Google wprowadza nową funkcję. Jak używać Passkeys?

Klucze Dostępu Google, albo Google Passkeys, to nic innego jak nowe narzędzie do zarządzania uwierzytelnianiem na koncie Google. Jak to działa i jak aktywować dodatkowe zabezpieczenia logowania?

Tak zwane "klucze dostępu" są generowane z zastosowaniem kryptografii klucza publicznego. Obejmuje ono jedną parę klucza publicznego + klucz prywatny.

Klucz publiczny przechowywany jest na serwerach Google i jest on jawny dla strony trzeciej. Natomiast klucz prywatny jest przechowywany na Twoim urządzeniu. Połączenie tych dwóch kluczy w jedną całość umożliwiają zalogowanie.

Żadna inna strona internetowa nie ma dostępu do Twojego klucza prywatnego, a jeśli o to poprosi, to i tak klucz będzie pasował wyłącznie do konta Google. Te klucze razem stanowią kryptograficzną jedność, są "nierozerwalne" i powiązane z kontem Google. Innej usługi internetowe będą potrzebowały wygenerowania nowej pary kluczy, aby uwierzytelnianie mogło działać w ten sam sposób.

Dalsza część artykułu pod materiałem wideo

Technologia ta nie jest nowa i nie jest to takie samo passwordless, jakie zamierza wprowadzić Apple. Konta internetowe, w tym Google, nadal trzeba założyć tradycyjnie – podając email, login, hasło. Na koncie Google w zakładce Bezpieczeństwo trzeba jeszcze włączyć 2FA i dopiero wtedy klucze dostępu, aby korzystać z logowania bez hasła.

Google po zastosowaniu Kluczy Dostępu wyeliminowało ryzyko ataku podczas logowanie użytkownika. Wyeliminowana została kradzież potencjalnego hasła, loginu, czy nawet wygenerowanego kodu 2FA, ponieważ takiego klucza kryptograficznego nie da się wykraść.

Podrobiona strona internetowa np. goole.com, kiedy poprosi o Twój klucz prywatny, nie uzyska dostępu tajnych danych kryptograficznych. W ataku socjotechnicznym nie zalogujesz się na fałszywą stronę i nie przekażesz kryptograficznych, poufnych informacji hakerowi. Technicznie nie będzie to możliwe.

Ta metoda uwierzytelniania sprawia, że konta użytkowników są znacznie bardziej odporne na ataki i kradzież danych logowania, ponieważ w przeciwieństwie do hasła, taki klucz nie może być wyłudzony, ani przechwycony podczas przesyłania. Oznacza to, że bez fizycznego dostępu do urządzenia z kluczem, nikt postronny nie jest w stanie się zalogować na Twoje konto z użyciem tej metody.

Klucze dostępu umożliwiają bezpieczne logowanie się na konto Google przy użyciu odcisku palca, wizerunku twarzy, blokady ekranu lub fizycznego klucza bezpieczeństwa.

Przejdź na stronę http://g.co/passkeys z urządzenia, które chcesz dodać i używać jako tzw. klucz dostępu. Postępuj zgodnie z prostymi wskazówkami w zakładce "Bezpieczeństwo -> Klucze Dostępu".

Nowym "kluczem" do uwierzytelniania się na koncie Google może być:

• Komputer z systemem Windows 10/11: logowanie do Google potwierdzisz biometrią, kodem PIN lub fizycznym kluczem bezpieczeństwa, jeśli go masz (zachęcamy do tego).
• Komputer macOS.
• Smartfony z Androidem 9 i nowszym albo iPhone/iPad z minimum iOS 16.

Nie wpadaj w panikę. Możesz zalogować się na konto Google, klikając "wypróbuj inny sposób". Spowoduje to pominięcie klucza i możliwy będzie powrót do poprzednich ustawień logowania np. kod z aplikacji 2FA lub SMS.

Klucze Dostępu są tak chronione, jak chronione jest Twoje urządzenie przed osobami postronnymi. Dlatego klucza nie należy dodawać na urządzeniu współdzielonym, a przynajmniej my tego nie zalecamy.

Argumentujemy to tym, że każdy, kto będzie korzystał z tego urządzenia, będzie miał dostęp do Twojego konta Google, historii przeglądania itp. Utracisz całkowitą kontrolę nad prywatnością, przekazując swoje życie cyfrowe Google i osobie trzeciej.

Nawet jeśli wylogujesz się z konta po utworzeniu klucza dostępu, to każdy, kto ma dostęp do współdzielonego urządzenia, będzie mógł ponownie zalogować się na Twoje konto za pomocą klucza dostępu lub innej metody.

1. Gwarantowany dostęp do konta

Załóżmy, że już masz utworzone klucze dostępu. Możesz ich użyć naprzemiennie podczas logowania się do konta: na komputerze potwierdzisz uwierzytelnianie w smartfonie i odwrotnie.

2. "Kopia zapasowa" kluczy.

Nie dosłownie jest to kopia zapasowa, ale mając konto iCloud lub Android twoje klucze są synchronizowane pomiędzy urządzeniami, więc z każdego urządzenia masz do nich dostęp. Zapobiega to zablokowaniu dostępu do konta w przypadku zgubienia urządzenia. Alternatywnie jest jeszcze metoda "wypróbuj inny sposób" logowania.

3. Ochrona przed phishingiem i atakami.

Kluczy Dostępu nie można ukraść, dlatego hakerzy nie będą mogli wykraść poświadczeń do logowania. Klucze dostępu w każdej chwili możesz wycofać i utworzyć nowe. Usunięte klucze nie mogą być ponownie użyte.

4. Klucze Dostępu Google mogą zastąpić fizyczny klucz bezpieczeństwa.

Firma Google twierdzi, że ich klucze dostępu są "wystarczająco silne kryptograficznie", aby mogły zastąpić fizyczne klucze np. Yubikey. Tym niemniej klucz Yubikey możesz użyć na dowolnej stronie, a nawet wielu aplikacjach. Warunkiem jest wspieraniem "logowania kluczem bezpieczeństwa".

Klucze dostępu są łatwe w konfiguracji, używaniu i bezpieczniejsze niż hasła, ponieważ są one tworzone z użyciem kryptografii asymetrycznej, co zapobiega phishingowi i innym rodzajom oszustw.

Wadą passkeys jest ich zależność od urządzenia użytkownika, ale to tak samo, jak z każdym innym tokenem sprzętowym.

Zaletą korzystania z kluczy dostępu jest to, że są przechowywane w zaszyfrowanych sejfach na urządzeniach. Ryzyko wycieku takiego klucza jest prawie zerowe.

Więcej o Google Passkeys opowiadał na konferencji RSA Christiaan Braand, Product Menager Security & Identity Google.