A techipar szereplői évek óta hangsúlyozzák a jelszómentesség fontosságát, a Google pedig nagyot lépett előre ezen az úton, ugyanis a Google fiókokon május elejétől globálisan elérhetővé vált ez a bejelentkezési mód. A kezdeményezésnek van reális indoka, azonban még sok kérdés nem tisztázott, e heti tippünkben ezt a témát jártuk körbe.
A jelszó probléma és egy lehetséges megoldás
A jelszavak kulcsfontosságú szerepet játszanak az információbiztonság világában.
| 80% Az adatszivárgások több, mint 80%-a jelszavakra vezethető vissza |
89% A vállalkozások 89%-ánál történt adathalász támadás |
51% Minden második jelszót egynél több fiókon használunk |
70$ Egy jelszócsere átlagos költsége 70 dollár |
Jelszavaink biztonságos kezelése (erős, egyedi jelszavak alkalmazása; ezek biztonságos tárolása és az online fiókok kétfaktoros hitelesítéssel történő védelme) ezért az egyik legfontosabb kiberhigiéniás lépés az online fiókjaink védelmében.
A tapasztalat azonban sajnos világszerte azt mutatja, hogy a biztonságos jelszókezelés széles körben nem vált bevett gyakorlattá. Ez feltételezhetően több okból fakad, egyrészről az ezzel járó viszonylagos kényelmetlenség (plusz időt kell fordítani pl. a kétfaktoros hitelesítés beállítására; másik eszközön való bejelentkezéskor be kell írni a kétfaktoros kódokat), másrészről a digitális szolgáltatásokra sokan még mindig hamis biztonságérzettel tekintenek.
A techóriások a jelszó problémára a megoldást a jelszavak teljes kiváltásában látják, és a FIDO Alliance szövetség zászlaja alatt kidolgozták a Passkey koncepciót, ami már a Google és Apple szolgáltatásainál elérhető.
Mi a Passkey hitelesítés lényege?
A Passkey hitelesítés a WebAuthentication (“WebAuthn”) szabvány alapján működik, és két fő biztonsági technológiára épít: a nyilvános kulcsú titkosításra, illetve a Trusted Platform Module (TPM) biztonsági chip technológiára. Ezek olyan évek óta alkalmazott technológiák, amelyek jelen tudásunk szerint megfelelően implementálva megbízható biztonságot képesek nyújtani.
Megjegyzés: A Passkey-re a magyar nyelvű oldalain a Google „Azonosítókulcsként”, az Apple „Jelkulcsként” hivatkozik, jelen összefoglalóban az egyértelműség miatt mi a Passkey-t használjuk.
A felhasználó azonosítása során a klasszikus felhasználónév/jelszó párost egy kriptográfiai kulcspár helyettesíti. A kulcspár egyik tagja (publikus kulcs) azon a szerveren kerül tárolásra, ahova be szeretnénk jelentkezni (pl. G-mail levelező fiók), a másik tagja (privát kulcs) pedig a felhasználó birtokában lévő digitális eszközökön ─ praktikusan okostelefonon, számítógépen, tableten vagy akár egy FIDO kompatibilis hardverkulcson ─, amelyeken Passkey-t hozunk létre.
Ez a kulcspár minden online fiók esetében garantáltan egyedi. A szerveroldalon tárolt kulcsnak nem kell titkosnak lennie, így nem kell tartani az esetleges adatszivárgásoktól sem, a bejelentkezési folyamat során nem halad át titkos információ a hálózaton, amit egy támadó ellophatna. A hitelesítés során a szerver csupán arról győződik meg, hogy a privát kulcs rendelkezésre áll-e a fiók tulajdonosának eszközén. Azt pedig, hogy az eszközt valóban a fiók tulajdonosa használja, az eszközön biometrikus azonosítással (ujjlenyomat, arckép) vagy a telefon feloldásához is használt PIN kód megadásával tudjuk igazolni.
Milyen online szolgáltatások támogatják jelenleg a Passkey-bejelentkezést?
Jelen cikk idején már az alábbi weboldalak és alkalmazások is támogatják a Passkey bejelentkezést:
- Best Buy
- CardPointers
- Carnival
- Dashlane
- eBay
- GoDaddy
- Kayak
- Nvidia.com
- PayPal
- WordPress
A Passkey hitelesítés előnyei
- A Passkey legnagyobb előnye, hogy védelmet nyújt az adathalászat ellen. (Pontosabban: csak azon szolgáltatások esetében nyújt védelmet, amihez bekapcsoltuk, tehát Google fiók esetében a Google bejelentkező oldalt lemásoló adathalász weboldalakkal szemben). Míg egy adathalász weboldalon “véletlenül” megadhatjuk a jelszavunkat, addig a Passkey esetében erre nincs mód. A WebAuthn szabvány pedig ─ jelen ismereteink szerint ─ megfelelő biztonságot nyújt.
- Kényelmesebb mindennapi használatot ígér, mint a jelszavak.
Hátrányok, kérdések
Mivel a technológia nemrég óta érhető el, a lehetséges problémákról is keveset tudunk.
- Vigyáznunk kell a Passkey-bejelentkezésre használt eszközeinkre! Ha nem készítünk biztonsági mentést a Passkey-t tartalmazó eszközről vagy nem szinkronizáljuk azokat egy másik eszközre, előfordulhat, hogy nem fogunk hozzáférni a fiókhoz. (Érdemes megjegyezni, hogy a Google erre az esetre átmenetileg meghagyja a jelszavas bejelentkezési opciót, azonban ha vissza lehet térni a jelszóhoz az önmagában kérdésessé teszi a Passkey által nyújtott biztonságot. Apple eszközön pedig az a helyzet áll elő, hogy ugyan a Passkey automatikusan az iCloud fiókunkba kerül (az iCloud aktiválása nélkül nem is tudjuk használatba venni), így addig nem veszik el, amíg az iCloudhoz hozzáférünk, azaz ismerjük az AppleID-nkhoz tartozó jelszót.)
- Amire mindenképp oda kell figyelni: nem szabad aktiválni közös használatú eszközökön (pl. munkahelyi vagy publikus számítógépeken)! Aki ezekhez az eszközhöz hozzáfér, az egyszersmind az érintett fiókokba is be tud jelentkezni.
- Rendszerkövetelmények: A Passkey nem működik minden jelenlegi eszközön. Apple ökoszisztémában pl. minimum követelmény az iOS 16 vagy macOS Ventura operációs rendszer megléte, Android esetén minimum 9 (Pie), Windowson pedig Windows 10-re van szükség. Böngészők tekintetében a Google Passkey követelménye jelenleg Chrome 109, Safari 16, vagy Edge 109 (vagy későbbi verzió).
- A különböző szolgáltatások esetében számolnunk kell a lehetséges programozói hibákkal is, amelyek a szabvány hibás megvalósítása során következhetnek be, ezzel csökkentve a Passkey hitelesítés biztonságát.