Uwierzytelnianie przez hasła do dziś pozostaje najczęściej wykorzystywaną metodą uwierzytelniania, a wielu z nas trudno jest sobie wyobrazić inne rozwiązanie. A jednak przyszłość kontroli dostępu zdaje się zmierzać w kierunku bezhasłowości — gdzie bezpieczeństwo i wygoda idą w parze. Ta ewolucja ma na celu nie tylko zwiększenie bezpieczeństwa, lecz także uproszczenie doświadczenia użytkownika, czyniąc nasze cyfrowe interakcje płynniejszymi i bezpieczniejszymi. Niestety, aktualne rozwiązania wciąż pozostają niedoskonałe, kreując nowe problemy w miejsce poprzednich, co utrudnia porzucenie haseł. Jednakże zaproponowane mechanizmy autoryzacji — te sprzed kilku lat i zupełnie nowe — rysują przyszłość bezhasłową: ekscytującą, bezpieczną i wygodną.
Obiecujące początki, ale…
Nawet najlepiej zabezpieczone usługi wciąż pozostają narażone przez najsłabsze ogniwo: nas samych. Jesteśmy podatni na phishing, długie i nielogiczne ciągi są dla nas trudne do zapamiętana, a przez to niejednokrotnie wykorzystujemy to samo hasło w wielu miejscach. Dlatego jedna czwarta użytkowników raportuje utratę co najmniej jednego konta przez słabość haseł. Tyle też osób musi resetować hasło co najmniej raz w miesiącu (FIDO Alliance 2024).
Z kolei uwierzytelnianie wieloskładnikowe (MFA), oparte na ryzyku, czy nawet promowanie menadżerów haseł, to tylko niekompletne rozwiązania problemu (Lassak 2024, s. 7231), które wciąż utrzymują poprzednie status quo.
Pomocne okazać się mogą klucze dostępu, tzw. passkeys, czyli jednoskładnikowe uwierzytelnienia, które nie wymagają tworzenia kont (par loginów i haseł). Zamiast tego, użytkownik wykorzystuje np. swoją biometrię i po przyłożeniu palca do czytnika linii papilarnych, urządzenie generuje parę kluczy kryptograficznych. Klucz prywatny pozostaje na urządzeniu i służy do generowania jednorazowych kluczy publicznych, które nas identyfikują. A zatem to nie my dowodzimy tożsamości przez znajomość hasła, lecz odpowiednio zabezpieczone urządzenie potwierdza ją za nas (George 2024, s. 203–204).
Z pozoru liczby wydają się być obiecujące, bo według Google w ciągu dwóch lat klucze zostały użyte miliard razy przez 400 mln użytkowników (Adkins 2024). Natomiast Dashlane w pierwszym półroczu 2024 odnotował 400% wzrostu użytkowników używających co najmniej jednego klucza (Barker 2024). Jednakże rozwiązanie Dashlane technicznie wciąż jest hasłem, jedynie maskowanym przed użytkownikiem, a Google wskazuje, iż obecne liczby to wciąż tylko kropla w morzu potrzeb.
Problemy aktualnych rozwiązań
Problem ponownego użycia haseł wynika ze stale rosnącej liczby kont, przy jednoczesnej małej integracji (centralizacji) sposobów uwierzytelnienia. Oznacza to, że użytkownicy będą zmuszeni do posiadania dużej liczby kluczy dostępu — szczególnie przy dopisaniu więcej niż jednego do danego konta. Poza problemami z komfortem, istotnym pozostaje samo zarządzanie kluczami, szczególnie jeśli zaistnieje potrzeba ich unieważnienia. Do dziś nie zasugerowano dobrego rozwiązania tego problemu (Lassak 2024, s. 7244).
Co więcej, uwierzytelnianie bezhasłowe wiąże się z koniecznością przeniesienia zaufania na producentów urządzeń. Wątpliwości budzą chociażby zastosowane metody zabezpieczenia kryptograficznego danych biometrycznych, czy też sposób ich przechowywania. Poważnym zagrożeniem jest także utrata urządzenia uwierzytelniającego, lub złamanie jego zabezpieczeń. Z kolei stosowanie kilku urządzeń bywa rozwiązaniem problematycznym, gdyż często wymaga mnóstwa dodatkowej pracy, ze względu na brak wzajemnej kompatybilności (Oduguwa & Arabo 2024, s. 292–296).
Pomimo problemów, wciąż jednak dostrzegamy zmianę świadomości użytkowników oraz coraz szersze wykorzystywanie menadżerów haseł, uwierzytelniania wieloskładnikowego (MFA) czy biometrii. Przy stale rozwijających się technologiach uwierzytelniania, perspektywa rzeczywistego porzucenia haseł staje się coraz bardziej prawdopodobna.
U progu zmian: współpraca najważniejszych dostawców poświadczeń
W październiku 2024 roku FIDO Alliance opublikowało szkic nowego standardu, opracowanego wraz z najbardziej liczącymi się dostawcami menadżerów haseł oraz uwierzytelnień [1]. Credential Exchange Protocol (CXP), czyli Protokół Wymiany Poświadczeń, zakłada bezpieczne przenoszenie danych uwierzytelniających między dostawcami.
