Sú heslá mŕtve? Bezpečné už dávno nie sú, a preto by si ich mal týmto ihneď nahradiť
Zabudni na heslá a SMS kódy. Passkey je jednoduchá a bezpečná náhrada hesiel, ktorú podporuje čoraz viac online služieb.
Stáva sa to všetkým. Pokúsiš sa prihlásiť do svojho bankového účtu prostredníctvom používateľského mena a hesla a na obrazovke sa ti len objaví hláška „nesprávne heslo“. Zrazu sa tak ocitneš v nekonečnom cykle opätovného overovania, kde ťa čakajú bezpečnostné otázky, na ktoré si sotva spomenieš. V lepšom prípade len zadáš mail a dorazí formulár na resetovanie hesla.
Po vyplnení „nového hesla“ ti oznámi: „Nové heslo nesmie byť rovnaké ako staré.“ Tak použiješ generátor nových hesiel alebo integrovanú funkciu v telefóne s Androidom alebo v iOS pre tvorbu hesla. Riešením môže byť ale Passkey. Na tému upozornil server techspot.net.
Čo je to Passkey?
Passkey je zabezpečený a veľmi jednoduchý spôsob náhrady hesla. Využíva integrované zabezpečenie tvojho zariadenia, akým je napríklad biometrické overenie tváre alebo odtlačky prstov. Môžeš tiež využiť jednoduchý PIN kód. Na prihlásenie na webovú stránku alebo do služby si tak nemusíš pamätať jedno zo 150 hesiel. A ešte väčšou výhodou je, že vlastne ani nič nezadávaš. Passkey sa občas nazýva aj WebAuthn (webový autentifikátor) a stojí za ním FIDO Alliance s podporou spoločností Google, Microsoft a Apple.
Passkey je vlastne kľúč uložený ako zabezpečený prvok v telefóne alebo počítači, presne rovnako ako tvoja platobná karta. Výhodou je, že webová stránka alebo služba nemá žiadny prístup k heslu na strane servera. Minimalizuje sa tak hack alebo možné narušenie bezpečnosti na strane servera.
Aký je medzi bežným riešením a Passkey?
Väčšina moderných smartfónov, akým je iPhone či novší Android telefón, už natívne podporuje Passkeys, aj keď si o tom možno ani nevedel. Tiež si možno nevedel, že takéto prihlasovanie už využívaš. Napríklad toto prihlasovanie využíva Amazon či kryptoburzy ako Binance alebo KuCoin. Ak nechceš používať integrované riešenie, môžeš použiť externého správcu hesiel, napríklad Proton Pass, 1Password či Bitwarden, ktoré umožňujú bezpečné uloženie a synchronizáciu Passkeys naprieč zariadeniami. Väčšina týchto správcov je dostupná pre všetky platformy a dokonca aj ako rozšírenia do prehliadačov.
Neprehliadni
| Faktor | Heslo + 2FA / 3FA | Passkey |
|---|---|---|
| Ako funguje | Používateľ zadá heslo a následne druhý faktor (napr. SMS kód, aplikácia, biometria), prípadne aj tretí faktor (vrstvu). | Prihlasovanie prebieha jedným krokom pomocou biometrie alebo PIN-u zariadenia |
| Bezpečnosť | Lepšie ako samotné heslo, ale stále náchylné na phishing alebo „únos“ SMS | Silnejšie zabezpečenie, odolné voči phishingu |
| Pohodlie | Nutnosť zadávať heslo a čakať na 2FA/3FA token | Prihlásenie je rýchlejšie a jednoduchšie |
| Čo si treba zapamätať | Heslo + mať prístup k 2FA/3FA zariadeniu (napr. telefón) | Nič – stačí fyzické zariadenie |
| Riziko straty prístupu | Veľké, ak stratíš prístup k 2FA/3FA tokenom, môže byť ťažké alebo nemožné obnoviť účet | Malé – možnosť obnovy cez iné dôveryhodné zariadenia |
| Phishingová ochrana | Útoky môžu ukradnúť heslo alebo presmerovať 2FA kódy | Passkey je viazaný na zariadenie a nie je možné ho ukradnúť phishingom |
| Kompatibilita | Funguje všade, ale niektoré služby nepodporujú silné 2FA metódy | Stále sa rozširuje, ale Google, Apple a Microsoft ho už podporujú |
Ako si vytvoríš Passkey?
Aplikácia musí túto funkciu v prvom rade podporovať. Na tejto stránke nájdeš podrobnosti, ktoré weby (nie sú tam ale úplne všetky) a aké zariadenia a prehliadače podporujú túto funkciu. Medzi podporovanými službami nájdeš Amazon, Apple iCloud, Bolt, Coinbase, LinkedIn, GitHub, Microsoft, WhatsApp a ďalšie spoločnosti. Apple napríklad túto funkciu nazýva iCloud Keychain. Aktuálne má horšiu kompatibilitu operačný systém Linux, avšak tá sa zlepšuje. Stačí sa prihlásiť do danej platformy a skontrolovať, či podporuje funkciu Passkey. Väčšinou ti už pri prvom spustení aplikácie automaticky ponúkne jej nastavenie. Návod na WhatsApp sme ti priniesli už tu.
Prečo by si ho mal mať prednostne používať pred bežným autentifikátorom?
Veľkou výhodou Passkey je, že vyžaduje fyzickú prítomnosť pri zariadení. To je častokrát kľúčové, aby si predišiel napríklad, aby sa ti niekto cudzí nedostal do účtu.
Ak stratíš svoje zariadenie, tvoje Passkeys nie sú stratené, sú bezpečne zálohované v cloude prostredníctvom služieb ako Apple iCloud alebo Google Password Manager (alebo iného správcu hesiel podľa tvojho výberu). Tieto zálohy sú end-to-end šifrované, čo znamená, že k nim máš prístup iba ty, a synchronizujú sa naprieč tvojimi zariadeniami, čo uľahčuje ich obnovenie. Veľkou výhodou je, že Passkeys neodosielajú prihlasovacie údaje, takže aj keby ich útočník zachytil, boli by mu úplne zbytočné.
Pre porovnanie, ak stratíš prístup k virtuálnemu autentifikátoru, ako je Microsoft Authenticator, Google Authenticator alebo Apple Authenticator, a nemáš externé kľúče uložené (napríklad v iCloude, Google cloude alebo Microsoft cloude alebo v textovom súbore), je prakticky nemožné obnoviť prístupy a teda aj prístupy k jednotlivým službám. Passkeys môžeš jednoducho obnoviť prihlásením sa do svojho cloudového účtu.
Komentáre