Apple, Google czy Microsoft już od 2022 roku wprowadzają do swoich usług zupełnie nową technologię, która zastępuje tradycyjny sposób uwierzytelniania oparty na loginach i hasłach. To passkeys – dziś wykorzystywane już także w serwisach LinkedIn, Playstation Networks, Uber, Bolt czy Kayak. Czy passkeys są przyszłością także polskich firm?
Chyba każdy użytkownik usług gigantów technologicznych spotkał się już z komunikatem proponującym mu przejście na logowanie do serwisu za pomocą bezpiecznych kluczy. Kto jednak skorzystał z tej możliwości? Wciąż niewielu z nas. Z danych FIDO Alliance wynika, że technologia passkeys mogłyby dziś zabezpieczać aż 7 miliardów kont. Liczba jej użytkowników jest jednak zdecydowanie niższa.
Firmy i użytkownicy niechętni zmianom
Wciąż także niewiele firm decyduje się na zintegrowanie tej technologii ze swoimi usługami. A to mogłoby zdecydowanie podnieść bezpieczeństwo organizacji, ich danych i użytkowników. Z raportu Verizon wynika, że w 2023 roku 49% zgłoszonych naruszeń danych, w tym 86% naruszeń aplikacji internetowych, dotyczyło użycia skradzionych poświadczeń: nazw użytkowników i haseł. Rezygnacja z łatwych do przejęcia haseł jest więc w stanie znacząco wpłynąć na poprawę cyberochrony przedsiębiorstw.
Dlaczego więc firmy wciąż proponują użytkownikom podatne na cyberataki sposoby uwierzytelniania?
- Powodów jest kilka. Jednym z nich jest przyzwyczajenie i wygoda użytkowników. Hasła to jest coś, co bardzo dobrze znamy, czego używamy od wielu lat. I czemu – wbrew doniesieniom prasowym o kolejnych cyberatakach – wciąż ufamy. Warto jednak pamiętać, że nowe, bezpieczniejsze technologie, takie jak passkeys, opierają swoje działania między innymi na tym, co również jej znane użytkownikom, np. na skanowaniu odcisku palca. Zatem przejście na taką nową metodę uwierzytelniania nie powinno być problemem dla użytkownika – mówi Bartosz Cieszewski, Solution Architect w Secfense, firmie działającej w obszarze cyberbezpieczeństwa.
Czym są passkeys i jak poprawiają bezpieczeństwo firm
Passkeys to bezpieczny i innowacyjny sposób uwierzytelniania użytkowników na różnych platformach internetowych, wykorzystujący mechanizm FIDO2. Opiera się na kryptografii klucza publicznego i działa poprzez utworzenie unikalnej pary kluczy kryptograficznych – klucza prywatnego i klucza publicznego. Klucz prywatny jest bezpiecznie przechowywany na urządzeniu użytkownika, a klucz publiczny jest udostępniany usłudze online. Metoda ta zapewnia wysoki poziom bezpieczeństwa, gdyż klucz prywatny nigdy nie opuszcza urządzenia użytkownika.
Co ważne, passkeys dają użytkownikom dwie istotne wartości, które wyraźnie poprawiają jego wygodę. Po pierwsze – dzięki wykorzystaniu tak zwanego Credential ID, czyli danej wymienianej między witryną a uwierzytelniaczem (smartfonem, komputerem lub kluczem sprzętowym), pozwala wyeliminować z procesu uwierzytelniania login. Po drugie – klucz prywatny jest zapisywany na urządzeniu, z którego użytkownik korzysta na co dzień. Co więcej – uwierzytelniaczem może być też oprogramowanie. Klucze można zapisać w chmurze, dzięki czemu można je synchronizować między różnymi urządzeniami.
- Klucz prywatny jest tworzony podczas rejestracji w usłudze, np. w bankowości elektronicznej, i jest zapisywany np. na smartfonie razem z przypisanym do niego Credential ID. To jest unikalna para. W momencie uwierzytelniania na stronie przy pomocy passkeys urządzenie uwierzytelniające wysyła do witryny właśnie Credential ID. Jeżeli witryna ma takie ID w swojej bazie, wie, którego zestawu klucza publicznego użyć. Użytkownik nie musi więc wpisywać loginu i hasła, jest bowiem identyfikowany przez to ID. Dzięki temu można zapewnić uwierzytelnianie passwordless, czyli bezhasłowe, oraz usernameless, czyli bez nazwy użytkownika. Działanie passkeys może wydawać się skomplikowane. Warto jednak zapamiętać, że jedną z ważniejszych wartości tej technologii jest to, że jest odporna na phishing i eliminuje konieczność posługiwania się loginami i hasłami – tłumaczy Bartosz Cieszewski.