Aktualnie, firmy często wykorzystują kilka menadżerów haseł lub innych rozwiązań uwierzytelniających. Natomiast migracja danych między nimi zwykle odbywa się w formie niezaszyfrowanej — przez pliki CSV. Co więcej, informacje w nich przenoszone nie są ustandaryzowane, prowadząc do problemów z kompatybilnością. CXP ma na celu uproszczenie migracji poświadczeń, zapewniając użytkownikom możliwość bezproblemowego przenoszenia danych uwierzytelniających. Całość odbywa się z wykorzystaniem zaawansowanych technik kryptograficznych, realizowanych przez Hybrid Public Key Encryption (HPKE). Dzięki temu proces jest bezpieczny, a zarazem wydajny (Steele 2024, s. 5–8).
Ma to szczególne znaczenie dla kluczy dostępu. Zmiana sprzętu, zwłaszcza systemu operacyjnego, zwykle oznacza brak kompatybilności i konieczność ręcznego dodawania nowego uwierzytelnienia z użyciem passkey — do każdej usługi osobno. CXP rozwiązuje ten problem, oferując zunifikowane przeniesienie danych, a tym samym znacząco ułatwiając przejście na rozwiązania bezhasłowe.
Jaka będzie przyszłość?
W najbliższej przyszłości zapewne nie wyeliminujemy haseł, jednakże FIDO2, CXP oraz inne rozwiązania odegrają ważną rolę w czynieniu ich przestarzałymi. Aby to było możliwe, zmienić się musi przede wszystkim nasza świadomość: że uwierzytelnienia nie znamy, lecz je posiadamy — niczym klucze do naszych domów. Niestety, subiektywnie odczuwamy większe zagrożenie wynikające choćby z możliwości zgubienia środków uwierzytelnienia, a to co zapamiętujemy, wydaje nam się najbezpieczniejsze. Spoglądając na problem obiektywnie dostrzegamy, że próba zapamiętania wszystkich haseł jest niemożliwa, co generuje ich upraszczanie lub wielokrotne używanie (Lyastani 2020, s. 280).
Możliwe, że pewne zmiany zostaną wymuszone przez dostawców największych usług. Pod koniec 2024 roku Microsoft ogłosił, iż blokował 7000 ataków wymierzonych w hasła na sekundę. Oznacza to wzrost o prawie 200% względem 2023 roku. Dlatego firma podjęła już działania zachęcające użytkowników do przejścia na rozwiązania bezhasłowe. Odwołując się do wygody i szybkości, a także poprawiając interfejs, Microsoft odnotował 10% spadek użycia haseł i 987% wzrostu wykorzystania passkeys. Celem jest przekonanie miliarda użytkowników prywatnych i firmowych do przejścia na uwierzytelnianie bezhasłowe (Ranjit, Bingham, 2024).
Poza poprawą bezpieczeństwa, bezhasłowość nieść będzie znaczącą poprawę komfortu użytkowników w codziennych interakcjach z systemami. Dlatego warto zmieniać nawyki oraz percepcję konsumentów, szczególnie wobec coraz skuteczniejszych zabezpieczeń kryptograficznych, poprawnie implementowanych w coraz większej liczbie urządzeń. A skoro dziś ochoczo płacimy zbliżeniowo telefonami, potwierdzając transakcje odciskiem palca, to może jutro będzie warto się tak logować do coraz większej liczby stron internetowych.
Autor: Mateusz Rakowski
⸻⸻
Przypisy:
[1] We współpracy z Fido Alliance wzięli udział: 1Password, Bitwarden, Dashlane, NordPass i Enpass, Okta, Apple, Google, Microsoft, Samsung i SK Telecom.
Źródła:
Adkins, H. 2024. Passkeys, Cross-Account Protection and new ways we’re protecting your accounts. Google [online]. Dostępny w: https://blog.google/technology/safety-security/google-passkeys-update-april-2024/.
Barker, P. 2024. Dashlane study reveals massive spike in passkey adoption. CSO [online]. Dostępny w: https://www.csoonline.com/article/3479976/dashlane-study-reveals-massive-spike-in-passkey-adoption.html.
FIDO Alliance. 2024. Consumer Password & Passkey Trends, FIDO Alliance [online]. Dostępny w: https://fidoalliance.org/wp-content/uploads/2024/05/World-Password-Day-2024-Report-FIDO-Alliance.pdf.
George, A.S. 2024. The Dawn of Passkeys: Evaluating a Passwordless Future. PUIRP. Vol. 2, Issue 1.
Lassak, L., et. al. 2024, Why Aren’t We Using Passkeys? Obstacles Companies Face Deploying FIDO2 Passwordless Authentication, [w:] Balzarotti, D., Xu, W. (eds.). 33rd USENIX Security Symposium. Conference proceedings, Philadelphia: USENIX.
Lyastani, S.G., et. al. 2020. Is FIDO2 the Kingslayer of User Authentication? A Comparative Usability Study of FIDO2 Passwordless Authentication, [w:] 2020 IEEE Symposium on Security and Privacy (SP), San Francisco: IEEE Xplore.
Oduguwa, T., Arabo, A. 2024. Passwordless Authentication Using a Combination of Cryptography, Steganography, and Biometrics. Journal of Cybersecurity and Privacy. No. 4.
Ranjit, S., Bingham, S., 2024. Convincing a billion users to love passkeys: UX design insights from Microsoft to boost adoption and security. Microsoft Security [online]. Dostępny w: https://www.microsoft.com/en-us/security/blog/2024/12/12/convincing-a-billion-users-to-love-passkeys-ux-design-insights-from-microsoft-to-boost-adoption-and-security
Steele N. (ed.) 2024. Credential Exchange Protocol. Working Draft (October). Fido Alliance [online]. Dostępny w: https://fidoalliance.org/specs/cx/cxp-v1.0-wd-20241003.pdf.