Duże firmy mogą zrezygnować z haseł. Jakie rozwiązanie może je zastąpić?

Apple, Google czy Microsoft już od 2022 roku wprowadzają do swoich usług zupełnie nową technologię, która zastępuje tradycyjny sposób uwierzytelniania oparty na loginach i hasłach.

Passkeys dziś wykorzystywane już m.in. w serwisach LinkedIn, Playstation Networks, Uber, Bolt czy Kayak.

Chyba każdy użytkownik usług gigantów technologicznych spotkał się już z komunikatem proponującym mu przejście na logowanie do serwisu za pomocą bezpiecznych kluczy. Z danych FIDO Alliance wynika, że technologia passkeys mogłyby dziś zabezpieczać aż 7 miliardów kont. Liczba jej użytkowników jest jednak zdecydowanie niższa.

Firmy i użytkownicy niechętni zmianom

Wciąż także niewiele firm decyduje się na zintegrowanie tej technologii ze swoimi usługami. A to mogłoby zdecydowanie podnieść bezpieczeństwo organizacji, ich danych i użytkowników. Z raportu Verizon wynika, że w 2023 roku 49% zgłoszonych naruszeń danych, w tym 86% naruszeń aplikacji internetowych, dotyczyło użycia skradzionych poświadczeń: nazw użytkowników i haseł. Rezygnacja z łatwych do przejęcia haseł jest więc w stanie znacząco wpłynąć na poprawę cyberochrony przedsiębiorstw.

Dlaczego więc firmy wciąż proponują użytkownikom podatne na cyberataki sposoby uwierzytelniania? Powodów jest kilka. Jednym z nich jest przyzwyczajenie i wygoda użytkowników.

- Hasła to jest coś, co bardzo dobrze znamy, czego używamy od wielu lat. I czemu – wbrew doniesieniom prasowym o kolejnych cyberatakach – wciąż ufamy. Warto jednak pamiętać, że nowe, bezpieczniejsze technologie, takie jak passkeys, opierają swoje działania między innymi na tym, co również jej znane użytkownikom, np. na skanowaniu odcisku palca. Zatem przejście na taką nową metodę uwierzytelniania nie powinno być problemem dla użytkownika – mówi Bartosz Cieszewski, Solution Architect w Secfense.

Czym są passkeys?

Passkeys to bezpieczny i innowacyjny sposób uwierzytelniania użytkowników na różnych platformach internetowych, wykorzystujący mechanizm FIDO2. Opiera się na kryptografii klucza publicznego i działa poprzez utworzenie unikalnej pary kluczy kryptograficznych – klucza prywatnego i klucza publicznego. Klucz prywatny jest bezpiecznie przechowywany na urządzeniu użytkownika, a klucz publiczny jest udostępniany usłudze online. Metoda ta zapewnia wysoki poziom bezpieczeństwa, gdyż klucz prywatny nigdy nie opuszcza urządzenia użytkownika.

Co ważne, passkeys dają użytkownikom dwie istotne wartości, które wyraźnie poprawiają jego wygodę. Po pierwsze – dzięki wykorzystaniu tak zwanego Credential ID, czyli danej wymienianej między witryną a uwierzytelniaczem (smartfonem, komputerem lub kluczem sprzętowym), pozwala wyeliminować z procesu uwierzytelniania login. Po drugie – klucz prywatny jest zapisywany na urządzeniu, z którego użytkownik korzysta na co dzień. Co więcej – uwierzytelniaczem może być też oprogramowanie. Klucze można zapisać w chmurze, dzięki czemu można je synchronizować między różnymi urządzeniami.

- Klucz prywatny jest tworzony podczas rejestracji w usłudze, np. w bankowości elektronicznej, i jest zapisywany np. na smartfonie razem z przypisanym do niego Credential ID. To jest unikalna para. W momencie uwierzytelniania na stronie przy pomocy passkeys urządzenie uwierzytelniające wysyła do witryny właśnie Credential ID. Jeżeli witryna ma takie ID w swojej bazie, wie, którego zestawu klucza publicznego użyć. Użytkownik nie musi więc wpisywać loginu i hasła, jest bowiem identyfikowany przez to ID. Dzięki temu można zapewnić uwierzytelnianie passwordless, czyli bezhasłowe, oraz usernameless, czyli bez nazwy użytkownika. Działanie passkeys może wydawać się skomplikowane. Warto jednak zapamiętać, że jedną z ważniejszych wartości tej technologii jest to, że jest odporna na phishing i eliminuje konieczność posługiwania się loginami i hasłami – tłumaczy Bartosz Cieszewski.

Czy każda firma może wdrożyć passkeys?

Z danych KPMG wynika, że w 2023 roku aż 66% polskich firm odnotowało incydenty naruszenia bezpieczeństwa. Liczba ataków, także tych, które zaczynają się od przejęcia danych dostępowych pracowników lub użytkowników systemów, nie maleje.

Nic dziwnego, że Unia Europejska przywiązuje coraz większą wagę do cyberbezpieczeństwa i wprowadza nowe regulacje mające na celu podniesienie poziomu cyberochrony firm i organizacji. Dyrektywa NIS2 czy rozporządzenie DORA skupiają się właśnie na tym aspekcie, zobowiązując instytucje do wprowadzania dodatkowych technologii bezpieczeństwa, w tym silnego uwierzytelniania. Passkeys pozwalają na wprowadzenie w firmie właśnie takiego uwierzytelniania. Jak jednak wdrożyć je w organizacji?

- Aby zwiększyć bezpieczeństwo swoich systemów i aplikacji, nie tylko wewnętrznych, ale także tych udostępnianych klientom, i przejść na uwierzytelnianie bez haseł, firmy muszą zintegrować passkeys ze swoimi aplikacjami. W standardowym przebiegu tego procesu twórcy oprogramowania integrują z passkeys aplikacje jedną po drugiej. To jednak wymaga czasu i zaangażowania programistów. Szybszą alternatywą może okazać się dla firm wykorzystanie User Access Security Broker, czyli rozwiązania umożliwiającego szybkie i płynne dodawanie kluczy dostępu do wszystkich aplikacji, bez konieczności kodowania i bez wpływu na płynność działania usługi – dodaje Bartosz Cieszewski z Secfense.

Pobierz ebook "Jak otworzyć sklep internetowy - ebook z poradami dla firm"