Czym jest passkey?

Passkey czyli klucz dostępu to nowoczesna metoda uwierzytelniania, która ma zastąpić tradycyjne hasła. Działa jak rodzaj cyfrowego klucza, który jest przechowywany na Twoim urządzeniu (np. telefonie, komputerze) i służy do logowania się do różnych usług online.

Do czego służy passkey?

Hasła są powszechnym sposobem logowania się na konta, ale jeśli zostaną skradzione (co często się zdarza), każdy może ich użyć, aby uzyskać dostęp. Klucze dostępu/passkeys to sposób na logowanie się bez hasła. Serwisy, które obsługują tą metodę, używają Twojego telefonu lub innego obsługiwanego urządzenia, aby udowodnić, że jesteś tym, za kogo się podajesz. Główną zaletą kluczy jest to, że nie można ich ukraść tak jak haseł. Poza tym nie ma nic do zapamiętania, więc nigdy ich nie zapomnisz.

Jak działa passkey?

Gdy rejestrujesz się w serwisie obsługującym passkeye, tworzony jest unikalny klucz powiązany z Twoim kontem. Klucz ten składa się z dwóch części: klucza publicznego, który jest przechowywany na serwerze usługi, oraz klucza prywatnego, który jest bezpiecznie przechowywany na Twoim urządzeniu.

Podczas logowania serwis prosi Cię o potwierdzenie swojej tożsamości. Możesz to zrobić np. poprzez odcisk palca, skan twarzy lub PIN urządzenia. Po weryfikacji Twój telefon lub komputer używa klucza prywatnego do wygenerowania podpisu cyfrowego, który jest wysyłany do serwisu. Serwis sprawdza podpis za pomocą klucza publicznego i jeśli wszystko się zgadza, jesteś zalogowany.

Metoda działania passkey opiera się na kryptografii klucza publicznego, co gwarantuje, że tajny element poświadczenia nie zostanie udostępniony witrynie internetowej i żadne tajemnice nie zostaną przesłane pomiędzy urządzeniem użytkownika a serwerem.

passkey

Aby klucz dostępu mógł działać, moduł uwierzytelniający, taki jak urządzenie mobilne lub menedżer haseł obsługujący klucze, generuje dwa klucze kryptograficzne dla każdego utworzonego konta. Jeden klucz jest publiczny i przechowywany w witrynie, w której tworzysz konto, a drugi jest prywatny i przechowywany w Twoim urządzeniu uwierzytelniającym. Kiedy logujesz się na konto w usłudze wspierajacej passkey, Twój moduł uwierzytelniający i witryna komunikują się w celu uwierzytelnienia Twojego logowania bez wymiany żadnych rzeczywistych sekretów, które mógłby wykorzystać podsłuchujący komunikacje przestępca.

Zobacz:  Fizycznie izolowana sieć

Zatwierdzenie logowania może przyjąć formę kontroli biometrycznej na urządzeniu za pomocą czujnika odcisków palców lub funkcji rozpoznawania twarzy albo lokalnego hasła urządzenia lub kodu PIN. Klucze dostępu mogą być powiązane z urządzeniami lub synchronizowane między urządzeniami. Klucze powiązane z urządzeniem to zazwyczaj klucze tworzone na kluczu sprzętowym, takim jak chociażby YubiKey, natomiast zsynchronizowanymi kluczami zarządza zazwyczaj menedżer haseł. Zsynchronizowane klucze mają tę zaletę, że są dostępne na każdym urządzeniu, na którym dostępny jest menedżer haseł.

Dlaczego passkey jest lepszy od hasła?

Istnieje kilka powodów, dla których klucze dostępu są lepsze niż hasła. Hasła są wspólnym sekretem: wartość jest wysyłana przez sieć do serwera w celu oceny, co oznacza, że ​​serwer musi przechowywać informacje o haśle, które mogą być cenne dla atakującego. W przypadku passkey sekret jest dzielony na dwie cześci, serwer nie ma pełnej informacji, wiec nie można go wykraść. Klucze, w przeciwieństwie do haseł, nie muszą być zapamiętywane. Dzięki kluczom passkey logowanie jest łatwiejsze i znacznie bezpieczniejsze.

