Zastąpienie haseł przez passkeys w Twojej organizacji byłoby prawdopodobnie bardzo dobrym pomysłem. jeżeli oczywiście firma czy uczelnia jeszcze tego nie zrobiły. Teraz będzie łatwiej: FIDO, organizacja branżowa zajmująca się promocją passkeys, udostępniła nowe zasoby firmom i instytucjom, które chciałyby zastosować tę technologię.
Czym są passkeys? Rozbijmy nazwę na dwie części: „pass” – czyli przejście lub dostęp i „key” – czyli klucz. A konkretnie klucz kryptograficzny. Jak to działa?
- Podczas rejestracji, urządzenie użytkownika generuje parę kluczy kryptograficznych: prywatny i publiczny.
- Klucz prywatny pozostaje na urządzeniu użytkownika, a publiczny jest wysyłany do serwera usługi.
- Przy logowaniu, serwer wysyła wiadomość, która jest podpisywana kluczem prywatnym na urządzeniu użytkownika.
- Serwer weryfikuje podpis dzięki klucza publicznego, potwierdzając tożsamość użytkownika.
Jaka jest zaleta passkeys w stosunku do haseł? Po pierwsze nie narażamy się na beztroskę administratorów. Jeszcze kilka lat temu Facebookowi zdarzyło się przechowywać hasła użytkowników w zwykłych, niezaszyfrowanych plikach tekstowych.
Po drugie, passkey jest o wiele trudniejszy do złamania. W przypadku haseł, choćby przy zaszyfrowanym połączeniu, przesyłamy taki sam ciąg znaków za każdym razem, gdy się logujemy. W przypadku passkeys, gdy serwer wysyła nam wiadomość (krok trzeci na powyższej liście), to jest to za każdym razem inna wiadomość, więc i odpowiedź naszego klucza prywatnego jest za każdym razem odmienna. To zdecydowanie utrudnia ataki typu man-in-the-middle (np. przez administratorów publicznego Wi-Fi, do którego się nieopatrznie podłączymy).
Passkeys w Twojej organizacji? FIDO wyjaśni ,jak to zrobić
By ułatwić implementację passkeys w organizacjach, zwłaszcza mniejszych, organizacja FIDO („Fast IDentity Online”) udostępniła serwis internetowy Passkey Central. Znajdziemy tam zarówno szczegółowe wyjaśnienia, czym są passkeys i jakie są ich rodzaje, jak i przewodniki po tym, jak zaimplementować tę technologię w swojej organizacji.
Ponadto strona ta zawiera wskazówki co do projektowania systemów uwierzytelniania a choćby zestawy elementów interfejsu użytkownika (UI), których można za darmo użyć przy wprowadzaniu passkeys do swojej organizacji.
Jak pisaliśmy niedawno, Google wprowadził synchronizację passkeys w przeglądarce Chrome. Teraz nasi administratorzy mają zasoby do budowania systemu passkeys. Jest coraz mniej wymówek, by pozostawać przy starych (nie)dobrych hasłach.