Passkey: prijava brez gesla je že tukaj

Vsako leto prvi četrtek v maju obeležujemo svetovni dan gesel, ki nas opomni na pomen skrbnega ravnanja za zaščito naših digitalnih identitet. Gesla? Kmalu jih morda sploh ne boste več potrebovali.

Gesla so že dolgo osnovni način prijave v spletne storitve, a imajo očitno slabost: preveč jih je. Povprečen uporabnik ima danes več deset različnih računov, kar pomeni tudi več deset gesel. Posledica? Uporabniki si gesla poenostavljajo, jih ponovno uporabljajo ali zapisujejo, vse to pa zmanjšuje varnost. Rešitev, ki se vse hitreje uveljavlja, je prijava brez gesla s t. i. ključem za dostop (passkey).

Verjetno niti ne veste, da ste to že kdaj uporabili. Vam je morda kakšna spletna stran pred kratkim predlagala, da nastavite enostavnejšo možnost prijave? Tako, kjer se lahko prijavite v aplikacijo zgolj s prstnim odtisom ali PIN-kodo, ki jo sicer uporabljate za telefon ali računalnik, torej brez vpisovanja gesla? No, to je passkey.

Kaj sploh je passkey?

Passkey (slovensko ključ za dostop) je način prijave, pri katerem gesla sploh ne uporabljamo. Namesto da bi se avtenticirali z geslom, ki ga sami izberemo, se avtenticiramo s kriptografskim ključem, ki ga generira in varno hrani naša naprava, npr. pametni telefon, računalnik, brskalnik ali posebna naprava, ki jo priključimo na računalnik (t. i. varnostni ključ). Kriptografski ključ je v primerjavi z geslom neprimerno bolj kompleksen in nikoli ne zapusti naprave na način, da bi ga lahko prestregli napadalci (npr. v phishing napadu).

Naprava pravzaprav zgenerira dva ključa – javnega in zasebnega, ki sta matematično povezana. Kar zašifriramo z enim ključem, lahko odšifriramo zgolj z drugim ključem. Zasebni ključ ostane shranjen na napravi, javni ključ pa se shrani pri ponudniku storitve.

Ko se želimo na neki spletni strani prijaviti, najprej s prstnim odtisom, obrazom ali PIN-kodo odklenemo zasebni ključ, naprava s pomočjo zasebnega ključa ustvari poseben digitalni podpis, ki ga pošlje na spletno stran, ta pa ga lahko dešifrira zgolj z našim javnim ključem, ki ga ima shranjenega pri sebi. Na ta način spletna stran ve, da prijava prihaja res od nas. Brez zasebnega ključa, ki je na naši napravi, tako ne more priti do uspešne prijave.

Ko se prijavljate, vas spletna stran torej ne vpraša po geslu. Namesto tega samo potrdite svojo identiteto na način, ki ga že poznate oz. ste ga izbrali: s prstnim odtisom, prepoznavo obraza ali pinom naprave. Brez tipkanja in brez pozabljenih gesel.

Zakaj je to varneje?

Geslo je skrivnost, ki jo ob prijavi posredujete spletni strani. Prav zato jo lahko napadalci ukradejo. Na primer prek lažnih (phishing) strani, ob vdorih v podatkovne baze ali s prevaro, da jim geslo razkrijete sami.

Ključi za dostop delujejo drugače. Spletna stran nikoli ne prejme vaše skrivnosti, temveč le potrditev, da ste to res vi. Če bi vas nekdo poskušal pretentati z lažno spletno stranjo, od vas ne bi mogel pridobiti ničesar uporabnega, saj digitalni podpis, ki ga pošlje vaša naprava, vsebuje tudi informacijo o spletni strani, na kateri se opravlja prijava. Zato pravimo, da so ključi za dostop odporni proti phishing napadom.

Iz tega vidika so tudi varnejši kot tradicionalna dvofaktorska (2FA) prijava z geslom in dodatno kodo, saj lahko napadalci preko phishing napada prestrežejo tako geslo kot kodo. Sicer pa imajo ključi za dostop že vgrajen 2FA, saj se prijavljamo z nečim, kar imamo (naprava, ki hrani zasebni ključ), ter nečim, kar smo ali vemo (prstni odtis, obraz ali PIN-koda, s katerim odklenemo zasebni ključ).

Poleg tega je vsak ključ za dostop oz. passkey unikaten za posamezno storitev. Ni ga mogoče uporabiti drugje, uganiti ali »reciklirati« po vdoru.

Kje lahko ključe za dostop uporabljamo že danes?

Morda preseneča, kako razširjena je že ta tehnologija. Ključe za dostop postopoma uvajajo vse večje in bolj priljubljene spletne storitve – od e-poštnih in družbenih omrežij do spletnih trgovin in finančnih storitev. Vedno pogosteje so na voljo kot alternativa geslu ali kot dodatna, varnejša in enostavnejša možnost prijave.

Običajno jih lahko nastavite v nastavitvah svojega uporabniškega računa, najpogosteje v razdelkih »Varnost«, »Prijava« ali »Načini prijave«. Postopek je preprost in vas vodi skozi nekaj osnovnih korakov.

Pomembno je tudi, da ključi za dostop niso omejeni le na eno napravo. Za vsako spletno storitev lahko kreiramo več različnih ključev za dostop – npr. na računalniku in telefonu, pri prijavi pa uporabimo tistega, ki nam je na voljo. Če uporabljate več naprav z istim uporabniškim računom (na primer telefon in računalnik), se lahko vaši ključi za dostop med njimi samodejno sinhronizirajo. To pomeni, da ključ za dostop, ki ga ustvarite na telefonu, lahko uporabljate tudi na prenosniku.

Če se prijavljate na novi ali tuji napravi, pa lahko prijavo še vedno potrdite s svojo napravo. Na primer tako, da na telefonu odobrite prijavo na računalniku. V praksi to pomeni, da za uporabo ključev za dostop ne potrebujete ničesar posebnega: dovolj je naprava, ki jo že uporabljate, in način odklepanja, ki ga že poznate (prstni odtis, obraz ali PIN).

Kaj pa, če izgubim telefon?

Ob izgubi ali menjavi telefona ne izgubite dostopa do svojih ključev. Na novi napravi se preprosto prijavite v svoj uporabniški račun in ključi se bodo prenesli na novo napravo. Pazite samo to, da boste imeli na telefonu vedno vklopljeno sinhronizacijo podatkov v Google oz. iCloud račun.

Če pa dostopa do svojih naprav vseeno nimate, večina storitev še vedno omogoča rezervne načine prijave, kot so enkratne kode prek e-pošte ali SMS-sporočil. Ti so namenjeni prav situacijam, ko izgubite napravo ali dostop.

Ali moram zdaj opustiti vsa gesla?

Seveda ne. Ključi za dostop za zdaj niso obvezni, so pa zelo priporočljivi. Pa še vseh gesel si vam ni treba zapomniti.

Gesla in ključi za dostop bodo še nekaj časa obstajali vzporedno. Smiselno pa je, da ključe za dostop nastavite vsaj tam, kjer je varnost najpomembnejša: pri e-pošti in na primer Google ali Apple računih.

Korak naprej, ne nazaj

Na prvi pogled se morda zdi, da gre za zapleteno novost, a v praksi je ravno nasprotno: passkey poenostavi prijavo in hkrati poveča varnost. Ni si ga treba zapomniti. Ni ga treba redno menjati. In ni ga mogoče pozabiti.

Močna in unikatna gesla sama po sebi niso več dovolj. Prevaranti na naše dostopne podatke prežijo z različnimi zvijačami. Tudi dvofaktorsko avtentikacijo jim je uspelo zaobiti.

Z uporabo tega načina prijave ste torej korak pred goljufi. Ni si vam treba zapomniti toliko različnih kompliciranih gesel, pa še goljufu jih ne morete posredovati. Passkey je digitalni ključ, ki ga ustvari vaša naprava in ki nadomesti geslo. Ključ je edinstven za vsako storitev posebej in nikoli ne zapusti vaše naprave, kar pomeni, da ga ni mogoče prestreči ali ukrasti.

In kdaj, če ne prav na svetovni dan gesel, bi bil primernejši čas, da poskrbite, da bodo vaši dostopi varni pred spletnimi napadalci.