Přihlašování bez hesla. Passkeys je bezpečné, ale jen dokud mi někdo neukradne telefon, říká Koubský

5. květen 2023

Budoucnost, kdy k přihlašování k digitálním službám nebudeme potřebovat hesla, je zase o něco blíž. Společnost Google oznámila, že všem svým uživatelům zpřístupnila přihlašování k jejich Google účtům přes tzv. přístupové klíče, anglicky passkeys. V praxi to znamená, že uživatel k přihlášení nepotřebuje heslo, ale svou totožnost potvrdí například naskenováním otisku prstu, obličeje nebo zadáním PIN kódu.

Čtěte také

Passkeys zjednodušeně fungují tak, že používají dva klíče. Jeden je tzv. veřejný a je spojený s aplikací nebo webem, kam se uživatel připojuje. Druhý je soukromý a je uložen pouze v jeho zařízení – mobilním telefonu, tabletu či počítači. Když se člověk chce přihlásit, potvrdí už jen to, že má přístup k zařízení se soukromým klíčem, nemusí si pamatovat heslo a nemusí je nikam zadávat.

Přístupové klíče jsou díky tomuto odolnější proti phisingovým útokům, protože uživatel nemůže útočníkovi heslo prozradit, ani kdyby chtěl. Větší ochranu nabízejí i proti únikům hesel ze služeb. Samotný veřejný klíč je totiž útočníkům prakticky k ničemu.

Stoprocentní bezpečnost neexistuje

Jedná se o novou formu bezpečnosti, o které již minulý rok mluvily tři velké firmy, a to Google, Apple a Microsoft, které přišly se společným prohlášením, že ji postupně začnou implementovat do svých služeb. Podle Petra Koubského, redaktora Deníku N, je tato metoda bezpečná, ovšem stejně jako vše, má svá omezení.

Čtěte také

„Je to naprosto bezpečné do doby, dokud mi někdo neukradne mobilní telefon, protože to bude zřejmě ten nejčastější prostředek přihlašování. V tom okamžiku je to stejné, jako kdyby mi někdo ukradl klíče od trezoru. To přihlašování je ve své podstatě převedením ze znalosti hesla na vlastnictví odemykacího nástroje,“ míní Koubský.

Samotný nástroj, například telefon, má sice své vlastní bezpečnostní prvky, jako je jeho odemknutí pomocí otisku prstu, naskenováním obličeje, obrazovým heslem či PIN kódem. V tomto případě je ale podle Koubského možnost správného zabezpečení pouze na straně vlastníka přístroje, které nemusí být vždy stoprocentní.

„Pokud člověk zachází s bezpečností mobilního zařízení rozumně a doporučeným způsobem, tak je vše v pořádku. Ne všichni to dělají, ne všichni mají nastaveno třeba automatické zamykání telefonu, protože je otravné ho potom odemykat apod. Jednoduše řečeno, kdo sám sobě chce tu bezpečnost ohrozit, tak to bude moci dělat i nadále po této inovaci,“ říká.

Větší závislost?

Koubský ale nechce být úplně skeptický, protože pokud jde například o phisingové útoky, tak před nimi passkeys uživatelské účty skutečně ochrání.

„Trochu jsem snížil význam té změny, ale je to opravdu důležitý krok proti většině běžných technických úniků dat až po vyzrazená hesla. Je dobře, že to Google a ostatní velké firmy zavádějí. Myslím si ale, že to měly udělat už dávno,“ míní.

Čtěte také

Určitým rizikem může být i to, že passkeys jsou spojeny s provozovatelem služeb, což znamená, že pokud bude chtít uživatel používat takovéto přihlašování, bude muset využívat pouze ty operační systémy, na kterých to bude fungovat. V tomto případě ale hrozí riziko, že si danou technologii zmonopolizují velké firmy, na kterých budou uživatelé ještě více závislí. Podle Koubského nicméně nelze vyřešit bezpečnost, kde by nebyl slabý bod.

„Jde o to, jestli ten slabý bod je u uživatele, anebo u někoho, kdo má odpovídající technologii zabezpečení citlivých údajů, což je spíše ta velká firma. Platí se za to závislostí na ní. Jenže na velkých firmách typu Google jsme v digitálním světě závislí tolika způsoby, že toto už na situaci mnoho nezmění. Je otázka, do jaké míry je velká závislost rozumná a do jaké míry je nebezpečná. Ale když jde o každodenní rizika spojená s bezpečností, tak bych řekl, že tento krok je spíš zlepšením naší situace než naopak,“ dodává.

Poslechněte si celý pořad Online Plus Davida Slížka v audiozáznamu. Dále se dozvíte o tom, jak Twitter přestal označovat účty ruských a státních médií a zrušil tak omezení jejich dosahu, jak kmotr AI varuje před jejími riziky a proč Samsung zakázal zaměstnancům používat AI nástroje.

autoři: David Slížek , vkry
Spustit audio

Související