Brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC), będące częścią GCHQ, właśnie zaktualizowało swoje wytyczne, ogłaszając klucze dostępu nowym standardem, który powinien zastąpić tradycyjne hasła.
Klucze dostępu zamiast haseł. Dlaczego NCSC zmieniło zdanie?
Jeśli śledzicie doniesienia branżowe, to zapewne wiecie, że jeszcze rok temu NCSC podchodziło do kluczy dostępu z pewnym dystansem, wskazując na wyzwania wdrożeniowe. Jednak postęp, jaki dokonał się w branży, sprawił, że dziś eksperci nie mają wątpliwości: passkeys to przyszłość. Według najnowszego raportu technicznego zaprezentowanego podczas konferencji CYBERUK w Glasgow, klucze dostępu są co najmniej tak bezpieczne, a w wielu przypadkach znacznie odporniejsze na ataki niż połączenie najsilniejszego hasła z weryfikacją dwuetapową (2FA).
Głównym powodem tej zmiany jest fakt, że większość cyberataków zaczyna się od kradzieży danych logowania. Tradycyjne hasło można wyłudzić poprzez phishing, odgadnąć lub przejąć. Klucze dostępu są na to odporne. Nie są one ciągiem znaków przechowywanym w naszej głowie, na kartce czy nawet w menadżerze, lecz cyfrowym certyfikatem zapisanym na naszym urządzeniu. Logowanie polega na zatwierdzeniu prośby przez odcisk palca, rozpoznawanie twarzy lub PIN urządzenia, więc zwyczajnie atakujący nie ma czego ukraść, ponieważ klucz nigdy nie opuszcza telefonu czy komputera w formie, którą można by przechwycić i wykorzystać ponownie.
Czytaj też: Google kończy z aplikacją Fitbit? Nadchodzą zmiany
Jonathan Ellison z NCSC podkreśla, że migracja na klucze dostępu to koniec „bólu głowy” związanego z zapamiętywaniem dziesiątek haseł. To budowanie odporności cyfrowej całego społeczeństwa na skalę masową. Co ciekawe, Wielka Brytania już teraz przoduje w adopcji tej technologii – dane od Google pokazują, że ponad 50% aktywnych użytkowników ich usług na Wyspach ma już zarejestrowany przynajmniej jeden klucz dostępu.
Cztery powody, dla których warto porzucić hasło już dziś
Przejście na passkeys to nie tylko kwestia “wyższych idei” bezpieczeństwa, ale realna wygoda w codziennym życiu. Brytyjscy eksperci wymieniają cztery kluczowe zalety:
- Szybkość i brak tarcia — logowanie za pomocą klucza dostępu jest do ośmiu razy szybsze niż tradycyjne wpisywanie loginu, hasła i przepisywanie kodu z SMS-a.
- Odporność na phishing — klucze dostępu są nierozerwalnie powiązane z konkretną witryną lub aplikacją. Nie da się ich podać na fałszywej stronie stworzonej przez hakerów.
- Koniec ze „zmęczeniem hasłami” – użytkownicy nie muszą już tworzyć skomplikowanych ciągów znaków ani stosować wzorów, które są łatwe do złamania. Problem zapominania haseł po prostu znika.
- Oszczędności dla wszystkich — systemy oparte na SMS-ach są drogie dla dostawców usług. Rząd brytyjski szacuje, że zastąpienie weryfikacji SMS-owej kluczami dostępu w usługach publicznych pozwoli zaoszczędzić miliony funtów rocznie.
Czytaj też: Powrót wymiennych baterii w smartfonach? Unijne przepisy to nie to, o czym myślisz
Oczywiście, proces pożegnania z hasłami potrwa latami. Wiele starszych serwisów wciąż nie wspiera nowej technologii. W takich przypadkach eksperci NCSC pozostają przy swojej klasycznej poradzie: używaj menedżera haseł do tworzenia silnych, unikalnych kodów i nie zapominaj o weryfikacji dwuetapowej. Jednak tam, gdzie widnieje opcja „Zaloguj się za pomocą klucza dostępu” – warto z niej skorzystać bez wahania.
Źródło: NCSC
