Apple Passkeys - to w końcu prawdziwy koniec haseł i ich wyłudzeń

Wielu próbowało, wiele się mówiło o różnych rozwiązaniach, które miały zastąpić hasła i nic z tego nie wyszło, z tej prostej przyczyny - braku powszechności i zgodności tworzonych standardów wśród największych graczy na rynku.

W końcu udało się porozumieć kluczowym w aspekcie bezpieczeństwa haseł w sieci firmom, czyli Google, Apple i Microsoft, które to w ramach FIDO Alliance rozpoczęły wdrażanie wspólnego rozwiązania, które w perspektywie kilku lat powinno całkowicie wyeliminować konieczność korzystania z haseł przez internautów na całym świecie.

Wprowadzenie bezhasłowej obsługi standardów logowania FIDO, Google ogłosiło już w maju na swoim blogu w przeglądarce Chrome. Dostępne będzie ono natywnie w przeglądarce Chrome, systemie desktopowym ChromeOS i na najpopularniejszym systemie mobilnym Androidzie. Jednak to Apple, już w ramach najbliższej aktualizacji systemu iOS 16, macOS Ventura oraz iPadOS udostępni to rozwiązanie na większości swoich urządzeń na rynku.

Rozwiązanie to nosi nazwę Passkeys i oparte jest na kryptografii klucza publicznego, składającej się z klucza publicznego przechowywanego na serwerach sieciowych i klucza prywatnego, który nigdzie nie jest udostępniany, jedynie przechowywany na urządzeniu, które zwykle mamy przy sobie, a więc głównie na smartfonie.

Czytaj dalej poniżej

Nowości w iOS 16, iPadOS 16 i macOS Ventura jest więcej, niż pokazało Apple. Na co warto czekać? Piotr Kurek

macOS Ventura - poznajcie nowy system dla komputerów Apple! Kacper Cembrowski

Co więcej, do logowania w serwisach czy aplikacjach bankowych, do poczty, do serwisów społecznościowych czy streamingowych, do komputera (na przykład z systemem Windows, nawet jak posiadamy tylko iPhone) - niezależnie czy wspierają logowanie biometrią Touch ID lub Face ID czy nie, nie będziemy musieli udostępniać tego klucza prywatnego, wystarczy uwierzytelnienie się za pomocą naszego urządzenia.

Będzie to wyglądało finalnie podobnie jak w przypadku płatności Apple Pay w sklepie z tą różnicą, że będziemy podawali jedynie login, a autoryzacji dokonamy poprzez przyłożenie palca do czytnika w smartfonie lub poprzez zeskanowanie twarzy.

Tym sposobem wyeliminowane zostaną zagrożenia typu phishing, a więc przede wszystkim wykradanie danych do logowania poprzez linki przesyłane pocztą e-mail, gdzie potencjalne ofiary namawiane są do zalogowania się do fałszywych serwisów bankowych. Podobnie w przypadku linków wysyłanych wiadomościami SMS, czyli popularne ataki na dopłatę za gaz, energię czy przesyłkę kurierską.

Czy w końcu ataki, w których przestępcy podszywają się pod pracownikow infolinii bankowej i namawiają ofiary do zainstalowania aplikacji pulpitu zdalnego - to przy tym rozwiązaniu na nic się zda przestępcom, bo finalnie będą zawsze potrzebowali jeszcze urządzenia do autoryzacji, które to potencjalne ofiary mają w kieszeni.

Podobnie zresztą jak w przypadku kluczy sprzętowych typu YubiKey, które upowszechniły się jedynie w znikomym stopniu, głównie w środowisku korporacyjnym. Smartfony z kolei mamy niemal wszyscy, a to ten sam poziom zabezpieczeń.

Co więcej - nie straszne tu też będzie zagubienie czy kradzież smartfona, gdyż pęk kluczy będzie zapisywany na iCloud i będziemy mogli uzyskać do niego dostęp na innym swoim lub nowym urządzeniu.

To będziemy mieli systemowo wdrożone na swoich urządzeniach, pozostaje jeszcze kwestia zewnętrznych aplikacji i serwisów internetowych, w których ich twórcy będą musieli wdrożyć obsługę Passkeys. Jak pamiętamy w przypadku systemu mobilnego Microsoftu, współpraca z deweloperami jest kluczowa w temacie sukcesu wdrażanych globalnie rozwiązań, jednak Apple w rozmowie z serwisem Tom's Guide nie przewiduje tu takich problemów.

Z tej przyczyny, iż twórcy aplikacji czy serwisów internetowych będą mogli dzięki Passkeys zrzucić z siebie odpowiedzialność implementacji skomplikowanych i drogich zabezpieczeń. Wystarczy wdrożenie obsługi pęku kluczy publicznych, a które to dla przestępców nie przedstawiają żadnej wartości bez kluczy prywatnych, przechowywanych tylko na urządzeniach ich użytkowników.

Tak więc to już nie kwestia bliżej nieokreślonej daty. Myślę, że w najbliższych kilku latach, po wdrożeniu tego rozwiązania zarówno przez Apple, jak i Microsoft i Google na dobre pozbędziemy się haseł i szeregu zagrożeń z nimi związanymi, a przynajmniej ich maksymalnie możliwej minimalizacji.

Źródło: Tom's Guide.
Stock Image from Depositphotos.