Google ułatwi korzystanie z passkeys. Początek końca haseł?

Dotychczas obsługa passkeys była wbudowana wyłącznie w Google Password Manager na Androidzie.

Żegnajcie hasła. Czas na passkeys

Historia problemów z hasłami w systemach komputerowych jest praktycznie tak długa jak historia ich stosowania. Kiedyś hasła były zapisywane w postaci niezaszyfrowanej i był to bardzo zły pomysł. Każdy, kto włamał się do systemu komputerowego mógł poznać hasła wszystkich korzystających z niego użytkowników.

By temu zaradzić, wprowadzono funkcje haszujące – funkcje kodujące dane hasło do ciągu znaków o stałej długości. Funkcje tak skostruowane, by (praktycznie) niemożliwe było odtworzenie hasła z jego zaszyfrowanej postaci. Pojawił się jednak problem – użytkownicy lubili hasła w postaci '123456′ czy „qwerty”. Hakerzy tworzyli sobie 'słowniczki’ kodów dla najpopularniejszych haseł i jeśli zdobyli plik zaszyfrowanych haseł, to łatwo im było zidentyfikować takie proste i popularne hasła.

By temu z kolei zapobiec, administratorzy zaczęli żądać od użytkowników skomplikowanych haseł z literami dużymi i małymi, cyframi i znakami specjalnymi. Innymi słowy – haseł trudnych do zapamiętania. Do tego wymagali od użytkowników zmiany hasła co 3 miesiące. Efekt? Tysiące, może miliony haseł przyklejonych do monitorów i klawiatur w biurach na całym świecie. Raj dla hakerów.

Temu mają zaradzić passkeys, czyli cyfrowe klucze dostępowe. Użytkownik nie wprowadza żadnego hasła. Wszystko oparte jest na dwóch kluczach kryptograficznych. Oto jak to działa:

• Podczas rejestracji, urządzenie użytkownika generuje parę kluczy: prywatny i publiczny.
• Klucz prywatny pozostaje na urządzeniu użytkownika, a publiczny jest wysyłany do serwera usługi.
• Przy logowaniu, serwer wysyła wiadomość, która jest podpisywana kluczem prywatnym na urządzeniu użytkownika.
• Serwer weryfikuje podpis za pomocą klucza publicznego, potwierdzając tożsamość użytkownika.

Zalety? Nie ma wycieków haseł i jest to metoda odporna na ataki phishingowe.

Mimo tych zalet, passkeys ciągle nie są w stanie wyprzeć haseł. W dużej mierze przez inercję serwisów internetowych. Według organizacji FIDO Alliance, która promuje tę technologię, passkeys wspierane są przez zaledwie 20% ze 100 najpopularniejszych serwisów internetowych na świecie. I to mimo, że według badań Google z 2023 roku, 64% użytkowników twierdziło, że passkeys są łatwiejsze w użyciu od tradycyjnych haseł czy uwierzytelniania dwuetapowego.

Jakie są najnowsze trendy w cyberbezpieczeństwie? Pisała o tym Sylwia Błach w swojej relacji z Insecon 2024.

Jak korzystanie z passkeys działa na Chrome

Podstawową cechą passkeys jest to, że nasz klucz prywatny musi się znajdować na urządzeniu, do którego mamy dostęp.

Dotąd mieliśmy taki dostęp tylko przez Google Password Managera na naszym telefonie – to znaczy jeśli akurat mamy telefon z Androidem. Nawet jeśli mamy telefon z tym systemem, to co się stanie, jeśli nasz telefon się popsuje? Dostęp do banku przez passkey? Nie wyślesz przelewu. Pracodawca wprowadził passkeys – żegnaj zdalna praco. Facebook wprowadził passkeys – FOMA do sześcianu.

Na pewno lekarstwem na te bolączki będzie wprowadzenie passkeys do Google Chrome. To przeglądarka, którą pewnie masz na swoim komputerze, nawet jeśli (jak ja) nie używasz jej na co dzień. Trudno, najwyżej z serwisów z passkey skorzystasz, używając nieulubionej przeglądarki.

Teraz, jeśli będziecie się logować do serwisu obsługujący passkeys, to Chrome po prostu zapyta o 6-cyfrowy PIN zabezpieczający menedżera haseł w przeglądarce. Żeby nikt się za Was nie zalogował, jeśli nieprzezornie odeszliście od komputera nie blokując go uprzednio.