Passkey: zabijí hesla a phishing jedním tahem

Nový způsob přihlašování bez hesla bude pohodlný a zruší phishing.

12. 5. 2022

V posledních několika letech se hojně mluví o vícefaktorové autentizaci (MFA), velkým omezením ale v současnosti je, že ověřování bez hesla je u každého poskytovatele služeb zaváděno jinak. Někteří poskytovatelé stále zasílají jednorázová hesla prostřednictvím SMS nebo e-mailu. To však stále nejsou bezpečné kanály pro přenos citlivých informací, vzhledem k tomu, že je možné na ně použít phishing, stejně jako na běžná hesla.

Nyní se poprvé v reálném čase mluví o funkční formě autentizace bez hesla ve formě standardu přijatého společnostmi Apple, Google a Microsoft, který umožňuje přístupové klíče pro různé platformy a služby.

O co jde?

Nové řešení zvané Passkey je vyvíjeno v rámci FIDO Alliance a má umožnit jednoduché, a hlavně jednotné přihlašování pomocí mobilního telefonu. V něm budete mít uložen jediný token, kterým se budete moci přihlásit k libovolné službě. Za standardem stojí společná snaha mnoha firem jako Intel, Qualcomm, Meta, ING, MasterCard, American Express, Bank of America či Yubico.

Jak to funguje?

Program, který Apple, Google a Microsoft zavádějí, konečně nějakým významným způsobem zorganizuje současný chaos ve službách MFA. Jakmile bude plně implementován, bude vám stačit k přihlašování pouze mobilní telefon. K určité službě na jakémkoli zařízení se přihlásíte přes snímání obličeje nebo otisk prstu na telefonu, a to bez zadávání hesla nebo opisování kódů.

Pro použití Passkey nebude potřeba žádná speciální aplikace. Půjde o jednotné řešení, ať už budete mít v telefonu Android, iOS nebo jiný operační systém, bude schopen vám zajistit služby pro přihlašování a přenos autentizačních informací mezi zařízeními.

Je to bezpečné?

Aby byl přihlašovací proces odolný proti phishingu, musí být zařízení s tokenem v blízkosti počítače přihlašujícího se ke službě. Komunikace obou stran přitom proběhne mimo síť pomocí Bluetooth.

Takže i kdyby se vzdálený útočník pokoušel přihlásit, majitelé účtů nebudou moci použít své přístupové údaje k ověření transakce. Vzhledem k tomu, že telefon nebo jiné ověřovací zařízení musí být fyzicky blízko k počítači uživatele, než se na něm zobrazí dialogové okno „Chcete se přihlásit“, útočník tak nemůže v jiném městě, státě nebo zemi zahájit přihlášení.

Ač to pro mnohé zní jako to nejlepší, dostatečně bezpečené řešení pro nahrazení hesel, objevují se i kritici kvůli závislosti na telefonu při každém přihlašování. Passkey však řeší i situace jako ztráta, krádež nebo výměna současného telefonu. Přihlašovací údaje mohou být uloženy online, aby byly v těchto případech k dispozici. Přihlašovací token bude pak možné synchronizovat mezi zařízeními a obnovit jej. Ke stažení přihlašovacích údajů se tak použije již ověřené zařízení, aniž by bylo vyžadováno heslo.

Kdy se dočkáme?

Společnosti Google, Microsoft a Apple, které mají zájem nový standard FIDO Alliance nasadit pro své uživatele se dohodly, že s nasazováním začnou na konci letošního roku nebo na začátku toho příštího. Jakmile bude podpora zapnutá, uživatelé už budou moci ve svých zařízeních Passkey aktivovat, potřebovat k tomu budou jen softwarovou podporu a aktivované rozhraní Bluetooth.

Zdroje

VISITECH a.s. 2021 © Všechna práva vyhrazena

Vectors by Vecteezy & Freepik.