Apple Passkeys: revoluce v přihlašování?
Hesla jsou prozatím základními prvky ověřování. Používáme je pro přihlašování k počítačům, e-mailu, síťovým zařízením nebo například sociálním sítím či e-shopům. Vzhledem k tomu, že virtuální účty se vyskytují ve všech myslitelných oblastech a často jsou doprovázeny informacemi o kreditních kartách a dalšími citlivými údaji, přináší to v ruku v ruce také požadavek na silná hesla, které musí být u každé služby jiné.
Přesto stále přetrvávají techniky, jak se útočník může dostat do vašeho účtu. Dobře známé jsou techniky sociálního inženýrství, z nichž je nejznámější phishing. Zadání existujícího hesla na phishingové stránce je pro útočníka nejjednodušší způsob, jak může ukrást vaše přihlašovací údaje a nabourat se do vašeho účtu. Kdo používá sociální sítě, určitě zná situaci, kdy někdo se vydával za kamaráda, kdo mu poslal odkaz s údajně velmi vtipným videem a ve skutečnosti šlo jen o phishingový útok.
Známe tedy limity hesel. Přestože to do jisté míry řeší dvoufaktorové ověřování (2FA), techniky sociálního inženýrství (které dokáží překonat i druhý faktor) stále přetrvávají. Jak to řeší přístupové klíče?
Ověřování pomocí veřejného a soukromého klíče
Myšlenka je jednoduchá. Když navštívíte podporované webové stránky a budete se přihlašovat, místo automatického vyplňování - vyplnění hesla a jeho následného potvrzení prostřednictvím Touch ID nebo Face ID - se zobrazí podobné okno pro potvrzení těmito biometrickými snímači. Na pozadí však nebude probíhat žádné vyplňování hesla. Místo toho zařízení vytvoří pár veřejného a soukromého klíče a na server odešle ten veřejný. Při přihlašování ke službě pomocí přístupového klíče odešle server do zařízení zprávu - přístupový klíč - zašifrovanou veřejným klíčem a zařízení ji dešifruje soukromým klíčem, jednoznačně vás identifikuje a přihlášení pokračuje. Přístupový klíč může být potenciálně velmi složitý a bez soukromého klíče je prakticky neprolomitelný.
Veřejný klíč slouží k šifrování a jak název napovídá, nemusí být bezpečně uložen. Soukromý klíč naopak slouží k dešifrování, a ten proto musí být bezpečně uložen. To se v případě společnosti Apple provádí ve službě iCloud Keychain. Přístupové klíče jsou synchronizovány s ostatními zařízeními a měly by umožnit bezproblémové fungování mezi zařízeními Apple.
Společná iniciativa
Na závěr dvě velmi důležité poznámky: Vize přístupových klíčů společnosti Apple se netýká pouze společnosti Apple. Ve skutečnosti se jedná o společnou spolupráci aliance FIDO (Fast IDentity Online), konsorcia World Wide Web (které definuje webové standardy) a společností Apple, Google a Microsoft. Podle FIDO bychom se implementace přístupových klíčů na dalších platformách měli dočkat v příštím roce.
Druhá poznámka vyvstává z principu, který jsme popsali. Jak se bude uživatel autentizovat, když nebude přístupový klíč moct použít? Přístupový klíč bude možné mít uložený v mobilním telefonu a v případě, že se nachází poblíž, použít jej k přihlášení k některé službě na zařízení, které nemá přístupový klíč uložený. Apple na WWDC ukázal situaci, kdy bude možné naskenovat přihlašovací relaci prostřednictvím QR kódu, ale FIDO aliance zmiňuje i komunikaci prostřednictvím Bluetooth.
S nástupem přístupových klíčů se v oblasti bezpečnosti chystají velké věci. Zároveň to neznamená konec dvoufaktorového ověřování. Zejména v oblastech, kde je bezpečnost a jednoznačná identifikace klíčová (banky, služby e-governmentu), se nemusíme obávat konce hardwarových tokenů.