Dodatkowe bezpieczeństwo zapewnia odporność na phishing. Aby zrozumieć dlaczego, przyjrzyjmy się, jak działa atak phishingowy. Podczas ataku phishingowego osoba atakująca wysyła ofierze wiadomość zachęcającą ją do odwiedzenia witryny internetowej z nadzieją, że wprowadzi swoje dane logowania. Witryna, do której odwiedzenia użytkownik zostanie poproszony, prawdopodobnie będzie mu się wydawać wiarygodna. Użytkownicy próbujący zalogować się do witryny phishingowej podają swoją nazwę użytkownika i hasło, umożliwiając osobie atakującej dostęp do swojego konta. To po prostu nie zadziała w w przypadku kluczy. Klucze eliminują element wprowadzania haseł przez użytkowników i nie można ich używać w złośliwych witrynach internetowych, ponieważ są technicznie powiązane z oryginalną witryną, dla której zostały utworzone.

Dlaczego warto korzystać z passkeyów?

  • Bezpieczeństwo: Passkeye są znacznie bezpieczniejsze niż tradycyjne hasła. Nie można ich ukraść poprzez phishing. Są również odporne na ataki słownikowe i brute-force.
  • Wygoda: Nie musisz pamiętać skomplikowanych haseł ani wpisywać ich ręcznie. Wystarczy potwierdzić swoją tożsamość za pomocą biometrii lub PIN-u.
  • Uniwersalność: Passkeye działają na różnych urządzeniach i platformach. Możesz ich używać do logowania się do wielu usług, o ile je obsługują.
Zobacz:  Jak zabezpieczyć swoje konto w serwisie X

Coraz więcej serwisów zaczyna obsługiwać passkeye. Wśród nich są m.in. Google, Microsoft, PayPal, eBay, a także niektóre polskie serwisy, jak Wirtualna Polska czy Onet.

Passkey / klucze dostępu w revolut

Możesz sprawdzić, czy Twoje ulubione serwisy obsługują passkeye, szukając informacji na ich stronach lub w ustawieniach konta. Inne znane serwisy obsługujące passkey:

  • airnewzealand.com
  • amazon.com
  • adobe.com
  • apple.com
  • arpari.com
  • authgear.com
  • bestbuy.com
  • beyondidentity.com
  • binance.com
  • bmw.co.uk
  • bmwusa.com
  • bookmyname.com
  • boursobank.com
  • bridgecrest.com
  • cardpointers.com
  • carnival.com
  • cloudflare.com
  • coinbase.com
  • corbado.com
  • crowdin.com
  • cutx.org
  • dinero.dk
  • discord.com
  • docusign.com
  • ebay.com
  • finom.co
  • fleeps.co
  • formx.ai
  • frontegg.com
  • github.com
  • gitlab.com
  • godaddy.com
  • google.com
  • haeppie.com
  • hanko.io
  • homedepot.com
  • horizon.pics
  • hyatt.com
  • id.moneyforward.com
  • id.smt.docomo.ne.jp
  • ivoclar.com
  • justpass.me
  • kayak.com
  • kenwoodworld.com
  • laakari.chat
  • linkedin.com
  • login.gov
  • lowes.com
  • magic.link
  • mangadex.org
  • marketcircle.com
  • marshmallow-qa.com
  • michigan.gov
  • microsoft.com
  • monespacesante.fr
  • moneybird.com
  • moneyforward.com
  • namecheap.com
  • nintendo.com
  • nvidia.com
  • offshoot.rentals
  • okta.com
  • olympics.com
  • omg.lol
  • passage.1password.com
  • passage.id
  • passkeys.eu
  • passkeys.guru
  • pastery.net
  • payfit.com
  • paypal.com
  • playstation.com
  • porkbun.com
  • qapital.com
  • rad.dad
  • revolut.com
  • robinhood.com
  • roblox.com
  • sandbox.fusionauth.io
  • shop.app
  • shopify.com
  • synology.com
  • tailscale.com
  • target.com
  • tender.run
  • thehendrixjc.com
  • tiktok.com
  • trusona.com
  • twitter.com
  • uber.com
  • vaultvision.com
  • vercel.com
  • virginmedia.com
  • webauthn.io
  • whatsapp.com
  • x.com
  • yahoo.co.jp
  • yahoo.com
  • zoho.com
Oceń artykuł

Inne wpisy

Odwiedź nasze media społecznościowe

12,175FaniLubię
243ObserwującyObserwuj
188SubskrybującySubskrybuj

Ostatnie artykuły

× Chat