Strony internetowe i aplikacje, które wymagają zakładania konta użytkownika potrzebują nazwy użytkownika (po ang. login) i hasła. Login może przybrać formę adresu email lub innej wymyślonej, dostępnej nazwy. Wyżej wymienione dane logowania zapisane są często w formie zaszyfrowanej w bazie danych usługi internetowej, na której zakłada się konto użytkownika. Po wpisaniu swojego loginu i hasła podczas logowania oprogramowanie porównuje wpisane przez ciebie dane z tymi już zapisanymi na koncie, jeśli się zgadzają następuje logowanie i dostęp do konta użytkownika w serwisie WWW lub aplikacji.
Formy logowania składające się z loginu i hasła, które powszechnie są dzisiaj wykorzystywane zostały stworzone dekady temu, kiedy sieć internetowa nie była tak rozwinięta, w tym i zagrożenia. W każdym tygodniu gdzieś na świecie dochodzi do wycieku danych. Niektórzy przestępcy po wykradzeniu danych są w stanie odszyfrować hasła, ponieważ wykorzystywana technologia szyfrowania, zwana „hashowaniem” nie musi być najwyższego poziomu. Niektórzy użytkownicy sami tworzą hasła łatwe do odgadnięcia przez systemy wykorzystywane przez oszustów. Wykradzione i upublicznione dane logowania to szereg niebezpieczeństw dla użytkowników.
Ochrona swoich kont i danych
Korzystaj z menedżerów haseł, np. KeePassXC, i w nim zapisuj wszelkie wrażliwe dane, w tym login i hasło. Za pomocą generatora haseł w menedżerze haseł twórz odrębne hasła dla każdego konta. Hasło powinno być skomplikowane tj. mieć minimum 15 znaków (ja używam 30 znaków), mieć małe i duże litery oraz symbole.
Wszędzie gdzie to możliwe włącz dwuskładnikowe (dwuetapowe) uwierzytelnianie, nazywane często w skrócie 2FA lub MFA. Dodatkowy składnik logowania może przybrać różne formy, ale będzie to najpewniej kod, który pobiera się z otrzymanego emaila, SMSa, aplikacji generującej jednorazowe kody TOTP np. Aegis Authenticator lub z fizycznego klucza np. Yubico. Po aktywacji 2FA po zalogowaniu loginem i hasłem zostaniesz poproszony o dodatkowy kod. Najbezpieczniejszą z wyżej wymienionych form 2FA jest fizyczny klucz, choć tylko nieliczne witryny i aplikacje go obsługują. Najczęstszą dostępną formą jednak będzie albo kod TOTP albo SMS. Dwuetapowe uwierzytelnianie spowoduje, że oszust znając twój login i hasło do konta nie zaloguje się bez kodu 2FA.
Oszust może wykorzystać atak „phishingowy” do poznania twojego loginu i hasła, i nawet kodu 2FA, preparując niemal identyczną witrynę logowania np. banku, sklepu internetowego, na której próbujesz się zalogować będąc nieświadomym zagrożenia.
Passkeeys – nowa forma logowania
Angielska nazwa „Passkeeys” zdradza na czym polega nowa forma logowania. Passkeys to para kluczy – publiczny i prywatny – które są wykorzystywane do zalogowania. W momencie rejestracji Passkeys na swoim koncie, generowane są dwa klucze. Zaszyfrowany klucz publiczny zapisany jest na serwerze w bazie danych strony internetowej lub aplikacji, a klucz prywatny na twoim urządzeniu. Klucz prywatny nigdy nie opuszcza twojego urządzenia podczas logowania i jest w nim przechowywany w zaszyfrowanej formie. W momencie logowania za pomocą loginu i Passkeys następuje zapytanie. System porównuje „dopasowanie” klucza prywatnego i publicznego, jeśli wszystko się zgadza, następuje zalogowanie.
Według ekspertów do spraw cyberbezpieczeństwa Passkeys są odporne nie tylko na ataki typu phishing, ale również na wycieki danych logowania. System logowania Passkeys nie zadziała na stronie phishingowej, gdyż domena internetowa fałszywej witryny będzie inna. Oszust, który jakimś sposobem zdobędzie klucz publiczny nie będzie wstanie wygenerować do niego, pasującego klucza prywatnego, gdyż używana jest tutaj skomplikowana kryptografia. Każda wygenerowana para kluczy jest niepowtarzalna. Passkeys nie potrzebują dodatkowych metod uwierzytelniania 2FA/MFA i są odporne na ataki witryn zainfekowanych szkodliwym kodem typu „malware” chcące wykraść klucz prywatny. Żadne oprogramowanie używane przez oszustów nie jest w stanie „odgadnąć” klucza prywatnego, tak jak ma to miejsce w przypadku normalnych haseł.
Wady Passkeys
Obecnie największą wadą nowego systemu logowania jest jego młody wiek, mimo że rdzeń technologii jest używany od dawna. Rozwiązanie Passkeys nieśmiało wchodzi na rynek i jest wykorzystywane jak na razie w dość ograniczonej liczbie. Jakkolwiek, największe firmy typu Google, Amazon, Apple już dają możliwość wykorzystania Passkeys.
Selfhosty.pl
Passkeys przywiązane są do konkretnego urządzenia, np. laptopa. Jeśli pewnego dnia utracisz dostęp do laptopa, równocześnie utracisz dostęp do swoich kont portali, aplikacji, w których aktywowałeś Passkeys i nie zadbałeś o zapasową formę logowania. Trwają prace nad tym, aby można było w bezpieczny sposób synchronizować klucze między urządzeniami, tworzyć kopie zapasowe, jednak w mojej ocenie obniży to poziom bezpieczeństwa, być może inżynierowie wymyślą takie rozwiązanie, które będzie wystarczająco bezpieczne.
Jak wykorzystywać Passkeys?
Jeśli nie chcesz czekać do momentu osiągnięcia przez owe rozwiązanie „dojrzałego wieku” i większej powszechności, tam gdzie to możliwe uruchomienie Passkeys na swoim koncie będzie dziecinnie proste. Z uwagi na przywiązanie klucza prywatnego do konkretnego urządzenia użytkownika, gdy dostawca strony internetowej lub aplikacji to umożliwiają, stwórz więcej par Passkeys dla co najmniej dwóch urządzeń. Gdy utracisz dostęp do jednego urządzenia, pozostawisz sobie furtkę wejścia za pomocą innego urządzenia.
Aktywując Passkeys zawsze zwracaj uwagę na zapasowe formy logowania w przypadku utraty dostępu do swojego klucza. Niektóre strony i aplikacje umożliwiają usunięcie tradycyjnego hasła dostępu po aktywacji Passkeys. Istnieje możliwość zalogowania się do stron WWW na komputerze, laptopie z Passkeys zapisanych na smartfonie, dzięki wykorzystaniu kamery telefonu i kodu QR wyświetlanego na ekranie komputera podczas logowania.
Aktualizacja: 10 Marca 2024
Menedżer haseł, który polecam „KeePassXC” doczekał się obsługi Passkeys oraz integracji z przeglądarką internetową w tym zakresie. Dzięki tej nowej fukcji w KeePassXC możesz używać Passkeys nie będąc „uwiązanym” do konkretnego systemu operacyjnego czy przeglądarki internetowej. Niech żyje wolność i swoboda.
