Prijava brez gesel - Gesla prihodnosti
Tehnološki velikani so leta 2013 ustanovili združenje FIDO Alliance, katerega osrednja naloga je premagati odvisnost sveta od prijave z gesli. Te so stare že več kot 50 let in so za današnji povezan svet preveč ranljive, njihova zaščita pa iz leta v leto bolj zapletena. Po vrsti praznih obljub se zdi, da so podjetja na pragu rešitve. Passkeys so gesla prihodnosti!
Današnja gesla so zaščitena z dvostopenjskim preverjanjem, s šifriranim posredovanjem, z enkratno prijavo in s podobnimi mehanizmi, ki so v luči prijaznosti do uporabnika in varnosti prinesla ravno toliko težav kot rešitev. Velika podjetja se tega zavedajo, zato so se v iskanju boljše alternative povezala. Apple, Microsoft, Google in drugi so skupaj določili standarde in skladno razvili avtentikacijske ključe Passkeys.
Združenje FIDO Alliance, v katerem so tudi Apple, Microsoft in Google, se trudi premagati odvisnost sveta od avtentikacije z gesli.
Doslej so se ključi po standardu FIDO, med katere sodijo tudi Passkeys, uporabljali predvsem za večstopenjsko preverjanje pristnosti uporabnika, ki poleg običajnih prijavnih podatkov zahteva izpolnjevanje dodatnega pogoja za vstop v storitev. FIDO zahteva nekaj, kar uporabnik ima, na primer telefon ali računalnik s strojnim ključem, ter nekaj, kar uporabnik je. Za zadnje se največkrat uporabi prstni odtis, prepoznavanje obraza ali druga biometrična preveritev, ki nikoli ne zapusti izvorne naprave. Tovrstno preverjanje pristnosti se je izkazalo za zelo trpežno, hekerskih napadov nanjo je bilo malo, uspešnih pa še manj. Zaščita je v tistih redkih primerih bila prebita predvsem zaradi šibkejše implementacije protokolov in ne zaradi zasnove samega standarda. Dobri rezultati so tehnološke velikane spodbudili k širitvi uporabnosti ključev FIDO.
Medtem ko strojni ključi zagotavljajo dodatno stopnjo avtentikacije v navezi z gesli, Passkeys gesel sploh ne potrebujejo. Več plasti preverjanja pristnosti zapakirajo v samostojen paket, ki ga nadalje uporablja operacijski sistem uporabljene naprave. V njej čakajo, dokler jih ne »odkrije« uporabljena aplikacija ali obiskana spletna stran, ki zahteva avtentikacijo. Od tod naprej je za uporabnika postopek enak kot pri odklepanju naprave. Mehanizem zamenja vpisovanje prijavnih podatkov in uporabniku precej olajša življenje. Za nameček preverjanje pristnosti ni omejeno zgolj na izvorno napravo, temveč se sinhronizira z oblakom in je dostopno z vseh telefonov, tablic in računalnikov v lasti posameznika.
Izmenjava ključev Passkeys potega uporabniku nevidno. Vse, kar mora storiti, je, da prisloni prst na bralnik prstnih odtisov ali pogleda v kamero. Postopek je enak kot v primeru odklepanja naprave.
Passkeys namesto gesel uporabljajo skrite kriptografske ključe. Posamezen Passkey sestavljata dva ločena ključa, ki tvorita par. En ključ v paru je javni in je registriran v aplikaciji ali na spletni strani, ki jo uporabljamo. Drugi je zasebne narave in shranjen na pametnem telefonu (tablici ali računalniku). Par ključev brezšivno poskrbi za avtentikacijo med napravo in obiskanim spletiščem oziroma uporabljeno aplikacijo. Uporabnik postopek preverjanja identitete sproži s preprostim pritiskom prsta na bralnik prstnih odtisov ali s pogledom v kamero, ki prepozna njegov obraz.
Enostavnost uporabe pa ni edini adut ključev Passkeys. Še pomembnejša je neprimerno večja varnost pred morebitnimi zlorabami. Ključi so odpornejši na hekerske poskuse odtujitve, saj so vezani na posamezno spletno storitev ali aplikacijo in jih ni mogoče uporabiti na lažnem cilju. Zasebni ključ nikoli ne zapusti domače naprave, zato ga ni mogoče prestreči. Hkrati je šifriran in ga tuje oči nikoli ne bi mogle prebrati. Četudi bi nepridipravi napravo dobili fizično v roke in na njej omogočili korenski dostop (ali jailbreak), bi za dostop do prijavnih skrivnosti še vedno potrebovali uporabnikov prstni odtis, obraz ali (v primeru odsotnosti biometričnih zmožnosti) številko PIN, ki je povezana s ključem. Ključi Passkeys so namreč uporabniku nevidni in se združijo s storitvami, kakršni sta FaceID in Windows Hello, ter z drugimi biometričnimi bralniki, ki jih ponujajo proizvajalci naprav.
