Tym razem chciałem wam przybliżyć rewolucję w świecie haseł i nie używam tu słowa rewolucja na wyrost. Choć pewnie wkrótce sformowanie świat haseł będzie nie na miejscu. Wyobraźcie sobie, że nie musicie tworzyć skomplikowanych haseł, pamiętać ich ani nawet ich używać. Na dodatek jest to bezpieczne, ba bezpieczniejsze niż używanie haseł. Nie ma haseł. Nie ma dwuetapowej autentykacji, nie ma przepisywania numerków z SMS czy maili. Nie zadziała żaden phishing, wycieki haseł nie będą miały już znaczenia. Wystarczy Twoja twarz lub odcisk palca, żeby bezpiecznie zalogować się na różnych stronach, portalach, usługach. Zbyt piękne żeby było prawdziwe? Przyjrzyjmy się rozwiązaniu PassKeys. Bo warto.
Dlaczego hasła już nie?
Google Aple i Microsoft od jakiegoś czasu pracują, żeby umożliwić szybkie i sprawne logowanie bez haseł czego efektem jest właśnie mechanizm Passkeys. Hasła do tej pory chociaż niezbędne są ze wszech miar uciążliwe. Trzeba tworzyć skomplikowane, utrzymywać w bezpiecznym miejscu, najlepiej jeszcze regularnie zmieniać. Potem przepisywać te dziwne i długie ciągi w różnie miejsca. Potem ktoś próbuje te hasła od nasz wyciągnąć przez phishing. Jak się nie uda to spróbuje je zgadnąć i często się udaje. Jak się nie uda to zawsze mogą hasał wyciec z nieostrożnych serwisów. Koniecznością i dodatkową uciążliwością w tej sytuacji staje się dwuskładnikowa autentykacja, SMS , mail czy inne kody jednorazowe.
Dlaczego Passkeys tak?
Wszystkich tych wad pozbawione jest właśnie rozwiązanie Passkeys. Wpisujesz login pokazujesz twarz lub dotykasz czytnika linii papilarnych i już jesteś zalogowany. Czy to możliwe? TAK .. i nie. Jeszcze nie do końca.. a przynajmniej jeszcze nie. Ale po kolei.
Bezpowrotnie zdają się mijać czasy wpisywania PIN czy rysowania wzorów na szybce naszej prywatnej smyczy. Znacząca cześć użytkowników używa takich udogodnień jak odcisk palca czy rozpoznawanie twarzy. Niech nie będzie więc dziwne ze zakładam, że wszyscy mamy blokady na telefon. Na szczęście niektóre aplikacje starają się wymusić takie blokady. Pomijając niedoskonałości i ryzyka dla każdej z tych metod, możemy jednak założyć, że prezentują jakąś podstawową formę ochrony dostępu do naszego telefonu. Więc jeżeli mamy już skonfigurowaną identyfikację biometryczna to jest to świetny punkt wyjścia to PassKeys
Jak działa Passkeys
Zawsze podczas pierwszego logowania do danej usługi, lub podczas konfiguracji Passkeys w danej usłudze, tworzona jest para klucz prywatny i klucz publiczny. Klucze te opierają się na tzw szyfrowaniu asymetrycznym. Oznacza to, że komunikat zaszyfrowany kluczem prywatnym może być odczytany tylko kluczem publicznym i na odwrót. Po stworzeniu takiej pary kluczy dla konkretnej usługi klucz publiczny zostaje wysłany na serwer danej usługi a klucz prywatny zachowany na naszym urządzeniu. Takie rozwiązanie sprawia, że serwer usługi szyfrując i deszyfrując informacje naszym kluczem publicznym ma pewność, że tylko my możemy być po drugiej stronie. Również w druga stronę, jeżeli nasze urządzenia szyfruje i deszyfruje informacje naszym kluczem prywatnym ma pewność o ze rozmawia z właściwą usługą.
