Partnerem strategicznym Homodigital.pl jest
16 października 2024

Passkeys w Twojej organizacji? Będzie łatwiej dzięki FIDO

Zastąpienie haseł przez passkeys w Twojej organizacji byłoby prawdopodobnie bardzo dobrym pomysłem. Jeśli oczywiście firma czy uczelnia jeszcze tego nie zrobiły. Teraz będzie łatwiej: FIDO, organizacja branżowa zajmująca się promocją passkeys, udostępniła nowe zasoby firmom i instytucjom, które chciałyby zastosować tę technologię.

Czym są passkeys? Rozbijmy nazwę na dwie części: „pass” – czyli przejście lub dostęp i „key” – czyli klucz. A konkretnie klucz kryptograficzny. Jak to działa?

  • Podczas rejestracji, urządzenie użytkownika generuje parę kluczy kryptograficznych: prywatny i publiczny.
  • Klucz prywatny pozostaje na urządzeniu użytkownika, a publiczny jest wysyłany do serwera usługi.
  • Przy logowaniu, serwer wysyła wiadomość, która jest podpisywana kluczem prywatnym na urządzeniu użytkownika.
  • Serwer weryfikuje podpis za pomocą klucza publicznego, potwierdzając tożsamość użytkownika.

Jaka jest zaleta passkeys w stosunku do haseł? Po pierwsze nie narażamy się na beztroskę administratorów. Jeszcze kilka lat temu Facebookowi zdarzyło się przechowywać hasła użytkowników w zwykłych, niezaszyfrowanych plikach tekstowych.

Po drugie, passkey jest o wiele trudniejszy do złamania. W przypadku haseł, nawet przy zaszyfrowanym połączeniu, przesyłamy taki sam ciąg znaków za każdym razem, gdy się logujemy. W przypadku passkeys, gdy serwer wysyła nam wiadomość (krok trzeci na powyższej liście), to jest to za każdym razem inna wiadomość, więc i odpowiedź naszego klucza prywatnego jest za każdym razem odmienna. To zdecydowanie utrudnia ataki typu man-in-the-middle (np. przez administratorów publicznego Wi-Fi, do którego się nieopatrznie podłączymy).

Passkeys w Twojej organizacji? FIDO wyjaśni ,jak to zrobić

By ułatwić implementację passkeys w organizacjach, zwłaszcza mniejszych, organizacja FIDO („Fast IDentity Online”) udostępniła serwis internetowy Passkey Central. Znajdziemy tam zarówno szczegółowe wyjaśnienia, czym są passkeys i jakie są ich rodzaje, jak i przewodniki po tym, jak zaimplementować tę technologię w swojej organizacji.

Ponadto strona ta zawiera wskazówki co do projektowania systemów uwierzytelniania a nawet zestawy elementów interfejsu użytkownika (UI), których można za darmo użyć przy wprowadzaniu passkeys do swojej organizacji.

Jak pisaliśmy niedawno, Google wprowadził synchronizację passkeys w przeglądarce Chrome. Teraz nasi administratorzy mają zasoby do budowania systemu passkeys. Jest coraz mniej wymówek, by pozostawać przy starych (nie)dobrych hasłach.

Źródło grafiki: FIDO

Home Strona główna Subiektywnie o finansach
Skip to content email-icon