Budoucnost, kdy k přihlašování k digitálním službám nebudeme potřebovat hesla, je zase o něco blíž. Společnost Google oznámila, že všem svým uživatelům zpřístupnila přihlašování k jejich Google účtům přes tzv. přístupové klíče, anglicky passkeys. V praxi to znamená, že uživatel k přihlášení nepotřebuje heslo, ale svou totožnost potvrdí například naskenováním otisku prstu, obličeje nebo zadáním PIN kódu.

Praha 15:03 6. května 2023 Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Passkeys zjednodušeně fungují tak, že používají dva klíče. Jeden je tzv. veřejný a je spojený s aplikací nebo webem, kam se uživatel připojuje. Druhý je soukromý a je uložen pouze v jeho zařízení – mobilním telefonu, tabletu či počítači.

Když se člověk chce přihlásit, potvrdí už jen to, že má přístup k zařízení se soukromým klíčem, nemusí si pamatovat heslo a nikam ho zadávat.

Přístupové klíče jsou díky tomuto odolnější proti phisingovým útokům, protože uživatel nemůže útočníkovi heslo prozradit, ani kdyby chtěl. Větší ochranu nabízejí i proti únikům hesel ze služeb. Samotný veřejný klíč je totiž útočníkům prakticky k ničemu.

Stoprocentní bezpečnost?

Jedná se o novou formu bezpečnosti, o které již minulý rok mluvily tři velké firmy, a to Google, Apple a Microsoft, které přišly se společným prohlášením, že ji postupně začnou implementovat do svých služeb. Podle Petra Koubského, redaktora Deníku N, je tato metoda bezpečná, ovšem stejně jako vše, má svá omezení.

„Je to naprosto bezpečné do doby, dokud mi někdo neukradne mobilní telefon, protože to bude zřejmě ten nejčastější prostředek přihlašování. V tom okamžiku je to stejné, jako kdyby mi někdo ukradl klíče od trezoru. To přihlašování je ve své podstatě převedením ze znalosti hesla na vlastnictví odemykacího nástroje,“ míní Koubský.

Samotný nástroj, například telefon, má sice své vlastní bezpečnostní prvky, jako je jeho odemknutí pomocí otisku prstu, naskenováním obličeje, obrazovým heslem či PIN kódem.

V tomto případě je ale podle Koubského možnost správného zabezpečení pouze na straně vlastníka přístroje, které nemusí být vždy stoprocentní.

„Pokud člověk zachází s bezpečností mobilního zařízení rozumně a doporučeným způsobem, tak je vše v pořádku. Ne všichni to dělají, ne všichni mají nastaveno třeba automatické zamykání telefonu, protože je otravné ho potom odemykat apod. Jednoduše řečeno, kdo sám sobě chce tu bezpečnost ohrozit, tak to bude moci dělat i nadále po této inovaci,“ říká.

Větší závislost?

Zkuste MAGA2020!. V Nizozemsku našli hackera, který během voleb zveřejnil heslo k Twitteru Trumpa

Číst článek

Koubský ale nechce být úplně skeptický, protože pokud jde například o phisingové útoky, tak před nimi passkeys uživatelské účty skutečně ochrání.

„Trochu jsem snížil význam té změny, ale je to opravdu důležitý krok proti většině běžných technických úniků dat až po vyzrazená hesla. Je dobře, že to Google a ostatní velké firmy zavádějí. Myslím si ale, že to měly udělat už dávno,“ míní.

Určitým rizikem může být i to, že passkeys jsou spojeny s provozovatelem služeb, což znamená, že pokud bude chtít uživatel používat takovéto přihlašování, bude muset využívat pouze ty operační systémy, na kterých to bude fungovat.

V tomto případě ale hrozí riziko, že si danou technologii zmonopolizují velké firmy, na kterých budou uživatelé ještě více závislí. Podle Koubského nicméně nelze vyřešit bezpečnost, kde by nebyl slabý bod.

Chyba serveru od Microsoftu způsobila únik dat 65 000 firem, mezi nimi i českých ministerstev a bank

Číst článek

„Jde o to, jestli ten slabý bod je u uživatele, anebo u někoho, kdo má odpovídající technologii zabezpečení citlivých údajů, což je spíše ta velká firma. Platí se za to závislostí na ní,“ míní Koubský.

Dodává však, že jsme na velkých firmách typu Google v digitálním světě závislí tolika způsoby, že toto už na situaci mnoho nezmění. „Je otázka, do jaké míry je velká závislost rozumná a do jaké míry je nebezpečná. Ale když jde o každodenní rizika spojená s bezpečností, tak bych řekl, že tento krok je spíš zlepšením naší situace než naopak,“ doplňuje Koubský.

Poslechněte si celý pořad Online Plus Davida Slížka v audiozáznamu, který najdete výše. Dále se dozvíte o tom, jak Twitter přestal označovat účty ruských a státních médií a zrušil tak omezení jejich dosahu, jak kmotr AI varuje před jejími riziky a proč Samsung zakázal zaměstnancům používat AI nástroje.

David Slížek, vkry Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít