Nadszedł koniec haseł w internecie. Ta rewolucja uda się dzięki Google'owi
Google jest jednym z ostatnich Big Techów, który wprowadzają obsługę mechanizmu passkeys do kont użytkowników. Bez niego jednak ta cała rewolucja się nie uda. Niezwykle ważna rewolucja, na której skorzysta niemal każdy z nas.
Od niepamiętnych czasów podstawowym narzędziem uwierzytelniania użytkownika było hasło do konta. Ów użytkownik musi znać nazwę swojego konta (informacja publiczna) oraz swoje hasło (informacja wyłącznie do wiadomości użytkownika). W teorii brzmi jak sensowne zabezpieczenie i przez wiele dekad się jako tako sprawdzało. Dziś jest niemal nie do przyjęcia.
Wady stosowania haseł istotnie uwypukliła internetowa rewolucja. Większość czytelników zapewne pamięta czasy, w których dostęp do Internetu był czymś kosztownym i wyjątkowym, a sam Internet był tajemniczym i mocno informatycznym miejscem. Dziś Internet jest niczym elektryczność, obsługiwany jest przez laików do załatwiania spraw wszelakich. I niemal każde nowoczesne urządzenie w jakiś sposób jest do niego podłączone.
Dlaczego hasła okazały się do bani?
Hasła do kont online okazały niebezpieczne, ponieważ mogą być łatwo złamane lub wykradzione przez cyberprzestępców. Niektóre z powodów, dla których hasła są słabe, to:
- Używanie popularnych lub prostych haseł, takich jak 123456 lub qwerty, które można zgadnąć lub odgadnąć za pomocą oprogramowania;
- Używanie tych samych haseł do wielu kont, co zwiększa ryzyko utraty dostępu do wszystkich z nich w razie włamania;
- Udostępnianie haseł innym osobom lub zapisywanie ich w niezabezpieczonych miejscach, takich jak kartki, pliki tekstowe lub przeglądarki internetowe;
- Możliwość udostępnienia hasła niepowołanym osobom nie z winy samego użytkownika - na przykład na skutek kradzieży źle zabezpieczonej bazy danych z serwera usługodawcy
- Możliwość udostępnienia hasła niepowołanym osobom na skutek dobrze zaplanowanego oszustwa (w szczególności techniką phishingu).
Ufff. Komu mało powodów, bo jest ich więcej? To może zróbmy inaczej. Przejrzyjmy najnowsze dane ilustrujące przełożenie powyższych problemów na praktykę. Otóż:
- Według raportu Verizon Data Breach Investigations Report z 2020 r., 81 proc. wszystkich włamań związanych z hakowaniem wykorzystywało skradzione lub słabe hasła;
- Według Breach Alarm, co tydzień kradzionych jest 1 milion haseł;
- Według Ponemon Institute Cost of Data Breach Study z 2017 r., średni koszt naruszenia danych wynosi 1,3 miliona dolarów;
Problem nie jest nowy i tak na dobrą sprawę częściowo został rozwiązany. U Apple’a i Microsoftu bez haseł żyje się już długi czas.
Microsoft był pierwszym populyzatorem idei pozbycia się haseł jako podstawowej formy zabezpieczeń i promuje tę ideę od wielu lat. Nie bez przyczyny: jako wiodący dostawca oprogramowania dla większości firm i korporacji firma ma niezwykle dokładny wgląd w bieżące problemy związane z cyberbezpieczeństwem. To poważny problem, jeśli firmy zbudowane na Windows i Office tracą dane - szczególnie jeśli tracą je nie w wyniku wad w samym oprogramowaniu. Pozbycie się haseł leży bezpośrednio w interesie Microsoftu.
Sama idea nie ma jednak wad i niejeden Microsoft ją wspiera. W zasadzie robi to cała branża IT. Logowanie bez haseł obsługują już konta Apple ID i Konta Microsoft, a także Paypal, Shopify, Kayak i wielu innych. W niektórych przypadkach od miesięcy, w niektórych od lat. Dlaczego więc hasła tak na dobrą sprawę są nadal podstawowym narzędziem logowania większości użytkowników?
Chociażby dlatego, że do ociągaczy się należeli najwięksi giganci konsumenckich usług online. Apple może i jest Wielkim Populyzatarorem Technologii Konsumenckich, ale prawda jest taka, że bez współpracy z Google’em niektórych rozwiązań spopularyzować nie będzie w stanie. Na szczęście Google właśnie wprowadził obsługę passkeys do Kont Google. Wszystkich, w tym konsumenckich.
Jak sobie wyobrażam, Google zacznie wywierać delikatną presję na swoich użytkownikach, spamując informując ich o korzyściach związanych z logowaniem się bez hasła, przez technologie biometryczne. Leży to w jego interesie - im mniej incydentów związanych z bezpieczeństwem, tym lepiej dla firmy. Od lat w tym kierunku swoich firmowych i indywidualnych klientów pcha Microsoft. Apple również rekomenduje passkeys jako zabezpieczenie Apple ID. Być może jeszcze Meta i Amazon powinni dołączyć do tej grupy, choć sam Facebook oferuje technologię logowania passwordless, choć nieco innym sposobem. Ale jak już to zrobią... nadejdą dużo gorsze czasy dla cyberprzestępców.
Logowanie przez passkeys to zwyczajnie świetny pomysł. Argumentów jest wiele, przeciwwskazań brak.
Logowanie przez passkeys jest lepsze od logowania za pomocą hasła z kilku powodów. Passkeys są szybsze i łatwiejsze w użyciu, ponieważ nie trzeba pamiętać ani wpisywać haseł. Wystarczy użyć odcisku palca, twarzy lub innego bezpiecznego sposobu odblokowania urządzenia. Passkeys są bezpieczniejsze, ponieważ nie mogą być zgadnięte, ponownie użyte lub słabe. Passkeys są generowane i przechowywane na urządzeniu użytkownika, więc nie mogą być skradzione z serwera. Passkeys są również zaszyfrowane end-to-end, więc nikt nie może ich odczytać.
Na dodatek są uniwersalne, ponieważ działają na różnych platformach i urządzeniach. Można używać passkeys do logowania się do usług na telefonie, komputerze lub innym urządzeniu. Czy passkeys mają jakieś wady? Niestety tak, żadna technologia nie jest doskonała.
Passkeys mogą być niedostępne lub utracone, jeśli urządzenie użytkownika zostanie uszkodzone, skradzione lub zresetowane. Należy mieć kopię zapasową swoich passkeys lub innej metody uwierzytelniania, aby odzyskać dostęp do swoich kont. Passkeys, mimo wszystko, mogą być podatne na ataki fizyczne lub biometryczne. Ktoś może spróbować użyć urządzenia użytkownika lub naśladować jego odcisk palca lub twarz, aby się zalogować. Należy chronić swoje urządzenie i dane biometryczne przed nieuprawnionym dostępem. Tym niemniej tego rodzaju atak na użytkownika wymaga z nim fizycznej interakcji, co i tak czyni passkeys niezestawialnie lepszym rozwiązaniem od haseł.
Według raportu Norton Cyber Safety Insights z 2021 r., 65 proc. użytkowników indywidualnych na świecie doświadczyło cyberataku lub cyberwłamania w ciągu ostatnich (względem badania) 12 miesięcy. Według tego samego raportu, średnia strata finansowa użytkownika indywidualnego w wyniku cyberataku lub cyberwłamania wyniosła 358 dol.
Zestawiając te dane z przedstawionymi wyżej tymi dotyczącymi najpopularniejszego wektora ataku rysuje się wniosek niemal oczywisty. Masowa adopcja passkeys przez czołowych dostawców usług online jest kluczowa by zwiększyć cyberbezpieczeństwo wszystkich użytkowników cyfrowej sieci, a Google ma tu rolę do odegrania wręcz kluczową. Na szczęście, odgrywać ją właśnie zaczął.
