Konec hesel? Co jsou passkeys a jaké jsou jejich výhody?

Je pravděpodobné, že mnozí z nás už mají hesel dost. Ve světě, kde musíme spravovat přístupy k desítkám online účtů, se zdá, že hesla již nejsou tím nejlepším způsobem. Mnozí z nás opakovaně používají stejné a snadno zapamatovatelné heslo napříč všemi aplikacemi a webovými stránkami nebo se dopouští dalších chyb souvisejících s hesly, což usnadňuje kyberútočníkům uhodnout nebo odcizit naše přihlašovací údaje. A jakmile je prolomeno jedno heslo, může se zhroutit celý náš digitální svět.

Je vlastně pozoruhodné, že hesla vydržela tak dlouho, přičemž důvodem je do značné míry nedostatek skutečných alternativ. To se však možná změní s příchodem passkeys. Společnost Google nedávno oznámila podporu této nové technologie na osobních i pracovních účtech (podobně jako Apple a Microsoft), takže by nová éra přihlašování bez hesla mohla být za rohem.

Předchozí pokusy o vylepšení přihlašování pomocí hesel a jejich zabezpečení měly jen částečný úspěch. Dvoufázové ověřování (2FA) sice výrazně pomáhá zvýšit bezpečnost hesel, ale jeho používání zatím není zdaleka běžné, protože někteří lidé považují dvoufázový proces za těžkopádný. A jednorázové kódy zasílané uživatelům prostřednictvím textových zpráv, což je zdaleka nejčastěji používaná varianta 2FA, mohou být stále zachyceny útočníky.

Správci hesel zase odvádějí skvělou práci při generování, ukládání a vyvolávání dlouhého, složitého a jedinečného hesla pro každý jednotlivý účet. Nemusí však vždy pokrývat všechna vaše zařízení, operační systémy a webové prohlížeče a mohou představovat hlavní bod selhání, pokud zapomenete své hlavní heslo. V některých případech také ještě pokulhává uživatelská přívětivost správců hesel.

Zkuste ve vaší společnosti používat passkeys – průmyslový standard, který, jak si giganti v tech odvětví přejí, jednoho dne nahradí hesla, 2FA a nutnost správy hesel, jak ji dnes známe.

Jak passkeys fungují?

Passkeys nebo také přístupové klíče využívají sílu kryptografie veřejného klíče. Passkey se skládá z dvojice kryptografických klíčů – soukromého a odpovídajícího veřejného – které jsou vygenerovány za účelem zabezpečení vašeho účtu na webu, aplikaci nebo jiné online službě.

Soukromý klíč je uložen ve vašem zařízení jako dlouhý řetězec zašifrovaných znaků, zatímco veřejný klíč je nahrán na servery odpovídající online služby, například do Google účtu nebo do iCloud Klíčenky (systému správy hesel od Applu).

Pokud jste ke svému Google účtu přihlášeni ze smartphonu, Google vám již passkeys vygeneroval automaticky.

Při pokusu o přihlášení pak budete vyzváni k ověření pomocí PIN kódu, otisku prstu nebo jiného mechanismu, který zpravidla používáte k zamknutí obrazovky zařízení. Není třeba zadávat ani si pamatovat žádná hesla, což okamžitě zvyšuje bezpečnost procesu a usnadňuje jeho používání.

Při přihlášení potom server odešle vašemu zařízení kryptografickou hádanku a požádá soukromý klíč o její vyřešení a předání zpět na server. Tato odpověď slouží k ověření, zda se dvojice veřejného a soukromého klíče shodují, protože oba jsou nutné k vašemu ověření.

Biometrické údaje v žádném okamžiku neopouštějí zařízení a server se nikdy nedozví, jaký je váš soukromý klíč. Ostatně ani vy sami soukromý klíč nikdy neuvidíte – všechna "kouzla" se odehrávají na pozadí a s téměř nulovým úsilím z vaší strany.

Jaké jsou výhody passkeys?

Mohly by tedy passkeys nabídnout „svatý grál“ v podobě snadného používání a silnějšího zabezpečení? Zde jsou popsány některé z výhod, které mohou výrazně zvýšit bezpečnost uživatelských účtů ve vaší firmě:

• Odolají phishingu a sociálnímu inženýrství: Passkeys překonávají problém, kdy lidé omylem sdělí své přihlašovací údaje kyberzločincům tím, že je zadají na falešné webové stránky. Místo toho jste vyzváni, abyste pomocí svého zařízení prokázali, že jste skutečným vlastníkem účtu.
• Předchází následkům narušení bezpečnosti třetích stran: Pokud dojde k narušení webových stránek nebo poskytovatele aplikací, mohou být odcizeny pouze veřejné klíče – váš soukromý klíč není nikdy sdílen s online službou a není možné jej zjistit z veřejného klíče. Sám o sobě je tedy veřejný klíč pro útočníka nepoužitelný. Srovnejte to se současným systémem, kdy hackeři mohou ukrást velké množství kombinací uživatelského jména a hesla připravených k použití.
• Vylučují útoky hrubou silou: Passkeys se spoléhají na kryptografii veřejného klíče, což znamená, že útočníci je nemohou uhodnout ani použít brute-force techniky k prolomení účtů.
• Neumožňují útočníkům zachytit 2FA: V případě přístupových klíčů neexistuje druhý faktor, takže uživatelé nejsou ohroženi útočnými technikami určenými k zachycení kódů SMS a podobně. Samotný passkey si totiž představte jako složený z více ověřovacích faktorů. Passkeys jsou ve skutečnosti dostatečně silné na to, aby nahradily i nejbezpečnější variantu 2FA – hardwarové bezpečnostní klíče.
• Jsou postaveny na průmyslových standardech: Passkeys jsou založeny na standardech FIDO Alliance a pracovní skupiny W3C WebAuthn, což znamená, že by měly fungovat ve všech zúčastněných operačních systémech, prohlížečích, webových stránkách, aplikacích a mobilních ekosystémech. Technologii podporují společnosti jako Apple, Google a Microsoft, stejně jako významné společnosti pro správu hesel, jako jsou (nebo brzy budou) 1Password a Dashlane, a platformy jako WordPress, PayPal, eBay a Shopify.
• Jdou snadno obnovit: Passkeys můžete ukládat do cloudu a v případě ztráty je obnovit na novém zařízení.
• Není třeba si nic pamatovat: Pro uživatele již není nutné vytvářet, pamatovat si a chránit velké množství hesel.
• Fungují napříč zařízeními: Jednou vytvořený přístupový klíč lze použít na nových zařízeních, aniž by bylo nutné jej pokaždé znovu registrovat jako při běžném biometrickém ověřování.

Proč passkeys ve vaší společnosti (zatím) nepoužívat?

Jakým hlavním překážkám můžete čelit na cestě k přechodu od hesel k passkeys? Alespoň prozatím jde o překážky v plošném přijetí passkeys a způsob jejich synchronizace.

• Passkeys se synchronizují pouze se zařízeními se stejným operačním systémem: Passkeys se synchronizují podle platformy operačního systému. To znamená, že pokud máte zařízení se systémem iOS, ale používáte například i systém Windows, mohlo by vás používání passkeys frustrovat. Aby vaše passkeys fungovaly na zařízeních s různými operačními systémy, museli byste skenovat QR kódy a zapnout Bluetooth. To je ve skutečnosti méně uživatelsky přívětivé než současné používání hesel.
• Přijetí není zdaleka celoplošné: Přestože některé velké firmy již passkeys používají, je na ně ještě brzy. Kromě velkých platforem bude také nějakou dobu trvat, než dosáhneme kritického množství webových stránek a aplikací, které je podporují. Jestli vaše oblíbené platformy tuto technologii podporují, zjistíte tady.

Mohl by tohle být začátek konce hesel? Passkeys jsou zatím nejsilnějším hráčem ve hře. Aby však získaly téměř univerzální přijetí mezi uživateli, budou muset výrobci technologií možná ještě usnadnit jejich používání napříč různými ekosystémy operačních systémů.

Pokud chcete passkeys vyzkoušet, stačí vám k tomu jen velmi málo – začít můžete v nabídce nastavení svého Google, Apple nebo Microsoft účtu.