Bez hesiel, bez starostí: Ako biometria zlepší bezpečnosť vášho webu

V roku 2024 sa hackerom podaril kybernetický únik histórie – ukradli takmer 10 miliárd hesiel, ktoré následne zverejnili v textovom súbore na otvorenom fóre. Tento šokujúci čin opäť poukázal na zraniteľnosť tradičných hesiel a potrebu posilniť zabezpečenie digitálnych účtov. Ako? Napríklad pomocou neukradnuteľných passkeys.

Prístupové kľúče (passkeys) predstavujú moderný a bezpečný spôsob prihlasovania, ktorý eliminuje viaceré riziká spojené s tradičnými heslami. Tieto kľúče zostávajú uložené iba vo vašom zariadení, integrované priamo v správcoch hesiel a operačných systémoch, čím minimalizujú hrozbu odcudzenia údajov. 

Tradičné heslá vs. prístupové kľúče

Na prvý pohľad môžu prístupové kľúče pripomínať automatické dopĺňanie hesiel, ktoré poznáme z webových stránok či mobilných aplikácií. Ich princíp je však podstatne bezpečnejší. Na rozdiel od hesiel sa prístupové kľúče ukladajú výhradne v správcovi hesiel, pričom ich platnosť sa overuje prostredníctvom pokročilej kryptografie – bez potreby prenášať samotný kľúč. To znamená, že nehrozí ich odcudzenie počas prenosu ani zneužitie cez phishingové útoky. 

Bežné prihlásenie

Pri prihlasovaní pomocou hesla používateľ zadá heslo na svojom počítači, ktorý ho následne prepošle webovej službe. Tá heslo overí a vráti počítaču odpoveď s výsledkom prihlásenia, či už úspešným, alebo neúspešným, ktorý počítač zobrazí používateľovi.

Tento postup má viacero slabých bodov, kde môže dôjsť k úniku hesla:

• Používateľ si heslo zle uloží – napríklad si ho zapíše na papier alebo do nešifrovaného dokumentu.
• Niekto mu ho odpozoruje – ak zadáva heslo na verejnom mieste.
• Zadá ho na falošnú stránku – phishingový útok môže napodobniť login webu a ukradnúť heslo.
• Heslo unikne počas prenosu – ak sa odosiela nešifrovane.
• Útočníci ho získajú priamo zo služby – ak dôjde k úniku databázy hesiel.

Biometrické prihlásenie:

Na rozdiel od hesiel používajú kľúče iný, podstatne zložitejší a zároveň bezpečnejší postup:

Ako to funguje?

1. Používateľ klikne na prihlásenie. Počítač odošle požiadavku na server: „Chcem sa prihlásiť.“
2. Server odpovie výzvou. Táto výzva je jednorazový kód, ktorý potvrdzuje, že prihlásenie prebieha v reálnom čase.
3. Počítač pošle výzvu správcovi hesiel. Správca hesiel je aplikácia alebo zariadenie, ktoré bezpečne uchováva prístupové kľúče.
4. Správca hesiel požiada používateľa o potvrdenie prihlásenia. Môže to byť systémové okno operačného systému, žiadosť o potvrdenie na inom zariadení alebo výzva na použitie biometrie.
5. Používateľ potvrdí prihlásenie. Môže využiť odtlačok prsta, sken tváre, PIN alebo iný spôsob overenia.
6. Správca hesiel vytvorí digitálny podpis výzvy. Tento podpis potvrdzuje, že prihlásenie je autorizované, ale neobsahuje žiadne heslo.
7. Podpis sa odošle späť počítaču.
8. Počítač pošle podpis serveru na overenie.
9. Server overí podpis a umožní prihlásenie. Používateľ je teraz bezpečne prihlásený.

