Czas pożegnać się z hasłami – Google stawia na passkey. Wyjaśniamy, jak działa i co się zmieni

Co jest nie tak z hasłami?

Passkey to owoc współpracy Google i Microsoftu. Korporacje od lat poszukiwały sposobu na to, by wyeliminować z użycia tradycyjne dane uwierzytelniania, czyli loginy i hasła. Powodów nie brakuje: stosunkowo łatwo je wykraść, niemal codziennie słyszy się o ogromnych wyciekach danych, nie chronią one także zbyt skutecznie (zwłaszcza bez włączonego uwierzytelniania wieloskładnikowego), gdy urządzenie zostanie skradzione.

Pokutują też skutki niefrasobliwego posługiwania się hasłami przez samych użytkowników. Często stosują oni te same hasła w wielu usługach, przez co kradzież danych dostępowych do jednego serwisu automatycznie skutkuje narażeniem na szwank bezpieczeństwa konta w innym. Słabe hasła w try miga można łamać metodą brute force na nowych kartach graficznych, a silnych nikomu nie chce się zapamiętywać. Rozwiązanie stanowią menedżery haseł, ale przekonywanie do nich internautów to głos wołającego na puszczy.

Korzystasz z takich aplikacji? Lepiej je usuń, generują spore problemy Czytaj dalej

Czym są passkeys?

Powody, dla których perspektywa pozbycia się haseł raz na zawsze napawa entuzjazmem, można do woli mnożyć. Zamiast tego lepiej skupić się jednak na samych passkeys – co takiego ma w sobie nowy mechanizm, aby potencjalnie zapewnić nam bezhasłową przyszłość?

Passkey wykorzystuje kryptografię klucza publicznego. Oznacza to, że do uwierzytelniania wykorzystuje się klucze prywatne (nieznane ogółowi), którymi można odszyfrować wiadomość zaszyfrowaną kluczem publicznym. Przejęcie wiadomości zaszyfrowanej kluczem publicznym niczym nie grozi, bo i tak do odszyfrowania (w naszym przypadku potwierdzenia tożsamości) potrzebny jest klucz prywatny, będący w wyłącznym posiadaniu uczestnika. Dysponowanie kluczem prywatnym stanowi więc jednocześnie potwierdzenie tożsamości.

Logowanie z passkeys w praktyce

Tyle uproszczonej teorii klucza publicznego, przejdźmy do praktyki. W niej passkey to poświadczenie tożsamości przechowywane lokalnie, na urządzeniu, a konkretnie smartfonie użytkownika. Rodzaj kryptograficznego dowodu tożsamości, do którego dostęp ma wyłącznie posiadacz konta w danej usłudze. Po „okazaniu go” witrynie (wystarczy fragment, przez co witryny nie dysponują dowodem) konieczne jest dodatkowe potwierdzenie z użyciem biometrii, np. skanu twarzy, i wówczas dochodzi do logowania. W przypadku logowania na komputerach również używa się smartfonu, a wymóg biometrycznego potwierdzenia tożsamości uniemożliwi wykorzystanie passkey po kradzieży urządzenia.

Z perspektywy użytkownika passkeys są w zasadzie niewidzialne. Będziemy się po prostu logować do witryn czy aplikacji dokładnie tak samo jak dziś np. do bankowości mobilnych, czyli z użyciem linii papilarnych czy skanu twarzy, które zatwierdzą wykonane automatycznie uwierzytelnianie z użyciem klucza publicznego. Nieskomplikowane, skuteczne, bez haseł, a według telemetrii Google – o 40% szybciej niż z użyciem haseł. 

Google ustanawia passkeys domyślną metodą uwierzytelniania

Po testach, w których korzystanie z passkeys było jednym z wariantów, Google postanowiło teraz postawić wszystko na nowy mechanizm uwierzytelniania. Dotąd można było skorzystać z opcji „pomijaj hasło, gdy to możliwe” głównie w aplikacjach Google, m.in. YouTube czy Mapach. Teraz korzystanie z passkeys będzie powszechniejsze, gdyż korporacja uczyniła tę metodę domyślnym sposobem uwierzytelniania dla kont Google.

W rezultacie wszędzie tam, gdzie widzimy przycisk umożliwiający założenie konta w aplikacji czy logowania z użyciem konta Google, po wyborze tej opcji, będziemy mogli wykorzystać passkeys. Po pierwszym uruchomieniu usługi i utworzeniu poświadczenia na urządzeniu za każdym kolejnym razem wystarczy, że potwierdzimy logowanie biometrycznie, aby uzyskać bezpieczne uwierzytelnienie bez konieczności wprowadzania loginu i hasła.