Ključe Passkeys lahko preizkusimo na spletišču passkeys.io.
Delovanje ključev Passkeys lahko preizkusimo na spletni strani passkeys.io, ki omogoča, da ustvarimo demonstracijski račun in ga povežemo z uporabljeno napravo. Ob naslednjem obisku spletišča namesto vnosa prijavnih podatkov izberemo možnost Sign in with a passkey, nakar postopek nadaljuje operacijski sistem, ki od nas zahteva zgolj običajno preverjanje za vstop v napravo. Še korak dlje lahko gremo s podprtimi storitvami in napravami, ki ključe Passkeys uporabljajo že danes. Med spletnimi stranmi in aplikacijami so to Best Buy, CardPointers, Carnival, Dashlane, eBay, GoDaddy, Google, Kayak, Nvidia.com, PayPal, Safari in WordPress, na strani naprav pa Applovi računalniki Mac in telefoni iPhone ter tablice iPad, ki podpirajo branje prstnih odtisov Touch ID ali prepoznavanje obraza Face ID. Jabolčnim napravam se sicer pridružujejo tudi računalniki z operacijskim sistemom Windows in telefoni z Androidom, a implementacija programerjev iz Cupertina je tista, ki je ključe Passkeys svetu predstavila pod žarometi mobilnega operacijskega sistema iOS 16.
Operacijski sistem iOS 16 ključe Passkeys že podpira in omogoča njihovo izmenjavo s podprtimi aplikacijami ter spletišči.
Lastniki mobilnih telefonov iPhone tako lahko po posodobitvi operacijskega sistema (Settings / General / Software Update) in aktiviranju možnosti iCloud Keychain (Settings / Passwords / Password Options / AutoFill Passwords / iCloud Passwords & Keychain) pri uporabi aplikacije Kayak za rezervacijo letalskih vozovnic, hotelskih nastanitev, avtomobilov in podobnega izberejo prijavo z Applovim uporabniškim računom (Continue with Apple), ki generira ključa Passkeys. Če smo aplikacijo že uporabljali z drugim prijavnim načinom, najdemo v njenih nastavitvah možnost za dodajanje preverjanja pristnosti s ključi Passkeys (Kayak / Account / Set up passkey). Dostop do možnosti se seveda od aplikacije do aplikacije razlikuje, a običajno je ta skrita nekje med nastavitvami uporabniškega računa.
Podobno se ključi Passkeys uporabljajo ob obisku podprtih spletišč. Če imamo na spletni strani že uporabniški račun, se prijavimo z njim, nato pa poiščemo v nastavitvah možnosti uporabe ključev Passkeys (Face ID, Touch ID in podobno). Ob izbiri ustrezne možnosti bi se morala pojaviti možnost shranjevanja nastalega ključa. Potrdimo ga in ob naslednjem obisku ga bo naprava sama ponudila kot mehanizem za prijavo. Lep primer je spletna stran grafičnega velikana Nvidia, ki vse našteto ponudi, če jo obiščemo s spletnim brskalnikom Safari. Podpora Googlovemu brskalniku Chrome in napravam z operacijskim sistemom Android je na poti, trenutno je dostopna uporabnikom beta različic programske opreme.
Kljub varnosti ključev Passkeys je tiste, ki jih ne potrebujemo več, priporočljivo izbrisati iz naprave.
Ključi Passkeys niso za vedno zakopani v zemljo (beri: povezani z izvorno napravo). Če jih za neko aplikacijo ali spletno mesto ne želimo več uporabljati, jih na telefonu iPhone izbrišemo tako, da v nastavitvah Settings / Passwords poiščemo vnos, ki je odveč, ga izberemo ter na strani s podrobnostmi uporabimo akcijo Delete Passkey.
Podpora ključem prihodnosti je za zdaj dokaj skromna, a se stvari kanijo spremeniti. Vsi veliki igralci so odločeni, da je napočil čas, ko bomo klasičnim geslom rekli zbogom. Pričakujemo, da bodo Passkeys že naslednje leto precej bolj razširjeni, saj Applu, ki je z novo različico operacijskih sistemov iOS in macOS ključe popolnoma (p)osvojil, z velikim tempom sledijo tudi drugi. Kmalu ne bo več aplikacije ali spletne strani, ki ne bi podpirala vstopa le z odklepanjem uporabljene naprave. Svet bo tako veliko varnejši in preprostejši.