Če bi se v celoti zavedali, kako slabo nas gesla varujejo, jih verjetno ne bi uporabljali!
Odvisni smo od gesel, saj so še vedno z naskokom najbolj pogost način za vstop v spletne storitve. Tokrat ne bom načel znanih dejstev o močnih in različnih geslih, kajti vsak si je postlal, kakor si je želel. Dejstvo pa je, da so boljši načini, med katerimi so vse bolj priljubljeni prijavni ključi za dostop oziroma angleško »passkeys«.
Zasnovali so jih, da nudijo varnost najmanj na ravni dvofaktorske avtorizacije, brez zamudnega čakanja na in vnosa časovno omejene kode. Ob tem, da za dostop izkoristijo varovanje, ki ga poznamo in se je že izkazalo.
Kako deluje?
Ena največjih prednosti prijavnih ključev je bistveno boljša zaščita pred ribarjenjem in kraje podatkov. Klasična gesla imajo očitno slabost, saj jih je mogoče ukrasti, prestreči ali uporabnika pretentati, da jih vnese na lažni spletni strani.
Prijavni ključi delujejo drugače. Temeljijo na paru kriptografskih ključev, od katerih javnega shrani storitev, zasebni pa nikoli ne zapusti uporabnikove naprave. Ob prijavi spletna stran ali aplikacija pošlje poseben varnostni izziv, ki ga zna rešiti zgolj zasebni ključ na telefonu, tablici ali računalniku. Tudi če bi napadalec prestregel komunikacijo, bi dobil le neuporaben matematični zapis brez praktične vrednosti. Zaradi tega prijavnih ključev ni mogoče ukrasti s klasičnimi prevarami, lažnimi prijavnimi stranmi ali prestrezanjem sporočil. Prednost je tudi hitrost. Povprečna prijava traja le nekaj sekund, saj odpade zamudno vpisovanje gesel in dodatnih varnostnih kod. Dovolj je prstni odtis, prepoznava obraza ali PIN. Za uporabnike, ki že uporabljajo biometrično zaščito telefona in aplikacij, prehod praktično ne zahteva privajanja.
Kdaj se zagotovo?
Ker so Google, Apple in Microsoft ustanovni člani zveze FIDO Alliance, ni presenetljivo, da varnostni mehanizem podpirajo in so ga integrirali na način, ki je predvsem nadvse preprost za rabo. Ključi za dostop so shranjeni v računu in na voljo na vseh vaših napravah. To pomeni, da se v izbrano storitev zlahka takoj prijavite.
Kdaj so morda primerni?
Marsikdo ima do prijavnih ključev zadržke predvsem zaradi strahu, da bo ob izgubi ali okvari telefona ostal brez dostopa do svojih računov. Ker so vezani na napravo in zaščiteni z obrazom, prstnim odtisom ali kodo PIN, se zdi povsem logično vprašanje, kaj storiti, ko telefon izgine, se pokvari ali se sploh ne vklopi več. Klasična gesla imajo pri tem navidezno prednost, saj jih vnesemo kjerkoli in na katerikoli novi napravi.
V praksi je skrb pogosto odveč. Prijavni ključi se praviloma sinhronizirajo prek storitev, kot sta Googlov upravljalnik gesel ali Applov iCloud Keychain, zato se po prijavi v nov telefon in dodatnem preverjanju identitete samodejno obnovijo. Uporabnik tako znova dostopa do računov brez zapletenega postopka. Večina spletnih storitev obenem še vedno omogoča klasično obnovitev z geslom, elektronsko pošto ali varnostno kodo. Nekateri ponudniki ponujajo celo posebne obnovitvene kode za primer izgube naprave. Pomembno je tudi, da prijavni ključi niso v nasprotju z upravljalniki gesel, saj jih sodobne storitve že podpirajo. To pomeni, da so ključi šifrirano shranjeni in dostopni tudi na drugih napravah.
Kdaj niso primerni?
Prijavni ključi imajo tudi nekaj omejitev, zaradi katerih prehod za vse uporabnike še ni povsem brezskrben. Največ težav povzročajo starejše naprave in razdrobljenost ekosistemov. Računalniki z operacijskim sistemom Windows 7 ali 8 prijavnih ključev sploh ne podpirajo, medtem ko starejši računalniki z Windows 10 brez varnostnega modula TPM 2.0 ne omogočajo njihove varne hrambe. Tudi v svetu Linuxa podpora še ni povsem dodelana, zato se uporabniki pogosto zatekajo k zunanjim varnostnim ključem USB. Na mobilni strani so zahteve nekoliko milejše, a tudi tukaj starejši telefoni in cenovno najugodnejše tablice včasih nimajo ustreznega varnostnega čipa.
Dodaten zaplet nastane pri deljenju računov z družinskimi člani ali prijatelji. Geslo je mogoče poslati v sporočilu ali zapisati na list papirja, prijavni ključ pa je vezan na napravo in uporabnika. Nekateri upravljalniki gesel sicer omogočajo deljenje prek skupnih trezorjev, Apple pa ponuja prenos z AirDropom, vendar postopek ostaja manj preprost kot pri običajnih geslih. Precej nerodno je tudi prehajanje med Androidom in Applovim ekosistemom. Prenos prijavnih ključev med Googlovim in Applovim sistemom namreč še ni samoumeven, zato jih mora uporabnik pogosto ustvariti znova. Prav zato ostajajo neodvisni upravljalniki gesel trenutno najbolj praktična rešitev če pogosto menjate naprave ali operacijske sisteme.
Ilustracijo je oblikovala umetna inteligenca!
Brez komentarjev