Passkey – Előnyök és hátrányok | National Cyber-Security Center of Hungary

Passkey – Előnyök és hátrányok

2023. május 19. 12:41

(Borítókép: Vertigo3d / Getty Images)

A techipar szereplői évek óta hangsúlyozzák a jelszómentesség fontosságát, a Google pedig nagyot lépett előre ezen az úton, ugyanis a Google fiókokon május elejétől globálisan elérhetővé vált ez a bejelentkezési mód. A kezdeményezésnek van reális indoka, azonban még sok kérdés nem tisztázott, e heti tippünkben ezt a témát jártuk körbe.

A jelszó probléma és egy lehetséges megoldás

A jelszavak kulcsfontosságú szerepet játszanak az információbiztonság világában.

80%
Az adatszivárgások több, mint 80%-a jelszavakra vezethető vissza

89%
A vállalkozások 89%-ánál történt adathalász támadás

51%
Minden második jelszót egynél több fiókon használunk

70$
Egy jelszócsere átlagos költsége 70 dollár

Jelszavaink biztonságos kezelése (erős, egyedi jelszavak alkalmazása; ezek biztonságos tárolása és az online fiókok kétfaktoros hitelesítéssel történő védelme) ezért az egyik legfontosabb kiberhigiéniás lépés az online fiókjaink védelmében.

A tapasztalat azonban sajnos világszerte azt mutatja, hogy a biztonságos jelszókezelés széles körben nem vált bevett gyakorlattá. Ez feltételezhetően több okból fakad, egyrészről az ezzel járó viszonylagos kényelmetlenség (plusz időt kell fordítani pl. a kétfaktoros hitelesítés beállítására; másik eszközön való bejelentkezéskor be kell írni a kétfaktoros kódokat), másrészről a digitális szolgáltatásokra sokan még mindig hamis biztonságérzettel tekintenek.

A techóriások a jelszó problémára a megoldást a jelszavak teljes kiváltásában látják, és a FIDO Alliance szövetség zászlaja alatt kidolgozták a Passkey koncepciót, ami már a Google és Apple szolgáltatásainál elérhető.

Mi a Passkey hitelesítés lényege?

A Passkey hitelesítés a WebAuthentication (“WebAuthn”) szabvány alapján működik, és két fő biztonsági technológiára épít: a nyilvános kulcsú titkosításra, illetve a Trusted Platform Module (TPM) biztonsági chip technológiára. Ezek olyan évek óta alkalmazott technológiák, amelyek jelen tudásunk szerint megfelelően implementálva megbízható biztonságot képesek nyújtani.

Megjegyzés: A Passkey-re a magyar nyelvű oldalain a Google „Azonosítókulcsként”, az Apple „Jelkulcsként” hivatkozik, jelen összefoglalóban az egyértelműség miatt mi a Passkey-t használjuk.

A felhasználó azonosítása során a klasszikus felhasználónév/jelszó párost egy kriptográfiai kulcspár helyettesíti. A kulcspár egyik tagja (publikus kulcs) azon a szerveren kerül tárolásra, ahova be szeretnénk jelentkezni (pl. G-mail levelező fiók), a másik tagja (privát kulcs) pedig a felhasználó birtokában lévő digitális eszközökön ─ praktikusan okostelefonon, számítógépen, tableten vagy akár egy FIDO kompatibilis hardverkulcson ─, amelyeken Passkey-t hozunk létre.

Ez a kulcspár minden online fiók esetében garantáltan egyedi. A szerveroldalon tárolt kulcsnak nem kell titkosnak lennie, így nem kell tartani az esetleges adatszivárgásoktól sem, a bejelentkezési folyamat során nem halad át titkos információ a hálózaton, amit egy támadó ellophatna. A hitelesítés során a szerver csupán arról győződik meg, hogy a privát kulcs rendelkezésre áll-e a fiók tulajdonosának eszközén. Azt pedig, hogy az eszközt valóban a fiók tulajdonosa használja, az eszközön biometrikus azonosítással (ujjlenyomat, arckép) vagy a telefon feloldásához is használt PIN kód megadásával tudjuk igazolni.

Milyen online szolgáltatások támogatják jelenleg a Passkey-bejelentkezést?

Jelen cikk idején már az alábbi weboldalak és alkalmazások is támogatják a Passkey bejelentkezést:

Best Buy
CardPointers
Carnival
Dashlane
eBay
GoDaddy
Kayak
Nvidia.com
PayPal
WordPress

A Passkey hitelesítés előnyei

A Passkey legnagyobb előnye, hogy védelmet nyújt az adathalászat ellen. (Pontosabban: csak azon szolgáltatások esetében nyújt védelmet, amihez bekapcsoltuk, tehát Google fiók esetében a Google bejelentkező oldalt lemásoló adathalász weboldalakkal szemben). Míg egy adathalász weboldalon “véletlenül” megadhatjuk a jelszavunkat, addig a Passkey esetében erre nincs mód. A WebAuthn szabvány pedig ─ jelen ismereteink szerint ─ megfelelő biztonságot nyújt.
Kényelmesebb mindennapi használatot ígér, mint a jelszavak.

Hátrányok, kérdések

Mivel a technológia nemrég óta érhető el, a lehetséges problémákról is keveset tudunk.

Vigyáznunk kell a Passkey-bejelentkezésre használt eszközeinkre! Ha nem készítünk biztonsági mentést a Passkey-t tartalmazó eszközről vagy nem szinkronizáljuk azokat egy másik eszközre, előfordulhat, hogy nem fogunk hozzáférni a fiókhoz. (Érdemes megjegyezni, hogy a Google erre az esetre átmenetileg meghagyja a jelszavas bejelentkezési opciót, azonban ha vissza lehet térni a jelszóhoz az önmagában kérdésessé teszi a Passkey által nyújtott biztonságot. Apple eszközön pedig az a helyzet áll elő, hogy ugyan a Passkey automatikusan az iCloud fiókunkba kerül (az iCloud aktiválása nélkül nem is tudjuk használatba venni), így addig nem veszik el, amíg az iCloudhoz hozzáférünk, azaz ismerjük az AppleID-nkhoz tartozó jelszót.)
Amire mindenképp oda kell figyelni: nem szabad aktiválni közös használatú eszközökön (pl. munkahelyi vagy publikus számítógépeken)! Aki ezekhez az eszközhöz hozzáfér, az egyszersmind az érintett fiókokba is be tud jelentkezni.
Rendszerkövetelmények: A Passkey nem működik minden jelenlegi eszközön. Apple ökoszisztémában pl. minimum követelmény az iOS 16 vagy macOS Ventura operációs rendszer megléte, Android esetén minimum 9 (Pie), Windowson pedig Windows 10-re van szükség. Böngészők tekintetében a Google Passkey követelménye jelenleg Chrome 109, Safari 16, vagy Edge 109 (vagy későbbi verzió).
A különböző szolgáltatások esetében számolnunk kell a lehetséges programozói hibákkal is, amelyek a szabvány hibás megvalósítása során következhetnek be, ezzel csökkentve a Passkey hitelesítés biztonságát.