Passkeys: Szybki i łatwy przewodnik po uwierzytelnianiu bez hasła

Secfense guide to passkeys

Passkeys: Przyszłość uwierzytelniania online

Passkey to metoda uwierzytelniania bez hasła dla stron internetowych i aplikacji, wspierana przez World Wide Web Consortium i FIDO Alliance. Passkeys zostały stworzone, aby uczynić logowanie do stron internetowych i aplikacji bezpieczniejszym i łatwiejszym. Zostały one wprowadzone, ponieważ stary sposób korzystania z haseł miał wiele problemów. Hasła mogą być trudne do zapamiętania, zwłaszcza jeśli są skomplikowane. Co więcej, ludzie mogą oszukać użytkownika i zmusić go do podania hasła lub wykraść je z serwera witryny.

Grupa firm i organizacji, znana jako World Wide Web Consortium (W3C) i FIDO (Fast IDentity Online) Alliance, opracowała passkey, będący kolejnym krokiem standardu uwierzytelniania FIDO2. Organizacje te wspólnie pracują nad tym, aby Internet stawał się bezpieczniejszy i bardziej przyjazny dla użytkownika.

Apple było jedną z pierwszych firm, które przyczyniły się do wprowadzenia passkey na szeroką skalę. W czerwcu 2022 r. ogłosili, że zaczną używać passkeys w swoich urządzeniach. Passkeys nie są jednak przeznaczone wyłącznie dla urządzeń Apple. Firmy takie jak Microsoft i Google również zaczęły korzystać z passkeys, a kolejne firmy stopniowo dołączają.

Obecnie dostępna jest szeroka gama opcji uwierzytelniania bezhasłowego passwordless, jednak nie są one „darmowe”, ponieważ wymagają oprogramowania innych firm lub fizycznych kluczy bezpieczeństwa FIDO2. Celem passkey jest rozwiązanie problemów związanych z hasłami. Zamiast pamiętać i wpisywać hasło, można użyć klucza dostępu, który jest specjalnym kluczem cyfrowym przechowywanym na urządzeniu. Często klucz ten jest powiązany z czymś unikalnym, na przykład z odciskiem palca. Dzięki temu klucze dostępu są bezpieczniejsze i łatwiejsze w użyciu niż hasła.

Jak działa passkey?

Działanie passkeys polega na zastąpieniu haseł lepszym i łatwiejszym sposobem logowania się do stron internetowych i aplikacji. Oto jak one działają:

  1. Konfiguracja: Aby utworzyć klucz dostępu passkey, należy wybrać specjalny sposób logowania, na przykład za pomocą odcisku palca, rozpoznawania twarzy, kodu PIN lub swipe. Użytkownik robi to podczas pierwszej rejestracji w witrynie lub aplikacji.
  2. Zapisywanie: Klucz dostępu jest zapisywany na urządzeniu, takim jak telefon lub komputer. Passkeys są zachowywane w bezpieczny i prywatny sposób, dzięki czemu tylko konkretny użytkownik może z nich korzystać.
  3. Logowanie: Aby zalogować się do witryny lub aplikacji, należy wybrać opcję logowania z kluczem dostępu passkey. Urządzenie tworzy specjalny kod, który pokazuje, że jest się prawdziwym właścicielem passkey.
  4. Sprawdzanie: Strona internetowa lub aplikacja sprawdza kod wysłany przez urządzenie. Jeśli pasuje on do zapisanego klucza dostępu passkey, użytkownik jest wpuszczany do środka.
  5. Korzystanie na różnych urządzeniach: Klucza dostępu passkey można używać na różnych urządzeniach, takich jak telefon i komputer. Niektóre klucze dostępu passkey są przechowywane w chmurze i synchronizowane między urządzeniami, podczas gdy inne muszą znajdować się na każdym urządzeniu.
  6. Większe bezpieczeństwo: Klucze dostępu są bezpieczniejsze niż hasła, ponieważ są przechowywane na konkretnym urządzeniu lub w specjalnym kluczu. Passkeys chronią przed przestępcami i nie zadziałają na fałszywych stronach internetowych podszywających się pod strony legalne.

Passkeys ułatwiają logowanie i zapewniają bezpieczeństwo kont. Nie trzeba już pamiętać skomplikowanych haseł, a dane użytkownika pozostają chronione.

Zalety passkeys

Klucze dostępu mają wiele istotnych zalet w porównaniu do zwykłych haseł. Oto główne zalety korzystania z passkeys:

  1. Większe bezpieczeństwo: Klucze dostępu zapewniają lepszą ochronę kont. W przeciwieństwie do haseł, które są łatwe do odgadnięcia lub kradzieży, klucze dostępu passkeys są unikalne i powiązane z konkretnym urządzeniem lub danymi biometrycznymi. Utrudnia to nieupoważnionym osobom dostęp do kont.
  2. Ochrona przed phishingiem: passkeys są dobre w powstrzymywaniu ataków phishingowych. Działają one tylko z zaufanymi witrynami lub aplikacjami, dzięki czemu nie da się wprowadzić przypadkowo klucza dostępu passkey na fałszywej stronie. Przeglądarka lub system sprawdza, czy wszystko jest autentyczne, zapewniając większe bezpieczeństwo.
  3. Wygodne i przyjazne dla użytkownika: passkeys są łatwe w użyciu i ułatwiają pracę. Nie trzeba pamiętać skomplikowanych haseł ani wpisywać ich za każdym razem, gdy chce się zalogować. Passkeys umożliwiają szybkie logowanie za pomocą odcisku palca lub twarzy.
  4. Działa na różnych urządzeniach: passkeys mogą być używane na różnych urządzeniach w ramach tego samego systemu. Oznacza to, że można korzystać z klucza dostępu na telefonie, tablecie lub komputerze bez dodatkowej konfiguracji. To znacznie oszczędza czas.
  5. Mniejsze zapotrzebowanie na hasła: passkeys stanowią alternatywę dla zwykłych haseł, zmniejszając stopień polegania na nich Zapewniają one obsługę bez haseł passwordless, dzięki czemu nie trzeba tworzyć i zapamiętywać wielu haseł do różnych kont.
  6. Lepsze doświadczenie użytkownika: passkey sprawia, że logowanie jest łatwiejsze i płynniejsze. Passkeys uwalniają od frustracji związanych z zapominaniem haseł lub koniecznością ich resetowania. Dzięki kluczom dostępu passkeys proces logowania staje się prostszy, szybszy i bardziej wydajny.
  7. Ochrona przed naruszeniem danych: passkeys pomagają chronić informacje użytkownika w przypadku naruszenia danych. Ponieważ klucze dostępu passkeys nie są przechowywane na serwerach, a do weryfikacji używany jest tylko klucz publiczny, atakujący mogą uzyskać mniej cennych danych w przypadku naruszenia.

Passkeys zapewniają większe bezpieczeństwo, wygodę i lepsze wrażenia dla użytkowników. Pomagają one przezwyciężyć ograniczenia i zagrożenia związane ze zwykłymi hasłami, czyniąc konta online bezpieczniejszymi i łatwiejszymi w dostępie.

Przyszłość passkeys

Konsorcjum World Wide Web Consortium (W3C) i FIDO Alliance współpracują, aby klucze dostępu passkeys stały się bardziej popularne i szeroko stosowane. Chcą, aby deweloperzy i firmy zaczęli używać kluczy dostępu zamiast tradycyjnych haseł.

Organizacja W3C jest odpowiedzialna za tworzenie zasad i wytycznych dotyczących korzystania z kluczy dostępu passkeys w Internecie. Organizacje chcą, aby klucze dostępu działały w ten sam sposób na różnych stronach internetowych i urządzeniach, aby każdy mógł z nich łatwo korzystać.

FIDO Alliance to grupa firm, które chcą zwiększyć bezpieczeństwo uwierzytelniania online. Współpracują z dużymi firmami, takimi jak Apple, Google i Microsoft, aby włączyć klucze dostępu passkeys do swoich produktów. Chcą, aby klucze dostępu były dostępne na telefonach, komputerach i innych urządzeniach.

Zarówno W3C, jak i FIDO Alliance chcą, aby klucze dostępu zastąpiły hasła, ponieważ są bezpieczniejsze i wygodniejsze. Mają nadzieję, że więcej osób zacznie używać kluczy dostępu passkeys do ochrony swoich kont online.

Integracja z passkeys

W tradycyjnym podejściu do integracji kluczy dostępu passkeys, twórcy oprogramowania muszą dokonać integracji klucza dostępu z ich aplikacją jeden po drugim, co wymaga czasu i pieniędzy. Prostszym podejściem do integracji klucza dostępu jest to oferowane przez Secfense z wykorzystaniem User Access Security Broker. Podejście Secfense do integracji kluczy dostępu passkeys umożliwia dodawanie kluczy dostępu do wszystkich aplikacji z płynnym wdrażaniem, zapewniając płynne wrażenia użytkownikom końcowym.

Integracja passkeys z Secfense

Integracja passkeys z Secfense upraszcza i usprawnia wdrażanie passkeys jako bezpiecznej metody uwierzytelniania w dużych infrastrukturach korporacyjnych. Wykorzystując podejście Secfense, użytkownicy logujący się do swoich platform internetowych otrzymują powiadomienia od Secfense w celu potwierdzenia logowania. W tym momencie wprowadzono klucze dostępu, a przy następnej próbie logowania użytkownik nie będzie już musiał używać hasła, ale klucza dostępu. Zmiana ta zostanie dokonana natychmiast na wszystkich platformach, więc jeśli mówimy na przykład o operatorze komórkowym lub firmie telekomunikacyjnej, użytkownik będzie mógł korzystać ze wszystkich kanałów obsługi klienta za pomocą tego samego klucza dostępu passkey.

Passkeys eliminują potrzebę stosowania haseł i umożliwiają uwierzytelnianie oparte na biometrii i kryptografii, usprawniając proces logowania. Secfense przechwytuje pojedynczy punkt końcowy do obsługi ruchu uwierzytelniającego od milionów użytkowników, dzięki czemu jest skalowalny i wydajny. Dzięki Secfense można płynnie zarządzać żądaniami uwierzytelnienia z różnych kanałów, w tym mobilnych, czatu, chatbota i sieci. Podejście Secfense do integracji otwiera przed firmami na całym świecie możliwości znacznie szybszego wprowadzenia standardu kluczy passkeys bez konieczności uciążliwej integracji oprogramowania. Najprostszym sposobem, aby zobaczyć, jak integracja passkeys wygląda w rzeczywistości, jest umówienie demo z Secfense. Jeśli jesteś gotowy, aby wypróbować to podejście w swoim środowisku testowym, możesz również zapisać się na POV (proof of value), który zwykle trwa tydzień i pozwala wypróbować passkeys na swoich aplikacjach, niezależnie od tego, czy są to aplikacje nowoczesne, czy starsze.

Antoni takes care of all the marketing content that comes from Secfense. Czytaj więcej

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.