTTPS czy infrastruktura PKI.

Kolejnym ważnym krokiem na drodze do passkeys był opracowany przez FIDO Alliance standard U2F. Opiera się on na kryptografii klucza publicznego, ale idzie o krok dalej. Skupia się przede wszystkim na składniku uwierzytelniania, jakim jest coś, co użytkownik ma. W tym przypadku jest to klucz fizyczny, którego posiadanie jest niezbędne do tego, by dokończyć proces uwierzytelniania w serwisie czy usłudze. Urządzenie uwierzytelniające (czyli klucz sprzętowy) tworzy podczas rejestracji do usługi parę kluczy. Klucz publiczny jest wysyłany do witryny, zapisywany i jednoznacznie powiązywany z konkretnym użytkownikiem. Klucz prywatny jest natomiast kasowany i później tworzony na nowo przy każdym logowaniu.

U2F jest odporny na phishing. Przy każdej rejestracji do usługi tworzona jest nowa para kluczy, bowiem klucze te zawierają w sobie nazwę domeny. Zatem w przypadku próby logowania do fałszywej, podstawionej strony, nazwa domeny nie będzie się zgadzać, uwierzytelnianie więc również się nie powiedzie.

Passkeys – droga do uwierzytelniania bez hasła i nazwy użytkownika

Passkeys funkcjonują na bardzo podobnej zasadzie. Też opierają się na kluczach prywatnym i publicznym. Mają w sobie jednak dwa nowe elementy.

Pierwszy – to Credential ID. Jest to dana wymieniana między witryną a uwierzytelniaczem (czyli smartfonem, komputerem lub kluczem sprzętowym). Klucz prywatny, który jest tworzony podczas rejestracji, jest zapisywany razem z przypisanym do niego Credential ID i tworzy unikalną parę. W momencie uwierzytelniania na stronie przy pomocy passkeys urządzenie uwierzytelniające wysyła do witryny właśnie Credential ID. Jeżeli witryna ma takie ID w swojej bazie, wie, którego zestawu klucza publicznego użyć. Użytkownik nie musi więc wpisywać loginu i hasła, jest bowiem identyfikowany przez to ID.

Drugi – to zapisywanie klucza prywatnego na urządzeniu uwierzytelniającym. Dzięki temu za uwierzytelniacz w procesie uwierzytelniania może służyć wiele różnych urządzeń. Co więcej, uwierzytelniacze mogą być też software’owe. KeePass wprowadził już obsługę passkeys. Popularne menedżery haseł, takie jak Bitwarden czy 1Password, obsługują tę technologię. Klucz prywatny można zapisać też w chmurze, np. w iCloud.

Co to daje? Dzięki temu, że uwierzytelniacze mogą być w chmurze, możliwa jest także synchronizacja między różnymi urządzeniami. Ważne natomiast jest to, że kluczy – choć zapisane są jako zaszyfrowywany ciąg znaków – nie można wytransferować poza uwierzytelniacz i tym samym dzielić się nimi z innymi osobami. FIDO nie opracowało bowiem jeszcze standardów takiego działania.

Passkeys to nie logowanie się za pomocą biometrii

Choć passkeys są nowością, wokół nich zdążyło już narosnąć wiele mitów. Dziś chciałbym rozprawić się z trzema najpopularniejszymi.

MIT 1. Passkeys to to samo co biometria

Passkeys nie jest sposobem logowania opartym na biometrii. Biometria służy tylko i wyłącznie do odblokowania klucza prywatnego i dopiero ten klucz uwierzytelnia użytkownika. Sam PIN czy odcisk palca nie są przekazywane do serwisu. Nie chodzi tu zatem o zastąpienie haseł biometrią.

MIT 2. Passwordless jest krokiem wstecz

W passwordless nie chodzi o zredukowanie liczby składników uwierzytelniania i tym samym obniżenie poziomu bezpieczeństwa. Passwordless w wariancie FIDO spełnia wszystkie kryteria MFA. Składa się z tego, co użytkownik ma, i jest to uwierzytelniacz, czegoś, co wie (jeśli zdecydował się na odblokowanie urządzenia PIN-em), lub czegoś, czym jest (jeśli odblokowuje urządzenie, korzystając z biometrii).

Dodatkowo w przypadku FIDO i uwierzytelniania za pomocą passkeys MFA traci trochę na znaczeniu. Sam fakt korzystania z kryptografii klucza publicznego podnosi bezpieczeństwo o kilka poziomów w porównaniu z hasłami.

MIT 3. Kryptografia klucza publicznego i prywatnego oraz infrastruktura PKI są tym samym

Nie, nie są tym samym. W infrastrukturze PKI klucz prywatny jest generowany tylko raz, centralnie. Nie jest zatem w żaden sposób powiązany z domeną, do której użytkownik się loguje. A to oznacza, że nie jest odporny na phishing. W passkeys klucze są generowane dla każdej domeny, a zatem nie ucierpią w ataku phisingowym, w którym wykorzystana jest sfałszowana domena.

Czy to jest bezpieczne?

Tak, passkeys są bezpieczne. Przede wszystkim są odporne na phishing. Dodatkowo dzięki wykorzystaniu kryptografii asymetrycznej oraz Credential ID eliminują konieczność stosowania łatwych do przejęcia loginów i haseł.

Mam jednak świadomość, że niektóre elementy takiego sposobu uwierzytelniania mogą rodzić pytania. Na przykład – skoro w przeciwieństwie do FIDO, w którym klucze są regenerowane (tworzone przy każdym logowaniu od nowa), w passkeys klucze prywatne są zapisywane na urządzeniu – to czy można je wykraść? Nie można. Passkeys nie da się wytransferować. Nawet gdy ktoś wyeksportuje bazy danych KeePass, w tej bazie będą tylko hasła, ale nie passkeys.

A czy jeśli ktoś ma dostęp do urządzenia użytkownika, ma również dostęp do jego passkeys? Nie da się ukryć, to prawda. Dlatego tak ważne jest to, by nie udostępniać nikomu odblokowanego smartfona czy komputera. I to niezależnie od tego, jakiej metody uwierzytelniania się na co dzień używa.

Warto zwrócić uwagę na to, że korzystanie z passkeys opiera się na czynnościach, które użytkownicy wykonują każdego dnia, np. pokazanie twarzy, dotknięcie czytnika linii papilarnych czy wpisanie PIN-u. Passkeys nie zmienia więc sposobu użytkowania komputerów i serwisów. Nie wprowadza nic, czego użytkownik nie zna. To nie tylko bezpieczna, ale i wygodna forma potwierdzania swojej tożsamości.

Czy passkeys zastąpią hasła?

Szczerze mówiąc – bardzo bym chciał. Całkowita eliminacja podatnych na przejęcie haseł przyniosłaby bowiem same korzyści. Niemniej hasła wciąż są dla użytkowników znanym i prostym narzędziem, do którego są przyzwyczajeni. Dopóki passkeys nie staną się tak naturalne i rozpowszechnione jak hasła, te ostatnie na pewno nie znikną.

Warto jednak pamiętać, że coraz więcej firm wprowadza do swoich usług passkeys. W 2022 r. Apple, Google i Microsoft zintegrowały technologię passkeys ze swoimi ekosystemami. Co więcej, giganci technologiczni zapowiedzieli, że passkeys stanie się podstawową metodą uwierzytelniania użytkowników w ich serwisach. W ich ślad poszły inne organizacje, albo wprowadzając, albo zapowiadając wprowadzenie passkeys. Są wśród nich między innymi PayPal czy X (dawniej Twitter).

Co więcej, zewnętrzni dostawcy rozwiązań do zarządzania hasłami (oferujący między innymi menedżery haseł), tacy jak 1Password i Bitwarden, również dołączyli do tego ruchu, wdrażając obsługę zarządzania danymi uwierzytelniającymi passkeys. Poszerza to zasięg passkeys i sprawia, że ta metoda uwierzytelniania staje się dostępna dla szerszej grupy użytkowników, co podnosi bezpieczeństwo online.

Skąd czerpać wiedzę o passkeys?

Passkeys to nowa technologia, nic więc dziwnego, że nie ma wielu wiarygodnych źródeł, z których można czerpać informacje na jej temat. Każdy, kto chciałby zgłębić to zagadnienie, może jednak wejść na stronę FIDO Alliance. Polecam też e-book, który przygotowaliśmy na temat passkeys w Secfense. Można go znaleźć na naszej stronie. Wyjaśnia, czym są passkeys, jak działają i jak sprawnie wdrożyć je w organizacjach, by zwiększyć bezpieczeństwo systemów i aplikacji – i wewnętrznych, i tych udostępnianych klientom oraz kontrahentom.

Serdecznie zapraszam też do udziału w spotkaniach online ze mną w ramach Open Tech Hour with Secfense – na pewno będę niejednokrotnie poruszać temat passkeys i odpowiadać na pytania uczestników.

Oceń artykuł

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa