Klucze dostępu to bezpieczna alternatywa, która przybliża nas o krok do przyszłości bez haseł. Oto wszystko, co musisz wiedzieć o kluczach dostępu.
Hasła są notorycznie słabym punktem w każdym przepływie pracy związanym z bezpieczeństwem. Trudno je wygenerować i zapamiętać, a atakujący zbyt często łatwo je odgadnąć. Jednak na szczęście klucze dostępu są tutaj, aby potencjalnie uratować sytuację.
Klucze dostępu są szybsze i bezpieczniejsze niż hasła
W maju 2023 r., w post na The Keyword, Google ogłosił początek końca hasła — wprowadza klucze dostępu jako alternatywny sposób zabezpieczenia konta Google. Ale czym są klucze dostępu i jak mogą one pomóc chronić Twoje konto Google?
Kombinacje nazwy użytkownika i hasła były podstawową metodą uwierzytelniania od początków komputerów. Ale nawet w czasach, gdy osoby atakujące potrzebowały fizycznego dostępu do maszyny i ręcznego wpisywania naciśnięć klawiszy, socjotechnika oznaczała, że hasła były często łatwe do odgadnięcia.
Nawet dzisiaj, najczęstsze hasła są oparte na danych osobowych, takich jak imiona, daty, zwierzęta i żywność.
Dzieje się tak, ponieważ korzystanie z informacji, które można natychmiast przywołać, sprawia, że hasła są łatwe do zapamiętania. Nigdy nie zapomnisz imienia swojego psa, urodzin współmałżonka ani tego, że wątróbka z cebulą to twoja ulubiona kolacja na randkę.
Niestety oznacza to, że przestępcy również mogą odgadnąć Twoje hasło — zwłaszcza jeśli masz do tego dostęp nadmierne udostępnianie w mediach społecznościowych.
Podczas gdy menedżerowie haseł oferują usługę, która umożliwia tworzenie losowych, niemożliwych do odgadnięcia haseł i zarządzanie nimi, naruszenia bezpieczeństwa danych to m.in największe firmy zarządzające hasłami sprawiły, że hasła należące do milionów użytkowników są teraz w rękach złych aktorzy.
Uwierzytelnianie wieloskładnikowe (MFA) zwiększa bezpieczeństwo, zapewniając, że potencjalni złodzieje muszą znać zarówno Twoje hasło, jak i mieć dostęp do aplikacji lub urządzenia fizycznego, którego używasz do uwierzytelnienia.
Hasła Google mają na celu wyeliminowanie komplikacji i stresu związanego z bezpieczeństwem haseł umożliwiając natychmiastowe uwierzytelnienie się za pomocą telefonu z systemem Android — bez menedżera haseł ani usługi MFA wymagany.
Jak działają klucze dostępu?
Klucze dostępu, bardziej znane jako poświadczenia FIDO dla wielu urządzeń, stanowią połowę pary kluczy szyfrujących. Klucz publiczny jest przechowywany przez usługę, do której próbujesz uzyskać dostęp, podczas gdy klucz prywatny jest przechowywany na Twoim urządzeniu — i na Twoim koncie Google.
Gdy logujesz się na swoje konto Google za pomocą przeglądarki lub telefonu, nie musisz wpisywać hasła ani sprawdzać aplikacji SMS lub MFA w celu uzyskania kodu uwierzytelniającego. Musisz tylko zweryfikować się przy użyciu tej samej metody, której używasz do odblokowania telefonu. Można to zrobić za pomocą odcisku palca, kodu PIN lub skanu twarzy.
Klucze dostępu utworzone za pomocą przeglądarki na komputerze mogą być używane w aplikacjach mobilnych lub w przeglądarkach mobilnych.
W przeciwieństwie do haseł, kluczy dostępu nie można odgadnąć ani ujawnić w wyniku brutalnego ataku proste w konfiguracji i obsłudze — co oznacza, że są bardziej skłonne do przyjęcia przez ludzi, którzy nie lubią zamieszania związanego z MSZ.
Google nie jest jedyną firmą technologiczną, która używa kluczy dostępu w celu poprawy bezpieczeństwa, ponieważ zarówno Microsoft, jak i Apple zaczęły wprowadzać klucze dostępu w 2022 roku.
Jak korzystać z kluczy Google
Zarejestrowanie się w celu uzyskania kluczy dostępu za pomocą konta Google jest łatwe. Aby rozpocząć, odwiedź g.co/klucze dostępu i zaloguj się na swoje konto Google w zwykły sposób.
Kliknij niebieski Użyj kluczy dostępu, a zobaczysz powiadomienie „Możesz teraz zalogować się za pomocą swoich kluczy dostępu”.
Aby to przetestować, wyloguj się z konta Google, a następnie zaloguj się ponownie. Po wprowadzeniu nazwy użytkownika monit o podanie hasła nie będzie wyświetlany. Zamiast tego zostaniesz poproszony o „Użyj klucza dostępu, aby potwierdzić, że to naprawdę ty”.
Kliknij Kontynuować, a następnie zeskanuj telefonem kod QR. Jeśli korzystasz z komputera, telefon połączy się z komputerem przez Bluetooth, a następnie poprosi o wybranie hasła do logowania. Uwierzytelnij się przy użyciu zwykłej metody odblokowywania, a natychmiast się zalogujesz!
Korzystanie z kluczy dostępu ma pewne wady
Chociaż klucze dostępu obiecują, że logowanie się do konta Google i innych witryn internetowych będzie znacznie łatwiejsze i bezpieczniejsze, istnieją pewne wady uwierzytelniania za pomocą klucza dostępu.
Najbardziej oczywistą przeszkodą jest to, że potrzebujesz urządzenia kompatybilnego z Google, Microsoft lub Apple, aby użyć klucza dostępu. Chociaż większość ludzi ma jeden z nich, inne mobilne systemy operacyjne, takie jak KaiOS, są nadal w użyciu, i rośnie ruch w kierunku hantli, które minimalizują rozproszenie uwagi i ograniczają media społecznościowe uzależnienie.
I chociaż nie ma wątpliwości, że klucz dostępu ochroni Cię przed przestępcami działającymi w Internecie, jeśli atakujący to zrobił Twój telefon jest w ich posiadaniu, bezpieczeństwo twojego klucza dostępu jest tak dobre, jak sposób, w jaki zwykle odblokowujesz swój telefon urządzenie. Identyfikator twarzy może zawieść, można pobrać odciski palców, a cztero- lub sześciocyfrowy kod PIN jest jeszcze łatwiejszy do odgadnięcia niż hasło.
Jeśli użyjesz na przykład daty urodzin najstarszego dziecka jako czterocyfrowego kodu PIN do odblokowania telefonu, a urządzenie zostanie zgubione lub skradzione, każdy atakujący, który będzie mieć pełny dostęp do Twojego konta Google, w tym do wszystkich Twoich e-maili, haseł i ustawionych kluczy dostępu w górę. Będą też mogli zobaczyć listę kont, do których masz klucze dostępu.
Ponadto, jeśli używasz klucza dostępu do logowania się na komputerze, musisz mieć włączony Bluetooth. Może to spowodować znaczny pobór mocy, jeśli pozostawisz go włączony.
Nadal możesz używać swojego hasła Google
Chociaż Google ostatecznie zamierza całkowicie zrezygnować z haseł i innych metod uwierzytelniania, nie jest jeszcze na to gotowy.
Jeśli zarejestrowałeś się w celu uzyskania klucza dostępu, ale nadal chcesz używać swojego hasła, kliknij przycisk Spróbuj w inny sposób po wprowadzeniu nazwy użytkownika. Teraz kliknij Wprowadź hasło.
W chwili pisania tego tekstu nie mogliśmy znaleźć opcji całkowitego wyłączenia uwierzytelniania hasłem, co oznacza że przynajmniej na razie korzystanie z klucza dostępu w Google jest bardziej kwestią wygody niż bezpieczeństwo.
Klucze dostępu ostatecznie poprawią Twoje bezpieczeństwo w Internecie
Zachęcając do korzystania z kluczy dostępu, Google ma nadzieję, że będziesz mniej narażony na przejęcie konta.
Ale nadal zezwalając na logowanie za pomocą hasła — bez możliwości usunięcia tej opcji — ryzykujesz, że zostaniesz uśpiony fałszywym poczuciem bezpieczeństwa. Podczas gdy Google przechodzi na pełne logowanie bez hasła, upewnij się, że nadal używasz silnych, niemożliwych do odgadnięcia haseł wraz z uwierzytelnianiem wieloskładnikowym.