Klucze Dostępu Google, albo Google Passkeys, to nic innego jak nowe narzędzie do zarządzania uwierzytelnianiem na koncie Google. Jak to działa i jak aktywować dodatkowe zabezpieczenia logowania?
Tak zwane „klucze dostępu” są generowane z zastosowaniem kryptografii klucza publicznego. Obejmuje ono jedną parę klucza publicznego + klucz prywatny.
Klucz publiczny przechowywany jest na serwerach Google i jest on jawny dla strony trzeciej. Natomiast klucz prywatny jest przechowywany na Twoim urządzeniu. Połączenie tych dwóch kluczy w jedną całość umożliwiają zalogowanie.
Żadna inna strona internetowa nie ma dostępu do Twojego klucza prywatnego, a jeżeli o to poprosi, to i tak klucz będzie pasował wyłącznie do konta Google. Te klucze razem stanowią kryptograficzną jedność, są „nierozerwalne” i powiązane z kontem Google. Innej usługi internetowe będą potrzebowały wygenerowania nowej pary kluczy, aby uwierzytelnianie mogło działać w ten sam sposób.
Technologia ta nie jest nowa i nie jest to takie samo passwordless, jakie zamierza wprowadzić Apple. Konta internetowe, w tym Google, przez cały czas trzeba założyć tradycyjnie – podając email, login, hasło. Na koncie Google w zakładce Bezpieczeństwo trzeba jeszcze włączyć 2FA i dopiero wtedy klucze dostępu, aby korzystać z logowania bez hasła.
Google po zastosowaniu Kluczy Dostępu wyeliminowało ryzyko ataku podczas logowanie użytkownika. Wyeliminowana została kradzież potencjalnego hasła, loginu, czy choćby wygenerowanego kodu 2FA, ponieważ takiego klucza kryptograficznego nie da się wykraść.
Podrobiona strona internetowa np. goole.com, kiedy poprosi o Twój klucz prywatny, nie uzyska dostępu tajnych danych kryptograficznych. W ataku socjotechnicznym nie zalogujesz się na fałszywą stronę i nie przekażesz kryptograficznych, poufnych informacji hakerowi. Technicznie nie będzie to możliwe.
Ta metoda uwierzytelniania sprawia, iż konta użytkowników są znacznie bardziej odporne na ataki i kradzież danych logowania, ponieważ w przeciwieństwie do hasła, taki klucz nie może być wyłudzony, ani przechwycony podczas przesyłania. Oznacza to, iż bez fizycznego dostępu do urządzenia z kluczem, nikt postronny nie jest w stanie się zalogować na Twoje konto z użyciem tej metody.
Klucze dostępu umożliwiają bezpieczne logowanie się na konto Google przy użyciu odcisku palca, wizerunku twarzy, blokady ekranu lub fizycznego klucza bezpieczeństwa.
Jak włączyć Klucze Dostępu w Google?
Przejdź na stronę http://g.co/passkeys z urządzenia, które chcesz dodać i używać jako tzw. klucz dostępu. Postępuj zgodnie z prostymi wskazówkami w zakładce „Bezpieczeństwo -> Klucze Dostępu”.
Nowym „kluczem” do uwierzytelniania się na koncie Google może być:
- Komputer z systemem Windows 10/11: logowanie do Google potwierdzisz biometrią, kodem PIN lub fizycznym kluczem bezpieczeństwa, jeżeli go masz (zachęcamy do tego).
- Komputer macOS.
- Smartfony z Androidem 9 i nowszym albo iPhone/iPad z minimum iOS 16.
Co, jeżeli nie masz dostępu do urządzenia, a chcesz się zalogować?
Nie wpadaj w panikę. Możesz zalogować się na konto Google, klikając „wypróbuj inny sposób”. Spowoduje to pominięcie klucza i możliwy będzie powrót do poprzednich ustawień logowania np. kod z aplikacji 2FA lub SMS.
A kiedy nie tworzyć klucza dostępu dla konta Google?
Klucze Dostępu są tak chronione, jak chronione jest Twoje urządzenie przed osobami postronnymi. Dlatego klucza nie należy dodawać na urządzeniu współdzielonym, a przynajmniej my tego nie zalecamy.
Argumentujemy to tym, iż każdy, kto będzie korzystał z tego urządzenia, będzie miał dostęp do Twojego konta Google, historii przeglądania itp. Utracisz całkowitą kontrolę nad prywatnością, przekazując swoje życie cyfrowe Google i osobie trzeciej.
Nawet jeżeli wylogujesz się z konta po utworzeniu klucza dostępu, to każdy, kto ma dostęp do współdzielonego urządzenia, będzie mógł ponownie zalogować się na Twoje konto dzięki klucza dostępu lub innej metody.
Jakie otrzymasz korzyści z włączenia Kluczy Dostępu?
- Gwarantowany dostęp do konta.
Załóżmy, iż już masz utworzone klucze dostępu. Możesz ich użyć naprzemiennie podczas logowania się do konta: na komputerze potwierdzisz uwierzytelnianie w telefonie i odwrotnie.
- „Kopia zapasowa” kluczy.
Nie dosłownie jest to kopia zapasowa, ale mając konto iCloud lub Android twoje klucze są synchronizowane pomiędzy urządzeniami, więc z każdego urządzenia masz do nich dostęp. Zapobiega to zablokowaniu dostępu do konta w przypadku zgubienia urządzenia. Alternatywnie pozostało metoda „wypróbuj inny sposób” logowania.
- Ochrona przed phishingiem i atakami.
Kluczy Dostępu nie można ukraść, dlatego hakerzy nie będą mogli wykraść poświadczeń do logowania. Klucze dostępu w każdej chwili możesz wycofać i utworzyć nowe. Usunięte klucze nie mogą być ponownie użyte.
- Klucze Dostępu Google mogą zastąpić fizyczny klucz bezpieczeństwa.
Firma Google twierdzi, iż ich klucze dostępu są „wystarczająco silne kryptograficznie”, aby mogły zastąpić fizyczne klucze np. Yubikey. Tym niemniej klucz Yubikey możesz użyć na dowolnej stronie, a choćby wielu aplikacjach. Warunkiem jest wspieraniem „logowania kluczem bezpieczeństwa”.
Dlaczego jeszcze warto używać kluczy dostępu?
Klucze dostępu są łatwe w konfiguracji, używaniu i bezpieczniejsze niż hasła, ponieważ są one tworzone z użyciem kryptografii asymetrycznej, co zapobiega phishingowi i innym rodzajom oszustw.
Wadą passkeys jest ich zależność od urządzenia użytkownika, ale to tak samo, jak z każdym innym tokenem sprzętowym.
Zaletą korzystania z kluczy dostępu jest to, iż są przechowywane w zaszyfrowanych sejfach na urządzeniach. Ryzyko wycieku takiego klucza jest prawie zerowe.
Więcej o Google Passkeys opowiadał na konferencji RSA Christiaan Braand, Product Menager Security & Identity Google.