Passkey: zabijí hesla a phishing jedním tahem

V posledních několika letech se hojně mluví o vícefaktorové autentizaci (MFA), velkým omezením ale v současnosti je, že ověřování bez hesla je u každého poskytovatele služeb zaváděno jinak. Někteří poskytovatelé stále zasílají jednorázová hesla prostřednictvím SMS nebo e-mailu. To však stále nejsou bezpečné kanály pro přenos citlivých informací, vzhledem k tomu, že je možné na ně použít phishing, stejně jako na běžná hesla.

Nyní se poprvé v reálném čase mluví o funkční formě autentizace bez hesla ve formě standardu přijatého společnostmi Apple, Google a Microsoft, který umožňuje přístupové klíče pro různé platformy a služby.

Nové řešení zvané Passkey je vyvíjeno v rámci FIDO Alliance a má umožnit jednoduché, a hlavně jednotné přihlašování pomocí mobilního telefonu. V něm budete mít uložen jediný token, kterým se budete moci přihlásit k libovolné službě. Za standardem stojí společná snaha mnoha firem jako Intel, Qualcomm, Meta, ING, MasterCard, American Express, Bank of America či Yubico.

Program, který Apple, Google a Microsoft zavádějí, konečně nějakým významným způsobem zorganizuje současný chaos ve službách MFA. Jakmile bude plně implementován, bude vám stačit k přihlašování pouze mobilní telefon. K určité službě na jakémkoli zařízení se přihlásíte přes snímání obličeje nebo otisk prstu na telefonu, a to bez zadávání hesla nebo opisování kódů.

Pro použití Passkey nebude potřeba žádná speciální aplikace. Půjde o jednotné řešení, ať už budete mít v telefonu Android, iOS nebo jiný operační systém, bude schopen vám zajistit služby pro přihlašování a přenos autentizačních informací mezi zařízeními.

Aby byl přihlašovací proces odolný proti phishingu, musí být zařízení s tokenem v blízkosti počítače přihlašujícího se ke službě. Komunikace obou stran přitom proběhne mimo síť pomocí Bluetooth.

Takže i kdyby se vzdálený útočník pokoušel přihlásit, majitelé účtů nebudou moci použít své přístupové údaje k ověření transakce. Vzhledem k tomu, že telefon nebo jiné ověřovací zařízení musí být fyzicky blízko k počítači uživatele, než se na něm zobrazí dialogové okno „Chcete se přihlásit“, útočník tak nemůže v jiném městě, státě nebo zemi zahájit přihlášení.

Ač to pro mnohé zní jako to nejlepší, dostatečně bezpečené řešení pro nahrazení hesel, objevují se i kritici kvůli závislosti na telefonu při každém přihlašování. Passkey však řeší i situace jako ztráta, krádež nebo výměna současného telefonu. Přihlašovací údaje mohou být uloženy online, aby byly v těchto případech k dispozici. Přihlašovací token bude pak možné synchronizovat mezi zařízeními a obnovit jej. Ke stažení přihlašovacích údajů se tak použije již ověřené zařízení, aniž by bylo vyžadováno heslo.

Společnosti Google, Microsoft a Apple, které mají zájem nový standard FIDO Alliance nasadit pro své uživatele se dohodly, že s nasazováním začnou na konci letošního roku nebo na začátku toho příštího. Jakmile bude podpora zapnutá, uživatelé už budou moci ve svých zařízeních Passkey aktivovat, potřebovat k tomu budou jen softwarovou podporu a aktivované rozhraní Bluetooth.

https://www.root.cz/clanky/passkey-novy-zpusob-prihlasovani-bez-hesla-bude-pohodlny-a-zrusi-phishing/

https://arstechnica.com/information-technology/2022/05/how-apple-google-and-microsoft-will-kill-passwords-and-phishing-in-1-stroke/

https://9to5google.com/2022/04/19/android-google-account-passkey

https://www.wired.com/story/fido-alliance-ios-android-password-replacement/