Už velmi dlouho nám různé firmy, uskupení a technologie slibují svět bez hesel. Stále jsme se ho ale nedočkali, i přes obrovské problémy, které nám používání hesel způsobuje. Hesla mohou být uhádnutelná, z mnoha služeb unikají, musíme je držet v bezpečí a správně s nimi nakládat. Neustále nám navíc hrozí nebezpečí phishingu, kdy někdo vyrobí falešnou stránku, do které heslo omylem napíšeme.
Vymysleli jsme řadu opatření, která mají za úkol tyto problémy alespoň zmírňovat: generátory hesel, správci hesel a další podobná opatření. Tyto přístupy sice fungují, ale mají své vlastní problémy. Pomáhají zlepšit celkovou bezpečnostní situaci, ale bez hesel se stále ještě neobejdeme.
Vícefaktorová autentizace
V posledních několika letech se hojně mluví o vícefaktorové autorizaci (MFA). Ta kromě hesla („něco znát“) vyžaduje ještě další způsob ověření („něco mít“). Přístupů existuje celá řada, od nejjednoduššího opsání kódu z SMS, přes přihlášení přes odkaz v e-mailu až po sofistikovanější aplikace generující jednorázový časově závislý kód (TOTP) nebo různá řešení využívající cloudové služby či komunikaci různých přístrojů přes Bluetooth (CTAP).
Tohle je jistě velmi důležitý krok, který má významný dopad na zabezpečení účtů. Přesto opět skrývají vlastní problémy. SMS a e-mail nejsou bezpečné kanály pro přenos citlivých informací, nehledě k tomu, že je možné na ně použít phishing, stejně jako na běžná hesla. Pokročilejší technologie jsou sice proti phishingu odolné, ale zase jsou obvykle proprietární a navázané na jednoho poskytovatele.
Pro každou službu tedy musíte mít v mobilu vlastní aplikaci, což neškáluje a pro uživatele je to natolik složité a obtěžující, že raději žádnou pokročilejší metodu ochrany nepoužije. Navíc zavedení takového řešení je pro provozovatele služby velmi nákladné, proto jej nabízejí jen skutečně největší hráči. Tenhle nekoordinovaný přístup nemá budoucnost.
Znovu, lépe a společně
Zmatek ve vícefaktorové autorizaci se nyní snaží vyřešit nový standard. Nové řešení zvané Passkey je vyvíjeno v rámci FIDO Alliance a má umožnit jednoduché a hlavně jednotné přihlašování pomocí mobilního telefonu. V něm budete mít uložen jediný token, kterým se budete moci přihlásit k libovolné službě. Za standardem stojí společná snaha mnoha firem jako Intel, Qualcomm, Meta, ING, MasterCard, American Express, Bank of America či Yubico.
Toto sdružení je na poli přihlašovacích schémat velmi aktivní, známe od něj standardy U2F, FIDO2 a WebAuthn. Nově oznámený standard marketingově nazvaný Passkey je dalším krokem, který by měl bezpečné autentizační mechanismy přinést běžným uživatelům. S jejich nasazením nebudete potřebovat ani správce hesel, ani specializované hardwarové zařízení.
Jednoduše třeba na počítači otevřete přihlašovací obrazovku některé ze služeb, odemknete svůj mobil třeba otiskem prstu a tím potvrdíte přihlášení. Bez zadávání hesla, bez opisování kódů. Passkey řeší i situaci, které se uživatelé nejvíce bojí – ztrátu zařízení. Přihlašovací token bude možné synchronizovat mezi zařízeními a obnovit jej tak například v případě ztráty či výměny přístroje.
Aby byl přihlašovací proces odolný proti phishingu, musí být zařízení s tokenem v blízkosti počítače přihlašujícího se ke službě. Komunikace obou stran přitom proběhne mimo síť pomocí Bluetooth. Přes něj jsou předány všechny informace potřebné pro přihlášení, včetně webové adresy, na které se snaží uživatel přihlásit. To znemožňuje phishingový útok, protože přihlašovací údaje vylákané podvodnou stránkou jsou platné právě jen pro její webovou adresu a není možné je tedy obratem použít na legitimním webu. Podobně to dělá také už existující standard WebAuthn.
Tento bezpečný přístup navíc umožňuje se úplně obejít bez hesla. Dnešní vícefaktorové přihlašovací metody kombinují heslo s dalším bezpečnostním prvkem. Passkey dovoluje bez zvýšení bezpečnostních rizik použít jinou kombinací: něco mám (telefon s tajemstvím) a něco jsem (ověřím otiskem prstů nebo skenem obličeje).
Multiplatformně a standardně
Technicky vzato jde o standard FIDO WebAuthn Level 3, při jehož nasazení není potřeba mít specializovaný hardware, ale postačí chytrý mobilní telefon či jiné zařízení. Telefon je už teď velmi často používán pro vícefaktorovou autorizaci, cílem tohoto dalšího kroku je sjednocení pomocí standardizovaného protokolu.
Předpokládá se, že pro použití Passkey nebude potřeba žádná speciální aplikace. Protože jde o jednotné řešení, bude celá funkcionalita součástí operačního systému. Ať už budete mít v telefonu Android, iOS nebo jiný operační systém, bude schopen vám zajistit služby pro přihlašování a přenos autentizačních informací mezi zařízeními. Tato synchronizace je v každém případě nepovinná a bude platformně závislá. Je na tvůrci operačního systému, aby ji pro uživatele zajistil, pokud si to bude přát. Bude možné ji také vypnout, pak se každé zařízení stane samostatným ostrovem, podobně jako je to dnes u hardwarových USB tokenů.
Můžou nastat situace, kdy nebude možné jednoduše přihlašovací údaje mezi zařízeními přenést. To nastane například ve chvíli, kdy chce uživatel zcela vyměnit platformu a přejít od jednoho poskytovatele a operačního systému k jinému. V takovém případě standardizovaný protokol zajišťuje i možnost přímého přenosu mezi zařízeními přes Bluetooth.
Celá bezpečnost tohoto řešení samozřejmě závisí na bezpečnosti konkrétní platformy a celého jejího řešení. Pokud je to pro některou stranu nedostatečná záruka, je možné jít ještě dále a přidat další bezpečnostní vrstvu postavenou na klíči konkrétního zařízení. Vedle synchronizovaného společného uživatelského klíče tak může mít každé zařízení ještě vlastní token. Pokud se uživatel začne přihlašovat z nového zařízení, může služba vyvolat jeho pokročilejší ověření a tím dodatečně autentizovat konkrétní zařízení.
Zařízení může používat jeden společný klíč (A), který může být synchronizován mezi uživatelovými zařízeními. Zároveň ale mohou být nasazeny také další klíče (B a C), u kterých je zajištěno, že synchronizovány nebudou. Ty pak dovolují službě rozlišit, zda uživatel přichází už ze známého zařízení nebo z nového, které je potřeba dodatečně ověřit.
Celé řešení je postaveno multiplatformně, nezáleží tedy na operačním systému telefonu, ale ani prohlížeči či platformě použité třeba na notebooku před uživatelem. Už současné standardy FIDO dovolují přihlásit se různými tokeny (USB, Bluetooth, softwarový…) na všech běžně dostupných platformách.
Naznačený standard také počítá s tím, že není nutné používat zmíněný chytrý telefon. Jako autentizační zařízení může sloužit i jiné zařízení, například samotný notebook. Na něm je možné se přímo přihlašovat ke službám a pokud je vybaven rozhraním Bluetooth, může autentizační služby poskytovat také přístrojům kolem sebe.
Kdy se dočkáme
Firmy zapojené v první fázi jsou dohodnuty na tom, že s nasazováním začnou na konci letošního roku nebo na začátku toho příštího. Datum není pevně stanoveno, každá organizace má trochu jiný časový harmonogram na příštích dvanáct měsíců. V té době bychom měli mít k dispozici první implementaci a reálné nasazení. Dohodly se na tom společnosti Google, Microsoft a Apple, které mají zájem nový standard FIDO Alliance nasadit pro své uživatele.
Jakmile bude podpora zapnutá, uživatelé už budou moci ve svých zařízeních Passkey aktivovat, přenášet přihlašovací tokeny do dalších přístrojů a přihlašovat se ke všem službám, které budou tuto metodu podporovat. Stačit jim k tomu bude jen softwarová podpora a aktivované rozhraní Bluetooth. Google, Apple a Microsoft nyní připravují své platformy pro nasazení nové služby.
Svět bez hesel nám různé firmy i skupiny slibují už deset let, takže jsme jako uživatelé k novým oznámením pochopitelně skeptičtí. Nic není jistého, dokud se vše doopravdy nezprovozní a masově nerozšíří. Hesla ovšem nezmizí ze dne na den, ještě dlouho tu s námi budou jako druhý způsob přihlášení a budeme se o ně muset dobře starat.
Odkazy
- How Apple, Google, and Microsoft will kill passwords and phishing in one stroke
- A Big Bet to Kill the Password for Good
- How FIDO Addresses a Full Range of Use Cases [PDF]
- One step closer to a passwordless future
- Expansion of FIDO standard and new updates for Microsoft passwordless solutions
- Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins