Strony internetowe i aplikacje, kt├│re wymagaj─ů zak┼éadania konta u┼╝ytkownika potrzebuj─ů nazwy u┼╝ytkownika (po ang. login) i has┼éa. Login mo┼╝e przybra─ç form─Ö adresu email lub innej wymy┼Ťlonej, dost─Öpnej nazwy. Wy┼╝ej wymienione dane logowania zapisane s─ů cz─Östo w formie zaszyfrowanej w bazie danych us┼éugi internetowej, na kt├│rej zak┼éada si─Ö konto u┼╝ytkownika. Po wpisaniu swojego loginu i has┼éa podczas logowania oprogramowanie por├│wnuje wpisane przez ciebie dane z tymi ju┼╝ zapisanymi na koncie, je┼Ťli si─Ö zgadzaj─ů nast─Öpuje logowanie i dost─Öp do konta u┼╝ytkownika w serwisie WWW lub aplikacji.

Formy logowania sk┼éadaj─ůce si─Ö z loginu i has┼éa, kt├│re powszechnie s─ů dzisiaj wykorzystywane zosta┼éy stworzone dekady temu, kiedy sie─ç internetowa nie by┼éa tak rozwini─Öta, w tym i zagro┼╝enia. W ka┼╝dym tygodniu gdzie┼Ť na ┼Ťwiecie dochodzi do wycieku danych. Niekt├│rzy przest─Öpcy po wykradzeniu danych s─ů w stanie odszyfrowa─ç has┼éa, poniewa┼╝ wykorzystywana technologia szyfrowania, zwana ÔÇ×hashowaniemÔÇŁ nie musi by─ç najwy┼╝szego poziomu. Niekt├│rzy u┼╝ytkownicy sami tworz─ů has┼éa ┼éatwe do odgadni─Öcia przez systemy wykorzystywane przez oszust├│w. Wykradzione i upublicznione dane logowania to szereg niebezpiecze┼ästw dla u┼╝ytkownik├│w.

Ochrona swoich kont i danych

Korzystaj z mened┼╝er├│w hase┼é, np. KeePassXC, i w nim zapisuj wszelkie wra┼╝liwe dane, w tym login i has┼éo. Za pomoc─ů generatora hase┼é w mened┼╝erze hase┼é tw├│rz odr─Öbne has┼éa dla ka┼╝dego konta. Has┼éo powinno by─ç skomplikowane tj. mie─ç minimum 15 znak├│w (ja u┼╝ywam 30 znak├│w), mie─ç ma┼ée i du┼╝e litery oraz symbole.

Wsz─Ödzie gdzie to mo┼╝liwe w┼é─ůcz dwusk┼éadnikowe (dwuetapowe) uwierzytelnianie, nazywane cz─Östo w skr├│cie 2FA lub MFA. Dodatkowy sk┼éadnik logowania mo┼╝e przybra─ç r├│┼╝ne formy, ale b─Ödzie to najpewniej kod, kt├│ry pobiera si─Ö z otrzymanego emaila, SMSa, aplikacji generuj─ůcej jednorazowe kody TOTP np. Aegis Authenticator lub z fizycznego klucza np. Yubico. Po aktywacji 2FA po zalogowaniu loginem i has┼éem zostaniesz poproszony o dodatkowy kod. Najbezpieczniejsz─ů z wy┼╝ej wymienionych form 2FA jest fizyczny klucz, cho─ç tylko nieliczne witryny i aplikacje go obs┼éuguj─ů. Najcz─Östsz─ů dost─Öpn─ů form─ů jednak b─Ödzie albo kod TOTP albo SMS. Dwuetapowe uwierzytelnianie spowoduje, ┼╝e oszust znaj─ůc tw├│j login i has┼éo do konta nie zaloguje si─Ö bez kodu 2FA.

Oszust mo┼╝e wykorzysta─ç atak ÔÇ×phishingowyÔÇŁ do poznania twojego loginu i has┼éa, i nawet kodu 2FA, preparuj─ůc niemal identyczn─ů witryn─Ö logowania np. banku, sklepu internetowego, na kt├│rej pr├│bujesz si─Ö zalogowa─ç b─Öd─ůc nie┼Ťwiadomym zagro┼╝enia.

Passkeeys ÔÇô nowa forma logowania

Angielska nazwa ÔÇ×PasskeeysÔÇŁ zdradza na czym polega nowa forma logowania. Passkeys to para kluczy ÔÇô publiczny i prywatny ÔÇô kt├│re s─ů wykorzystywane do zalogowania. W momencie rejestracji Passkeys na swoim koncie, generowane s─ů dwa klucze. Zaszyfrowany klucz publiczny zapisany jest na serwerze w bazie danych strony internetowej lub aplikacji, a klucz prywatny na twoim urz─ůdzeniu. Klucz prywatny nigdy nie opuszcza twojego urz─ůdzenia podczas logowania i jest w nim przechowywany w zaszyfrowanej formie. W momencie logowania za pomoc─ů loginu i Passkeys nast─Öpuje zapytanie. System por├│wnuje ÔÇ×dopasowanieÔÇŁ klucza prywatnego i publicznego, je┼Ťli wszystko si─Ö zgadza, nast─Öpuje zalogowanie.

Generowanie Passkeys na koncie Google
Generowanie Passkeys na koncie Google. Źródło: Google

Wed┼éug ekspert├│w do spraw cyberbezpiecze┼ästwa Passkeys s─ů odporne nie tylko na ataki typu phishing, ale r├│wnie┼╝ na wycieki danych logowania. System logowania Passkeys nie zadzia┼éa na stronie phishingowej, gdy┼╝ domena internetowa fa┼észywej witryny b─Ödzie inna. Oszust, kt├│ry jakim┼Ť sposobem zdob─Ödzie klucz publiczny nie b─Ödzie wstanie wygenerowa─ç do niego, pasuj─ůcego klucza prywatnego, gdy┼╝ u┼╝ywana jest tutaj skomplikowana kryptografia. Ka┼╝da wygenerowana para kluczy jest niepowtarzalna. Passkeys nie potrzebuj─ů dodatkowych metod uwierzytelniania 2FA/MFA i s─ů odporne na ataki witryn zainfekowanych szkodliwym kodem typu ÔÇ×malwareÔÇŁ chc─ůce wykra┼Ť─ç klucz prywatny. ┼╗adne oprogramowanie u┼╝ywane przez oszust├│w nie jest w stanie ÔÇ×odgadn─ů─çÔÇŁ klucza prywatnego, tak jak ma to miejsce w przypadku normalnych hase┼é.

Wady Passkeys

Obecnie najwi─Öksz─ů wad─ů nowego systemu logowania jest jego m┼éody wiek, mimo ┼╝e rdze┼ä technologii jest u┼╝ywany od dawna. Rozwi─ůzanie Passkeys nie┼Ťmia┼éo wchodzi na rynek i jest wykorzystywane jak na razie w do┼Ť─ç ograniczonej liczbie. Jakkolwiek, najwi─Öksze firmy typu Google, Amazon, Apple ju┼╝ daj─ů mo┼╝liwo┼Ť─ç wykorzystania Passkeys.

Nie korzystaj z Zaloguj si─Ö przez
Jak bezpiecznie logowa─ç si─Ö na stronach internetowych? Czy logowanie si─Ö do stron z wykorzystaniem konta Google lub Facebook to na pewno dobre rozwi─ůzanie?
logoTechnologie w Domu
Nie korzystaj z Zaloguj si─Ö przez

Passkeys przywi─ůzane s─ů do konkretnego urz─ůdzenia, np. laptopa. Je┼Ťli pewnego dnia utracisz dost─Öp do laptopa, r├│wnocze┼Ťnie utracisz dost─Öp do swoich kont portali, aplikacji, w kt├│rych aktywowa┼ée┼Ť Passkeys i nie zadba┼ée┼Ť o zapasow─ů form─Ö logowania. Trwaj─ů prace nad tym, aby mo┼╝na by┼éo w bezpieczny spos├│b synchronizowa─ç klucze mi─Ödzy urz─ůdzeniami, tworzy─ç kopie zapasowe, jednak w mojej ocenie obni┼╝y to poziom bezpiecze┼ästwa, by─ç mo┼╝e in┼╝ynierowie wymy┼Ťl─ů takie rozwi─ůzanie, kt├│re b─Ödzie wystarczaj─ůco bezpieczne.

Jak wykorzystywa─ç Passkeys?

Je┼Ťli nie chcesz czeka─ç do momentu osi─ůgni─Öcia przez owe rozwi─ůzanie ÔÇ×dojrza┼éego wiekuÔÇŁ i wi─Ökszej powszechno┼Ťci, tam gdzie to mo┼╝liwe uruchomienie Passkeys na swoim koncie b─Ödzie dziecinnie proste. Z uwagi na przywi─ůzanie klucza prywatnego do konkretnego urz─ůdzenia u┼╝ytkownika, gdy dostawca strony internetowej lub aplikacji to umo┼╝liwiaj─ů, stw├│rz wi─Öcej par Passkeys dla co najmniej dw├│ch urz─ůdze┼ä. Gdy utracisz dost─Öp do jednego urz─ůdzenia, pozostawisz sobie furtk─Ö wej┼Ťcia za pomoc─ů innego urz─ůdzenia.

Aktywuj─ůc Passkeys zawsze zwracaj uwag─Ö na zapasowe formy logowania w przypadku utraty dost─Öpu do swojego klucza. Niekt├│re strony i aplikacje umo┼╝liwiaj─ů usuni─Öcie tradycyjnego has┼éa dost─Öpu po aktywacji Passkeys. Istnieje mo┼╝liwo┼Ť─ç zalogowania si─Ö do stron WWW na komputerze, laptopie z Passkeys zapisanych na smartfonie, dzi─Öki wykorzystaniu kamery telefonu i kodu QR wy┼Ťwietlanego na ekranie komputera podczas logowania.