Každý z nás vlastní online účty – obvykle několik e-mailů, profily na sociálních sítích, streamovacích platformách, přístupy k různým e-shopům a online službám… Podle odhadů by v letošním roce mohl mít průměrný uživatel až 200 online účtů. Většina z nich umožňuje přihlášení prostřednictvím zadání uživatelského jména a hesla. Pochopitelně není v lidských silách si zapamatovat 200 unikátních loginů, natož kdyby měl člověk zachovávat všechna pravidla pro tvorbu „bezpečných“ hesel. Takže to obvykle končí tak, že uživatel zvolí jedno heslo, které si zapamatuje, a to používá napříč svými účty. Tato praktika je ale extrémně nebezpečná. Představte si situaci, kdy dojde k úniku dat u provozovatele služby, na kterou jste už dávno zapomněli, zapomněl na ni i její provozovatel, proto nezabezpečil databázi a uchovával kombinace hesel a uživatelských jmen společně s e-maily uživatelů v plaintextu. Vaše přihlašovací údaje jsou tak kompromitovány a kybernetičtí zločinci mají k dispozici nástroje, díky kterým si rychle prozkouší, u kterých vašich online účtů bude heslo pasovat.
Ti osvícenější provozovatelé online služeb nabízejí multi-faktorovou autentizaci čili umožňují uživateli chránit přístup k účtu pomocí další vrstvy zabezpečení. Může jít o potvrzení pomocí SMS kódu, potvrzení v aplikaci, kódem z e-mailu a podobně. Pro některé uživatele je ale tento způsob zbytečná překážka a nevyužívají tuto metodu, pokud ji provozovatel nevynucuje.
Přestože se už dlouho mluví o nedostatečné bezpečnosti tradičního přihlašování, neustále se omílají zásady tvorby bezpečných hesel, mluví se o potřebě multi-faktorového ověřování, uživatelé jsou stále rezistentní a kybernetičtí zločinci toho čím dál tím více využívají. Řešením by se mohla stát technologie Passkey, která si klade za cíl omezit používání tradičních hesel, aby účty byly bezpečnější a méně náchylné k útokům.
Co je Passkey?
Passkey označuje bezpečnostní funkci, která sama o sobě není žádnou novinkou, a dost se podobá dvoufaktorovému ověřování. Passkey je také známý jako pověření FIDO pro více zařízení. Při jeho použití se při přihlašování k webu odešle na chytrý telefon uživatele oznámení, které mu umožní ověřit svou totožnost pomocí biometrických údajů nebo PIN kódu, čímž se eliminuje potřeba zadávat heslo.
Poté, co uživatel použije svůj telefon k přihlášení do platformy, zůstane přihlášen ke svému účtu, což znamená, že nebudete potřebovat telefon po ruce pokaždé, když budete chtít přistoupit na nový web nebo platformu.
Passkey je univerzální technologie, a proto by měla fungovat bez ohledu na platformu operačního systému nebo prohlížeče, což ji zpřístupní většímu počtu uživatelů. Vývojáři webových stránek a aplikací budou muset tuto technologii implementovat, než ji budou moci uživatelé začít používat, ale společnosti Apple, Google a Microsoft již potvrdily, že přihlašování pomocí FIDO začnou usnadňovat v průběhu příštího roku.
Jak Passkey funguje?
Na rozdíl od standardního dvoufaktorového ověřování používá Passkey místo Wi-Fi technologii Bluetooth. Bluetooth se používá, protože vyžaduje těsnou fyzickou blízkost, která pomůže ověřit, že se o přihlášení pokouší právě uživatel.
To také znamená, že notebook/telefon uživatele bude k použití Passkey potřebovat Bluetooth. Pro většinu současných zařízení to nebude problém, ale pro každého, kdo používá starší stolní počítač, to může být komplikace.
Po registraci a propojení s různými účty bude prostřednictvím Bluetooth zasláno push oznámení do chytrého telefonu uživatele. Po odemknutí telefonu, ať už pomocí PIN kódu, nebo biometrických údajů, zařízení následně vytvoří a odešle jedinečný veřejný klíč příslušné webové službě spojené s konkrétním účtem. Pokud dojde ke shodě, proběhne přihlášení k účtu.
Důležité je, že biometrické údaje uživatele nikdy neopustí jeho smartphone, takže není třeba se obávat, že by se k osobním údajům dostaly služby třetích stran.
Je Passkey bezpečnější?
Passkey by teoreticky měl být bezpečnější než hesla, protože útočníci budou potřebovat přístup k telefonu oběti a k jeho odemknutí buď PIN, nebo otisk prstu uživatele (případně celý obličej). Budou také muset být v těsné blízkosti telefonu i zařízení, do kterého se chtějí přihlásit, protože, jak již bylo řečeno Passkey používá Bluetooth.
Passkeys mohou být také zálohovány velkou platformou, například Apple nebo Google, což usnadní přenesení přihlašovacích údajů do nového zařízení a usnadní synchronizaci Passkeys v telefonu, tabletu a notebooku.
Je Passkey již k dispozici?
Některé společnosti již Passkey využívají; Apple má systém spuštěný v iOS 15 a macOS Monterey, ale zatím jej nelze používat na více platformách.
Někteří lidé si všimli podpory Passkey od společnosti Google v Google Play v systému Android, ale společnost se nevyjádřila k tomu, kdy bude připravena pro starší zařízení.