Tento postup vyžaduje viac práce na strane vývojára, pretože zahŕňa kroky ako implementáciu podpory pre kryptografické knižnice, integráciu biometrických overovacích mechanizmov alebo testovanie kompatibility so správcami hesiel. Má však nesporné výhody, pre ktoré sa oplatí investovať do tejto práce čas aj energiu:

• Prístupový kľúč je uložený v správcovi hesiel, takže používateľ nemusí riešiť jeho bezpečné uchovanie – systém sa o to postará automaticky.
• Prihlasovanie prebieha bezpečne v spolupráci so serverom, pričom samotný digitálny podpis sa vytvára iba v správcovi hesiel. Kľúč sa nikdy neposiela, čo zvyšuje ochranu pred útokmi.
• Overenie odtlačkom prsta alebo skenom tváre je rýchle a bezpečné, takmer znemožňuje odcudzenie či napodobnenie identity používateľa.
• Kľúč necestuje cez sieť, takže ho nikto nemôže zachytiť medzi zariadením a službou.
• Kľúče sú naviazané iba na konkrétne služby, čo znamená, že ich nie je možné použiť na phishingových stránkach alebo v iných systémoch.
• Služba pracuje iba s overovacím kľúčom, nie s prístupovým kľúčom samotným – aj v prípade úniku zostáva účet chránený.
• Používateľ nemusí pamätať zložité heslá ani ich pravidelne meniť, čo šetrí čas a znižuje frustráciu.
• Biometria zvyšuje dôveru návštevníkov webu, pretože ponúka moderný a bezpečný spôsob prihlasovania, ktorý poznajú z každodenného života (napríklad pri odomykaní telefónu).

Proces prihlásenia biometrickým kľúčom v praxi

Používateľ cez rozhranie služby zvolí možnosť vytvoriť nový kľúč.

V prípade macOS sa objaví okno s možnosťou vytvorenia nového kľúča pre aktívny účet. Používateľ ju potvrdí napr. pomocou biometrie.

Služba aktivuje prihlasovanie pomocou kľúča.

Používateľ má následne možnosť použiť pri prihlasovaní do služby kľúč namiesto hesla.

Pri zvolení možnosti sa opäť objaví systémové rozhranie, ktoré umožňuje potvrdiť prihlásenie, opäť napr. pomocou biometrie. Prístupový kľúč môže zahŕňať aj prihlasovacie meno, no používateľ si ho už nemusí presne pamätať, pretože dostane na výber spomedzi účtov, ktoré má uložené v správcovi hesiel.

Podpora a budúcnosť

Prístupové kľúče sú síce relatívne novou technológiou, no už teraz menia spôsob, akým vnímame online bezpečnosť, a ich využitie sa neustále rozširuje.

Momentálne ich možno používať:

• Na zariadeniach Apple prostredníctvom Apple Kľúčenky.
• Na Windows zariadeniach vďaka podpore passkeys cez Windows Hello.
• V prehliadači Google Chrome a na Android zariadeniach s Google účtom.
• V ostatných desktopových prehliadačoch s podporou vybraných správcov hesiel a USB kľúčeniek.
• S využitím správcov hesiel ako Bitwarden a 1Password, ktoré postupne pridávajú podporu pre webové prehliadače.

S rastúcou podporou tejto technológie sa biometria a prístupové kľúče stávajú novým štandardom bezpečného a pohodlného prihlasovania. Keby boli rozšírené na všetkých platformách, útok, aký sme zažili v roku 2024, by sa už nikdy nezopakoval.

Bezpečnosť je však nikdy nekončiaca hra – zakaždým, keď ju posunieme na vyšší level, hackeri sa nás pokúsia dobehnúť. Preto neustále inovujeme, chránime a posúvame technológie vpred, aby sme zostali o krok napred. Ochrana dát našich klientov za to stojí.

Zdroje: 

• Start It Up
• MSPowerUser
• https://developer.mozilla.org/en-US/docs/Web/API/Web_Authentication_API
• https://w3c.github.io/webauthn/#iface-pkcredential
• https://webauthn.me/
• https://webauthn.guide

Máte záujem o zabezpečenie svojej platformy či webu pomocou biometrie?