Czy każda firma może wdrożyć passkeys?
Z danych KPMG wynika, że w 2023 roku aż 66% polskich firm odnotowało incydenty naruszenia bezpieczeństwa. Liczba ataków, także tych, które zaczynają się od przejęcia danych dostępowych pracowników lub użytkowników systemów, nie maleje.
Nic dziwnego, że Unia Europejska przywiązuje coraz większą wagę do cyberbezpieczeństwa i wprowadza nowe regulacje mające na celu podniesienie poziomu cyberochrony firm i organizacji. Dyrektywa NIS2 czy rozporządzenie DORA skupiają się właśnie na tym aspekcie, zobowiązując instytucje do wprowadzania dodatkowych technologii bezpieczeństwa, w tym silnego uwierzytelniania. Passkeys pozwalają na wprowadzenie w firmie właśnie takiego uwierzytelniania. Jak jednak wdrożyć je w organizacji?
- Aby zwiększyć bezpieczeństwo swoich systemów i aplikacji, nie tylko wewnętrznych, ale także tych udostępnianych klientom, i przejść na uwierzytelnianie bez haseł, firmy muszą zintegrować passkeys ze swoimi aplikacjami. W standardowym przebiegu tego procesu twórcy oprogramowania integrują z passkeys aplikacje jedną po drugiej. To jednak wymaga czasu i zaangażowania programistów. Szybszą alternatywą może okazać się dla firm wykorzystanie User Access Security Broker, czyli rozwiązania umożliwiającego szybkie i płynne dodawanie kluczy dostępu do wszystkich aplikacji, bez konieczności kodowania i bez wpływu na płynność działania usługi – dodaje Bartosz Cieszewski z Secfense.
Kiedy passkeys zastąpią hasła?
Na tak postawione pytanie bardzo ciężko jest dziś odpowiedzieć. Na pewno minie jeszcze trochę czasu, zanim passkeys staną się powszechnie stosowaną metodą uwierzytelniania. Eksperci przewidują jednak, że to one są przyszłością. Proces logowania będzie się standaryzował, a ze względu na nieustające cyberataki, rosnącą liczbę wiadomości phishingowych oraz rolę sztucznej inteligencji w przygotowywaniu trudnych do zidentyfikowania fałszywych e-maili służących wyłudzaniu danych, można oczekiwać, że nacisk na rozwiązania passwordless będzie coraz większy.
- Nie można wykluczyć, że passkeys zostaną wprowadzone w wielu usługach w ciągu najbliższego roku lub dwóch. Zwłaszcza że już nie tylko giganci tacy jak Google, Microsoft czy Apple sięgają po to rozwiązanie. Wykorzystują je także mniejsze firmy. Wystarczy wspomnieć Docusign, Kayak, Uber, LinkedIn, Shopify, Yahoo! Japan czy również japoński telekom Docomo. Można także założyć, że passkeys zostaną zaimplementowane w urządzeniach Internetu Rzeczy, dziś w większości wypadków bardzo słabo chronionych – podsumowuje Bartosz Cieszewski.
Warto też pamiętać, że w rozwiązaniach, w których całkowita rezygnacja z haseł nie jest możliwa, passkeys mogą stać się kolejnym, silnym i odpornym na phishing składnikiem uwierzytelniania.
Przyszłość passkey w organizacjach wygląda więc obiecująco. Coraz więcej firm dostrzega korzyści płynące z tej technologii – od zwiększonego bezpieczeństwa po wydajność operacyjną. Integracja z passkeys nie tylko jest zgodna z ewoluującym krajobrazem cyberbezpieczeństwa, ale także eliminuje utrzymujące się od dawna luki w zabezpieczeniach związane z uwierzytelnianiem opartym na hasłach.
Organizacje, które zaadoptują się do tych zmian, będą lepiej przygotowane do ochrony swoich danych i utrzymania zaufania klientów, pracowników i inwestorów.