Technologie i innowacje

Hasła odchodzą do historii? Jak działa logowanie bezhasłowe i czy jest bezpieczne

Autor: fortifyit.pl
Data:
Czas czytania: 5 minut

Hasła miały nas chronić, a w praktyce często są jak klucz schowany pod wycieraczką. Użytkownicy wybierają proste kombinacje, zapisują je na karteczkach, używają w wielu miejscach. Efekt jest taki, że atakujący coraz rzadziej włamują się przez luki techniczne, a coraz częściej przez słabości człowieka. Nic dziwnego, że firmy technologiczne stawiają na logowanie bezhasłowe, czyli tak zwane passkeys. Brzmi nowocześnie, lecz co to znaczy w praktyce i czy nadaje się dla małej firmy?

Dlaczego hasła to słaby punkt bezpieczeństwa firm

  • Powtarzanie tych samych haseł w wielu serwisach prowadzi do efektu domina po pierwszym wycieku.

  • Phishing działa właśnie dlatego, że ktoś da się namówić na wpisanie hasła w fałszywym formularzu.

  • Resetowanie i odblokowywanie kont to realny koszt dla firmy, czyli czas IT oraz przerwy w pracy.

  • Zasady typu długość, cykliczna zmiana i złożoność poprawiają teorię, lecz często psują praktykę użytkownika.

Czym jest logowanie bezhasłowe, czyli passkeys

Passkey to para kluczy kryptograficznych utworzona na urządzeniu użytkownika. Klucz prywatny zostaje w telefonie lub komputerze, a klucz publiczny trafia do usługi, w której zakładamy konto. Gdy się logujesz, urządzenie potwierdza Twoją tożsamość przy pomocy biometrii albo kodu PIN, po czym podpisuje wyzwanie kryptograficzne. Serwis weryfikuje podpis, a hasła w ogóle nie ma w obiegu. Skutek jest taki, że atak przez fałszywą stronę traci sens, ponieważ nie masz czego przepisać.

Jak to działa krok po kroku

  1. Rejestracja konta. Serwis prosi o utworzenie passkey.

  2. Twoje urządzenie generuje parę kluczy i zapisuje klucz prywatny w bezpiecznym module, na przykład w Secure Enclave albo w TPM.

  3. Serwis zapisuje tylko klucz publiczny.

  4. Logowanie. Serwis wysyła wyzwanie, czyli krótką losową wiadomość do podpisania.

  5. Potwierdzasz tożsamość biometrią albo PIN-em na swoim urządzeniu.

  6. Urządzenie podpisuje wyzwanie kluczem prywatnym, serwis weryfikuje podpis kluczem publicznym i daje dostęp.

Warianty użycia:

  • Autentykator wbudowany w urządzenie, czyli telefon, laptop lub tablet.

  • Klucz sprzętowy na USB lub NFC, czyli na przykład YubiKey, w roli przenośnego autentykatora.

  • Synchronizacja passkeys między urządzeniami w ekosystemie dostawcy, dzięki czemu nowy telefon potrafi zalogować Cię bez przepisywania czegokolwiek.

Czy to naprawdę bezpieczniejsze

  • Ochrona przed phishingiem. Nie wpisujesz żadnego hasła, zatem fałszywa strona nie ma czego ukraść.

  • Brak sekretów na serwerze. Usługa przechowuje tylko klucz publiczny, czyli informację bezużyteczną dla atakującego.

  • Wygoda równa bezpieczeństwu. Biometria lub PIN na urządzeniu to potwierdzenie tożsamości bez frustracji użytkownika.

  • Kontrola lokalna. Biometria nie opuszcza urządzenia, serwis otrzymuje jedynie wynik tak albo nie.

Co z ryzykami:

  • Utrata urządzenia nie daje atakującemu dostępu, ponieważ klucz prywatny wymaga biometrii albo PIN-u.

  • Trzeba mieć plan odzyskiwania dostępu, czyli na przykład drugi autentykator sprzętowy lub synchronizację passkeys w bezpiecznej chmurze.

  • Starsze aplikacje mogą wymagać metody zapasowej, dlatego przydaje się sensowna strategia hybrydowa.

Czy warto wdrożyć w małej firmie i jakie są korzyści

Tak, szczególnie tam, gdzie i tak korzystacie z poczty i pakietów biurowych w chmurze. Zyski są wymierne:

  • Mniej incydentów związanych z phishingiem i wyciekami haseł.

  • Mniej zgłoszeń do helpdesku w stylu zapomniałem hasła.

