Hasła przez długi czas stanowiły podstawową linię obrony dla naszych kont internetowych. Jednak czy zastanawialiśmy się kiedyś nad ich rzeczywistym poziomem bezpieczeństwa?
Często nasze hasła składają się z kombinacji imion naszych zwierząt, ważnych dat, istotnych wydarzeń czy imion bliskich. Te informacje, często dostępne w mediach społecznościowych, mogą być stosunkowo łatwo wykorzystane przez osoby o złych intencjach.
Dodatkowo, konieczność posiadania wielu, unikalnych haseł do różnych serwisów, aby ograniczyć potencjalne skutki ewentualnych wycieków, znacząco utrudnia proces ich zapamiętywania i zarządzania.
Źródło grafiki: blog.google
W nawiązaniu do wpisu na blogu Google, możemy mówić o „początku końca haseł”. Już od pewnego czasu prowadzone są intensywne rozmowy i działania mające na celu zastąpienie tradycyjnych haseł. Liderami tego trendu są giganci technologiczni, tacy jak Google, Apple i Microsoft, którzy dążą do wycofania tej przestarzałej metody i wprowadzenia bezpieczniejszych kluczy dostępu.
W tym artykule wyjaśnimy, czym są klucze dostępu, jakie są ich zalety oraz przedstawimy krok po kroku, jak skonfigurować klucz dostępu na koncie Google.
Czym są klucze dostępu?
Klucze dostępu stanowią nowy, znacznie bezpieczniejszy od tradycyjnych haseł, sposób uwierzytelniania. Eliminują one potrzebę wpisywania haseł i nazw użytkownika, co oznacza odejście od podatnej na ataki, phishing i wycieki danych metody identyfikacji. Zamiast tego, wykorzystują one nowoczesne i bezpieczniejsze mechanizmy.
W odróżnieniu od klasycznych haseł, klucze dostępu pozwalają nam zapomnieć o zapamiętywaniu skomplikowanych ciągów znaków. Opierają się one na kodach PIN, gestach, czytnikach biometrycznych (odciski palców, rozpoznawanie twarzy), które służą do weryfikacji naszej tożsamości przed uzyskaniem dostępu do konta. Naturalnie, aby skorzystać z tej technologii, konieczne jest posiadanie urządzenia, które ją wspiera.
Mimo licznych zaleceń ekspertów dotyczących stosowania silnych haseł i tworzenia unikalnych kombinacji dla każdego konta, wciąż wielu użytkowników używa słabych lub powtarzających się haseł. To z kolei zwiększa ich podatność na ataki.
W odpowiedzi na te problemy, konsorcjum World Wide Web Consortium (W3C) oraz FIDO Alliance, organizacja działająca na rzecz ograniczenia zależności od haseł, opracowały standard kluczy dostępu.
Klucze dostępu powstały jako odpowiedź na liczne słabości istniejącej technologii haseł. Z tego powodu upowszechniło się uwierzytelnianie dwuskładnikowe (2FA), które stanowi dodatkową warstwę zabezpieczeń, jak również menedżery haseł, pomagające zarządzać wieloma hasłami na różnych kontach.
Jak działają klucze dostępu?
Klucze dostępu wykorzystują interfejs API WebAuthn do uwierzytelniania. WebAuthn opiera się na kryptografii klucza publicznego, która wykorzystuje pary kluczy – publiczny i prywatny – w celu potwierdzenia, że użytkownik jest prawowitym właścicielem konta.
Tradycyjne hasła są mniej bezpieczne, ponieważ osoba, która pozna nasze hasło, może uzyskać dostęp do konta z dowolnego miejsca. Klucze dostępu, z kolei, wykorzystują rygorystyczne metody, aby upewnić się, że dostęp uzyskuje faktyczny właściciel konta.
Klucz dostępu składa się z dwóch elementów: klucza publicznego i klucza prywatnego. Oba są niezbędne i działają jak elementy układanki, które wspólnie odblokowują dostęp do konta. Klucz publiczny jest przechowywany w witrynie lub aplikacji, dla której tworzymy klucz, natomiast klucz prywatny, jak sama nazwa wskazuje, jest przechowywany w bezpieczny sposób, dostępny jedynie z urządzenia, za pomocą którego został wygenerowany.
Klucz prywatny nie jest dostępny i nie jest przechowywany na platformach chmurowych, co znacznie utrudnia jego przechwycenie i podnosi bezpieczeństwo klucza. Przykładem może być próba logowania się na konto Google za pomocą klucza dostępu.
Warto pamiętać, że klucz składa się z dwóch elementów. Google wysyła zaszyfrowane żądanie do urządzenia, na którym zarejestrowano klucz. Google dysponuje już kluczem publicznym.
Po otrzymaniu zaszyfrowanego żądania, użytkownik musi odblokować urządzenie za pomocą kodu PIN, gestu lub rozpoznawania twarzy, co z kolei inicjuje podpisanie żądania kluczem prywatnym. Podpisane żądanie jest następnie przesyłane z powrotem do Google.
Google weryfikuje żądanie za pomocą kopii klucza publicznego. Jeśli oba klucze pasują, zaszyfrowane żądanie jest odszyfrowywane, a Google wie, że to na pewno Ty. W efekcie, działanie klucza dostępu przypomina uwierzytelnianie dwuskładnikowe, ale jest bardziej zaawansowane.
Dlaczego klucze dostępu są lepsze?
Lepsze i bezpieczniejsze niż hasła
Klucze dostępu wykorzystują kryptografię klucza publicznego, co zapewnia bardziej bezpieczną metodę uwierzytelniania. Są bardziej odporne na phishing oraz inne formy ataków w porównaniu z hasłami. Klucz prywatny nigdy nie jest przechowywany w chmurze, dzięki czemu tylko uprawniony użytkownik ma dostęp do swojego konta.
Wygoda użytkowania
W przeciwieństwie do haseł, które wymagają zapamiętania skomplikowanych kombinacji znaków, klucze dostępu korzystają z czytników biometrycznych, które weryfikują tożsamość użytkownika. Dzięki temu nie musimy zapamiętywać skomplikowanych haseł.
Brak możliwości wycieku
Chociaż do weryfikacji tożsamości wymagany jest zarówno klucz publiczny, jak i prywatny, i wiemy, że klucz publiczny jest przechowywany w chmurze, to w przypadku ewentualnego naruszenia bezpieczeństwa klucza publicznego, nie można na jego podstawie odtworzyć klucza prywatnego, co skutecznie chroni nasze konto przed nieautoryzowanym dostępem.
Lepsze wrażenia użytkownika
Jak już wspomniano, klucze dostępu eliminują potrzebę zapamiętywania haseł, a tym samym ryzyko utraty dostępu do konta, co sprawia, że proces uwierzytelniania staje się prostszy i bardziej intuicyjny.
Konfiguracja klucza dostępu na koncie Google
Google ogłosił wprowadzenie kluczy dostępu podczas Światowego Dnia Hasła w 2022 roku. Obecnie użytkownicy mają możliwość włączenia tej opcji, która zastępuje tradycyjne logowanie oparte na hasłach. Poniżej przedstawiamy krok po kroku, jak aktywować klucz dostępu na istniejącym koncie Google.
- Przejdź na stronę mojekonto.google.com lub kliknij ikonę swojego konta w prawym górnym rogu okna przeglądarki.
- Następnie w panelu po lewej stronie wybierz „Bezpieczeństwo”.
- Przejdź do sekcji „Jak logujesz się w Google” i kliknij „Klucze dostępu”.
- Wybierz opcję „Użyj kluczy dostępu” lub kliknij przycisk „Utwórz klucz dostępu”. Postępuj zgodnie z instrukcjami, aby dokończyć konfigurację urządzenia.
- Gotowe!
Właśnie aktywowałeś klucz dostępu, co oznacza, że nie potrzebujesz już hasła.
Aktywacja klucza dostępu na urządzeniu mobilnym (Android)
- Otwórz „Ustawienia”
- Wybierz „Google”
- Dotknij „Zarządzaj swoim kontem Google”
- Przejdź do sekcji „Bezpieczeństwo”
- Przewiń w dół do opcji „Klucz dostępu” i dotknij ją.
- Kliknij „Użyj hasła” i postępuj zgodnie z instrukcjami.
- Klucz dostępu jest gotowy do użycia.
Czy hasło jest martwe?
Wprowadzenie każdej nowej technologii wymaga czasu, aby stała się powszechnie stosowana. Na obecną chwilę hasła nadal będą popularne, ale wraz z rosnącą liczbą firm wdrażających bezhasłowe rozwiązania, klucze dostępu mogą w przyszłości zastąpić tradycyjne hasła.
Podsumowanie
Klucze dostępu to obiecująca technologia. Działają na zasadzie zamka (klucz publiczny), który jest publicznie dostępny, ale może zostać otwarty tylko przez odpowiedni klucz (prywatny), który jest utrzymywany w tajemnicy. W perspektywie czasu korzyści wynikające z porzucenia haseł na rzecz kluczy dostępu, zdecydowanie przeważają nad ewentualnymi wadami.
W miarę jak coraz więcej firm będzie wykorzystywać klucze dostępu jako metodę uwierzytelniania, coraz więcej użytkowników zdecyduje się na ich wdrożenie, gdy w pełni docenią korzyści z tym związane.
Zachęcamy również do zapoznania się z artykułem na temat wdrażania uwierzytelniania Passkeys/FIDO we własnych aplikacjach.