Czym jest Mobile-Bound Passkey?
Mobile-Bound Passkey to metoda uwierzytelniania bezhasłowego, w której klucz kryptograficzny (passkey) jest przechowywany wyłącznie na jednym, autoryzowanym urządzeniu mobilnym. W przeciwieństwie do synchronizowanych passkeyów, które mogą być kopiowane i przechowywane w chmurze, Mobile-Bound Passkey uniemożliwia ich migrację na inne urządzenia. Klucz prywatny jest zapisany w dedykowanej aplikacji i powiązany z bezpiecznym środowiskiem urządzenia, takim jak Secure Element lub Trusted Platform Module (TPM).
Dzięki temu organizacje mają pełną kontrolę nad dostępem użytkowników i eliminują ryzyko związane z przechowywaniem uwierzytelnienia w chmurze. Mobile-Bound Passkey to rozwiązanie, które łączy wysokie bezpieczeństwo i wygodę użytkowania, jednocześnie odpowiadając na potrzeby firm związane z zarządzaniem tożsamością i dostępem (IAM).
Jak działa Mobile-Bound Passkey?
1. Rejestracja – Użytkownik rejestruje Mobile-Bound Passkey na urządzeniu mobilnym, korzystając z dedykowanej aplikacji. Klucz kryptograficzny jest generowany i zapisywany w zabezpieczonym środowisku urządzenia.
2. Uwierzytelnianie – Gdy użytkownik chce uzyskać dostęp do zasobu (np. aplikacji firmowej), autoryzacja odbywa się za pomocą klucza przechowywanego na telefonie, bez potrzeby wpisywania hasła.
3. Brak synchronizacji – Klucz prywatny nie jest kopiowany ani przechowywany w chmurze, co eliminuje ryzyko przejęcia go przez nieautoryzowane osoby.
Mobile-Bound Passkey wykorzystuje standardy FIDO2 i WebAuthn, co oznacza, że może być wdrażany w istniejących systemach IAM, takich jak SAML, OAuth, OpenID Connect, bez konieczności modyfikacji aplikacji.
Korzyści Mobile-Bound Passkey
1. Zwiększone bezpieczeństwo
- Klucz prywatny jest przechowywany lokalnie, co eliminuje ryzyko jego przejęcia w wyniku ataku na infrastrukturę chmurową.
- Brak synchronizacji oznacza, że użytkownik nie może skopiować passkeya na inne urządzenie, co ogranicza ryzyko nieautoryzowanego dostępu.
- Wykorzystanie sprzętowych mechanizmów bezpieczeństwa, takich jak Secure Element lub TPM, zapobiega atakom typu phishing i man-in-the-middle (MITM).
2. Pełna kontrola dla organizacji
- Firmy mogą wymusić korzystanie z Mobile-Bound Passkey wyłącznie na urządzeniach zatwierdzonych przez organizację.
- Eliminacja potrzeby zarządzania fizycznymi kluczami bezpieczeństwa, takimi jak YubiKey, co upraszcza logistykę i zmniejsza koszty operacyjne.
- Możliwość centralnego zarządzania polityką uwierzytelniania, co zapewnia zgodność z przepisami i normami bezpieczeństwa.
3. Zgodność z regulacjami i normami
- Mobile-Bound Passkey spełnia wymagania PSD2, które zakazują przechowywania kluczy uwierzytelniających w chmurze.
- Pomaga w spełnieniu wymagań NIS2, DORA i GDPR, które kładą nacisk na silne uwierzytelnianie i ochronę danych.
- Zapewnia zgodność z wytycznymi dotyczącymi Zero Trust Security, ograniczając możliwość nieautoryzowanego dostępu.
4. Wygoda użytkownika
- Uwierzytelnianie jest szybkie i bezproblemowe – użytkownik loguje się przy użyciu telefonu, zamiast wpisywać hasło.
- Brak konieczności pamiętania i zarządzania wieloma hasłami.
- Integracja z biometrią (Face ID, odcisk palca) pozwala na intuicyjne i bezpieczne uwierzytelnianie.
Gdzie sprawdzi się Mobile-Bound Passkey?
Mobile-Bound Passkey znajduje zastosowanie w sektorach, gdzie wymagana jest wysoka kontrola dostępu oraz zgodność z regulacjami bezpieczeństwa.
1. Sektor finansowy
- Banki i instytucje finansowe mogą wdrożyć Mobile-Bound Passkey, aby spełnić wymogi PSD2 i zapewnić silne uwierzytelnianie klientom oraz pracownikom.
- Eliminuje potrzebę stosowania fizycznych tokenów do logowania.
2. Opieka zdrowotna
- Szpitale i kliniki mogą chronić dostęp do danych pacjentów zgodnie z wymogami HIPAA.
- Uwierzytelnianie oparte na Mobile-Bound Passkey redukuje ryzyko naruszenia poufnych informacji medycznych.
3. Administracja publiczna i sektor rządowy
- Organizacje rządowe mogą wykorzystać Mobile-Bound Passkey do ochrony systemów i baz danych przed nieautoryzowanym dostępem.
- Brak konieczności przechowywania kluczy w chmurze zwiększa bezpieczeństwo narodowe i minimalizuje ryzyko ingerencji zewnętrznych podmiotów.
4. Przedsiębiorstwa i korporacje
- Mobile-Bound Passkey upraszcza zarządzanie dostępem dla pracowników, eliminując konieczność resetowania haseł i obsługi zapomnianych loginów.
- Firmy mogą stosować politykę uwierzytelniania, która wymusza korzystanie z autoryzowanych urządzeń mobilnych.
Podsumowanie
Mobile-Bound Passkey to przełomowe rozwiązanie dla firm, które chcą przejść na bezhasłowe uwierzytelnianie, ale nie chcą rezygnować z kontroli nad bezpieczeństwem i zgodnością z regulacjami.
Dzięki przechowywaniu klucza tylko na jednym urządzeniu mobilnym, Mobile-Bound Passkey eliminuje ryzyka związane z synchronizacją i przechowywaniem w chmurze, zapewniając:
- Silne uwierzytelnianie dzięki wykorzystaniu sprzętowych mechanizmów bezpieczeństwa.
- Pełną kontrolę dla organizacji, która może narzucać zasady dostępu.
- Zgodność z regulacjami dotyczącymi ochrony danych i uwierzytelniania.
- Lepsze doświadczenie użytkownika, eliminując potrzebę stosowania fizycznych kluczy bezpieczeństwa czy haseł.
Dla firm, które szukają nowoczesnego i bezpiecznego sposobu na wdrożenie passkeyów, Mobile-Bound Passkey jest rozwiązaniem, które warto rozważyć.
Chcesz dowiedzieć się więcej o wdrożeniu Mobile-Bound Passkey w Twojej organizacji? Skontaktuj się z ekspertem Secfense i pobierz raport specjalny nt. wdrażania passkeys w organizacjach.