W praktyce jeżeli chcemy się zalogować do jakiejś usługi za pomogą Passkeys taka usługo wysyła do nas zaszyfrowane naszym kluczem publicznym proste wyzwanie, za każdym razem inne. Tylko my mając nasz klucz prywatny możemy je odszyfrować spełnić i odpowiedzieć czyli potwierdzić tożsamość. Wszystko to dzieje się w tle bez naszego udziału. Zwróćcie proszę uwagę, że nie wysyłamy żadnych haseł niczego co by się dało przejąc lub podsłuchać. Nasz klucz prywatny który jako jedyny może posłużyć do zalogowania bezpiecznie siedzi sobie na naszym urządzeniu.
Dotychczas nasze supertajne hasła były przechowywane na serwerach usług w formie zahashowanej lub o zgrozo w postaci tekstowej.
Sprawiało to, że każdy wyciek powoduje duże lub bardzo duże ryzyko ujawnienia tych haseł. W wypadku Passkeys przechowywane na serwerze usługi są tylko klucze publiczne które są.. cóż publiczne ich ujawnienie nie ma żadnego wpływu na bezpieczeństwo. Nie ma tutaj zagrożenia wycieku haseł. Nie ma zagrożenia wyłudzenia dostępu przez phishing. Nikt nie zajrzy Ci przez ramię jak będziesz pisał hasło. Nawet Ty nie ujawnisz hasła czy klucza bo go nie znasz.
No i jesteś swoim hasłem
W codziennym użytkowaniu zalogowanie się do jakiejś usługi oznacza wpisanie nazwy użytkownika, jeżeli nie zostanie automatycznie uzupełniona, dotknięcie czytnika linii papilarnych lub pokazanie twarzy i już. Gotowe jesteśmy zalogowani. Szybko sprawnie i bezpiecznie.
Passkeys – Google, Apple, Microsoft
Taki zestaw kluczy prywatnych będzie w formie zaszyfrowanej obsługiwany przez domyślne dla każdej z tych platform menadżery haseł. Umożliwi to korzystanie ze swojego zestawu kluczy na wszystkich urządzaniach podpiętych do jednego konta nie dając jednocześnie dostępu do nich danej platformie.
Passkeys – menadżery haseł
A jeśli nie będę miał, z różnych przyczyn, ochoty wiązać mojego pęczka kluczy prywatnych z żadnym z powyższych dostawców? W takiej sytuacji na chwile obecną Lastpass 1password zapowiedziały już wdrożenie wsparcia dla Passkeys. Zapewne niedługo dołączą do niego inne menadżery haseł. Oznacza to, że będziemy mogli sami w pełni trzymać rękę naszym bardzo prywatnym pęczku kluczy.
Logowanie na innym urządzeniu
Czasem zachodzi potrzeba zalogowani się na nie swoim urządzeniu do jakiejś strony internetowej albo po prostu mamy nasz pęczek kluczy na telefonie a aktualnie używany Windows? Wtedy strona internetowa generuje kod QR który skanujemy telefonem, potwierdzamy i jesteśmy w domu.
Stan na listopad 2022
Apple wprowadził Passkeys wraz z najnowszą wersją iOS 16. Google zapowiada, że Android i Chrome będą wspierały Passkeys pod koniec 2022r. Pamiętajmy, że Passkeys jest na początku swojej drogi i pewnie aktualny stan będzie się z czasem zmieniał. Na chwilę obecną nie słyszałem o żadnym znaczącym serwisie wspierającym Passkeys. Biorąc pod uwagę zaangażowanie największych graczy jest spora szansa, że zacznie się to szybko zmieniać. Bo z obecnej perspektywy wydaje się to świetne rozwiązanie.
Czy to rozwiązanie w pełni zastąpi hasła? Pewnie nie ale wydaje mi się, że im będzie bardziej dojrzałe tym znajdzie szersze zastosowanie. Zwróćcie uwagę, że po tym jak zdrożą to Google, Apple i Microsoft będą musieli to wrażać wszyscy administratorzy usług po swojej stronie. Każda jedna strona. To daje poważne podstawy sądzić nie będzie to takie szybkie. A co ze stronami które tego nie wdrożą? Cóż będziemy musieli dalej tam używać haseł. Ja na pewno trzymam kciuki za szybki rozwój Passkeys.
ZAPRASZAM DO OGLĄDANIA