26.10.20223 min

Maciej OlanickiRedakcja Bulldogjob

Passkey – czy w końcu poznaliśmy następcę haseł?

Passkey, czyli klucz uniwersalny, ma realną szansę zastąpić tradycyjne hasła. Sprawdź, jak działa ten mechanizm.

Passkey – czy w końcu poznaliśmy następcę haseł?

Gdybyśmy otrzymywali koralik za każdym razem, gdy ktoś wieszczy rychłą śmierć haseł, to mielibyśmy dużo koralików. Oczywiście metody uwierzytelniania rozwijają się, coraz częściej wymuszane jest stosowanie wielu składników, niemniej kolejne innowacje nie przekładają się na to, że tradycyjne hasła tracą popularność. Są one obudowywane kolejnymi elementami logowania, ale de facto niewiele było skutecznych przedsięwzięć, aby całkowicie wyeliminować hasła per se.

To się ma szansę zmienić w najbliższej przyszłości. Wspomnianym licznym inicjatywom bardzo często brakowało bowiem zaplecza – finansowego i biznesowego. Tymczasem standaryzowany właśnie mechanizm passkey cieszy się wsparciem największych graczy, m.in. Microsoftu, Google i Apple i rzeczywiście rysuje się jako jeden z najlepszych kandydatów do tego, aby ostatecznie zastąpić hasła wykorzystywane do uwierzytelniania użytkowników.

Czy tym razem to może się udać?


Passkey – pogromca haseł

Passkey został już oficjalnym standardem FIDO i w zasadzie trudno powiedzieć, aby mechanizm jakoś szczególnie odbiegał od metod uwierzytelniania już wcześniej standaryzowanych przez tę organizację. W praktyce passkey należy rozumieć jako rodzaj uniwersalnego klucza, przepustki – niewidzialnego dla użytkownika (i potencjalnego napastnika) sekretu wymienianego, obok innych składników, pomiędzy uwierzytelniającymi się usługami. Ma on być przechowywany lokalnie, na urządzeniu, ale stanowić będzie tylko jeden z wielu składników procesu uwierzytelniania.

MFA, czyli uwierzytelnianie z użyciem wielu składników, odgrywa tutaj kluczową rolę. Nawet jeśli, w teorii, udałoby się atakującemu uzyskać rzeczony sekret, to i tak konto jest chronione innymi składnikami. Oczywiście nie stanowi to 100-procentowej ochrony, znamy przecież framework Modlishka, który umiejętnie podszywa się pod panele logowania, przechwytując dowolną liczbę składników logowania. Niemniej sukcesem dla całego przedsięwzięcia ma być właśnie standaryzacja i wynikająca z niej szansa na upowszechnienie – ze szczegółami standardu można zapoznać się na stronach FIDO.

Nie można uczciwie powiedzieć, że mamy do czynienia z czymś nowym. Standard zakłada wykorzystanie WebAuthn i rozszerza jego możliwości o takie funkcje, jak na przykład współdzielenie sekretów bez konieczności ich odszyfrowywania. Passkey, czyli po prostu klucz uniwersalny, ma służyć do uwierzytelniania użytkownika w dowolnej liczbie usług, ale też na różnego rodzaju urządzeniach (mobilne z Androidem i iOS-em oraz aplikacje webowe), gdyż może być pomiędzy nimi przekazywany.


A może pogromcy haseł już tu są?

Kluczom uniwersalnym nie poświęcilibyśmy zapewne uwagi, gdyby nie zaznaczona już kwestia zaplecza biznesowego – inwestycje w rozwój oraz deklarację implementacji kluczy uniwersalnych w swoich produktach zadeklarowali najwięksi dziś na rynku konsumenckim gracze: Apple, Google i Microsoft. 

Nie trzeba tęgiej głowy, żeby zauważyć, że wszystkie trzy wymienione firmy rozwijają niezależnie od siebie własne mechanizmy logowania i zakładania kont. Dziś przecież nic nie stoi na przeszkodzie, aby jednym kliknięciem czy pacnięciem nie tylko się zalogować, ale też utworzyć konto w serwisie, który odwiedzamy po raz pierwszy. Pojawia się zatem pytanie – na może hasła tak naprawdę już są martwe i nie potrzeby nam żadnych passkeys? 

Problemem jest miejsce przechowywania danych. W przypadku logowania z użyciem API Google czy Facebooka zdani jesteśmy na administrowanie wrażliwymi danymi przez, delikatnie mówiąc, umiarkowanie zaufaną trzecią stronę. Passkey miałby ten problem w pewnej mierze wyeliminować, ale to nie stanowi o jego innowacyjności. Dosłownie w takim sam sposób mają działać zaprojektowane przez twórcę WWW, sir Tima Bernersa-Lee, huby Solid – tam użytkownik sam przechowuje swoje dane podobnie jak w przypadku portfela kryptowalut i udostępnia wyłącznie granularnie cedowany wycinek, nie przekazując praw do przetwarzania informacji.


Wygoda ponad wszystko

Trudno oprzeć się wrażeniu, że dla lwiej części użytkowników, to wygoda jest ważniejsza niż bezpieczeństwo. Doskonałą ilustracją tego problemu była konferencja prasowa jednego z banków, podczas której prezentowano możliwość logowania się do aplikacji z użyciem linii papilarnych. Login i hasło, dwa składniki, jawny i niejawny, zostały zastąpione jednym, jawnym. Następnie przekonywano, że przełoży się to na podniesienie poziomu bezpieczeństwa. Kuriozum.

Gdy podniosłem tę kwestię podczas czasu na zadawanie pytań przez zgromadzonych na konferencji dziennikarzy, otrzymałem odpowiedź, że przecież nikt mnie nie zmusza, abym korzystał z zaprezentowanego novum, biometria zastępująca login i hasło nie jest obowiązkowa.

O tym, czy popularyzacja standardu passkey, klucza uniwersalnego, rozwiąże podobne problemy i  sprawi, że czas haseł przeminie, przekonamy się wkrótce. Już dziś passkey obsługiwany jest przez przeglądarki Edge i Chrome na Windowsie, Edge, Safari i Chrome na macOS-ie oraz przez system ChromeOS.

<p>Loading...</p>