  • Szybsze logowanie, co przekłada się na mniej przerw w pracy.

  • Lepsza zgodność z wymaganiami bezpieczeństwa bez obciążania użytkowników.

Na co uważać:

  • Zgodność aplikacji. Nie wszystkie systemy firmowe są gotowe na passkeys, dlatego zacznij od usług w chmurze oraz aplikacji krytycznych, które już wspierają nowy standard.

  • BYOD, czyli prywatne urządzenia w pracy. Warto przyjąć minimalne wymagania bezpieczeństwa urządzeń oraz jasne zasady wycofania dostępu.

  • Proces odzyskiwania. Zdefiniuj, jak użytkownik wraca do pracy po utracie telefonu albo wymianie laptopa.

Jak zacząć wdrożenie, czyli plan na pierwsze trzydzieści dni

  1. Sprawdź, czy Wasz dostawca tożsamości obsługuje passkeys, na przykład w Microsoft 365, Google Workspace lub u zewnętrznego IdP.

  2. Włącz passkeys pilotażowo dla małej grupy, najlepiej dla zespołu IT oraz wybranych menedżerów.

  3. Ustal metodę awaryjną, czyli drugi autentykator albo klucz sprzętowy przypisany do konta.

  4. Przygotuj krótką instrukcję dla pracowników, na przykład dwie strony z obrazkami i odpowiedziami na najczęstsze pytania.

  5. Wprowadź zasadę, że dostęp do aplikacji krytycznych wymaga metody odpornej na phishing, czyli passkeys albo kluczy bezpieczeństwa.

  6. Zmierz efekty po miesiącu. Interesuje Cię liczba resetów kont, czas logowania oraz opinie użytkowników.

Najczęstsze pytania w małych firmach

Czy moje odciski palców trafiają do chmury
Nie. Biometria zostaje w urządzeniu i służy wyłącznie do odblokowania klucza prywatnego.

Co jeśli stracę telefon
Masz drugi autentykator albo procedurę odzyskania. W skrajnym wypadku dział IT unieważnia stare klucze i dodaje nowe.

Czy nadal potrzebuję haseł
Na początku tak, ponieważ część starszych aplikacji może ich wymagać. Docelowo dążysz do modeli bezhasłowych wszędzie tam, gdzie to możliwe.

Czy klucze sprzętowe są konieczne
Nie zawsze. Dla ról o podwyższonym ryzyku, na przykład administratorzy i finanse, klucz sprzętowy to świetny plan B oraz dodatkowa warstwa ochrony.

Zacznij od jednego obszaru, na przykład od poczty i dysku firmowego, a dopiero potem rozszerzaj zakres. Jeżeli masz wątpliwości, skonsultuj architekturę z ekspertem. Jedna dobrze przeprowadzona godzina warsztatu potrafi oszczędzić tygodnie prób i błędów, a do tego zdejmuje z zespołu ciężar utrzymywania haseł. Logowanie bezhasłowe to nie futurystyczny gadżet, tylko realny sposób na mniej incydentów i więcej świętego spokoju w codziennej pracy.

Tagi:

Powiązane artykuły

Opcje dostępności

Rozmiar tekstu

Kontrast

Preferencje plików cookies

Inne
Inne pliki cookie to te, które są analizowane i nie zostały jeszcze przypisane do żadnej z kategorii.

Niezbędne

 Niezbędne
Niezbędne pliki cookie są absolutnie niezbędne do prawidłowego funkcjonowania strony. Te pliki cookie zapewniają działanie podstawowych funkcji i zabezpieczeń witryny. Anonimowo.

Reklamowe
Reklamowe pliki cookie są stosowane, by wyświetlać użytkownikom odpowiednie reklamy i kampanie marketingowe. Te pliki śledzą użytkowników na stronach i zbierają informacje w celu dostarczania dostosowanych reklam.

Analityczne
Analityczne pliki cookie są stosowane, by zrozumieć, w jaki sposób odwiedzający wchodzą w interakcję ze stroną internetową. Te pliki pomagają zbierać informacje o wskaźnikach dot. liczby odwiedzających, współczynniku odrzuceń, źródle ruchu itp.

Funkcjonalne
Funkcjonalne pliki cookie wspierają niektóre funkcje tj. udostępnianie zawartości strony w mediach społecznościowych, zbieranie informacji zwrotnych i inne funkcjonalności podmiotów trzecich.

Wydajnościowe
Wydajnościowe pliki cookie pomagają zrozumieć i analizować kluczowe wskaźniki wydajności strony, co pomaga zapewnić lepsze wrażenia dla użytkowników.