(Borítókép: Vertigo3d / Getty Images)
A techipar szereplői évek óta hangsúlyozzák a jelszómentesség fontosságát, a Google pedig nagyot lépett előre ezen az úton, ugyanis a Google fiókokon május elejétől globálisan elérhetővé vált ez a bejelentkezési mód. A kezdeményezésnek van reális indoka, azonban még sok kérdés nem tisztázott, e heti tippünkben ezt a témát jártuk körbe.
A jelszavak kulcsfontosságú szerepet játszanak az információbiztonság világában. Jelszavaink biztonságos kezelése (erős, egyedi jelszavak alkalmazása; ezek biztonságos tárolása és az online fiókok kétfaktoros hitelesítéssel történő védelme) ezért az egyik legfontosabb kiberhigiéniás lépés az online fiókjaink védelmében. A tapasztalat azonban sajnos világszerte azt mutatja, hogy a biztonságos jelszókezelés széles körben nem vált bevett gyakorlattá. Ez feltételezhetően több okból fakad, egyrészről az ezzel járó viszonylagos kényelmetlenség (plusz időt kell fordítani pl. a kétfaktoros hitelesítés beállítására; másik eszközön való bejelentkezéskor be kell írni a kétfaktoros kódokat), másrészről a digitális szolgáltatásokra sokan még mindig hamis biztonságérzettel tekintenek. A techóriások a jelszó problémára a megoldást a jelszavak teljes kiváltásában látják, és a FIDO Alliance szövetség zászlaja alatt kidolgozták a Passkey koncepciót, ami már a Google és Apple szolgáltatásainál elérhető. A Passkey hitelesítés a WebAuthentication (“WebAuthn”) szabvány alapján működik, és két fő biztonsági technológiára épít: a nyilvános kulcsú titkosításra, illetve a Trusted Platform Module (TPM) biztonsági chip technológiára. Ezek olyan évek óta alkalmazott technológiák, amelyek jelen tudásunk szerint megfelelően implementálva megbízható biztonságot képesek nyújtani.
Megjegyzés: A Passkey-re a magyar nyelvű oldalain a Google „Azonosítókulcsként”, az Apple „Jelkulcsként” hivatkozik, jelen összefoglalóban az egyértelműség miatt mi a Passkey-t használjuk.
A felhasználó azonosítása során a klasszikus felhasználónév/jelszó párost egy kriptográfiai kulcspár helyettesíti. A kulcspár egyik tagja (publikus kulcs) azon a szerveren kerül tárolásra, ahova be szeretnénk jelentkezni (pl. G-mail levelező fiók), a másik tagja (privát kulcs) pedig a felhasználó birtokában lévő digitális eszközökön ─ praktikusan okostelefonon, számítógépen, tableten vagy akár egy FIDO kompatibilis hardverkulcson ─, amelyeken Passkey-t hozunk létre. Ez a kulcspár minden online fiók esetében garantáltan egyedi. A szerveroldalon tárolt kulcsnak nem kell titkosnak lennie, így nem kell tartani az esetleges adatszivárgásoktól sem, a bejelentkezési folyamat során nem halad át titkos információ a hálózaton, amit egy támadó ellophatna. A hitelesítés során a szerver csupán arról győződik meg, hogy a privát kulcs rendelkezésre áll-e a fiók tulajdonosának eszközén. Azt pedig, hogy az eszközt valóban a fiók tulajdonosa használja, az eszközön biometrikus azonosítással (ujjlenyomat, arckép) vagy a telefon feloldásához is használt PIN kód megadásával tudjuk igazolni. Jelen cikk idején már az alábbi weboldalak és alkalmazások is támogatják a Passkey bejelentkezést: Mivel a technológia nemrég óta érhető el, a lehetséges problémákról is keveset tudunk.A jelszó probléma és egy lehetséges megoldás
80%
Az adatszivárgások több, mint 80%-a jelszavakra vezethető vissza89%
A vállalkozások 89%-ánál történt adathalász támadás51%
Minden második jelszót egynél több fiókon használunk70$
Egy jelszócsere átlagos költsége 70 dollárMi a Passkey hitelesítés lényege?
Milyen online szolgáltatások támogatják jelenleg a Passkey-bejelentkezést?
A Passkey hitelesítés előnyei
Hátrányok, kérdések