Czym jest klucz dostępu, jak działa i dlaczego jest lepszy od hasła?

Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) uznało hasła za przestarzałe – od teraz należy używać kluczy dostępu.

NCSC ogłosiło w tym tygodniu, że nie będzie już zalecać stosowania haseł tam, gdzie dostępne są klucze dostępu. Powinny one być pierwszym wyborem konsumentów do logowania się we wszystkich usługach cyfrowych, ponieważ hasła nie są wystarczająco bezpieczne, aby sprostać współczesnym zagrożeniom cybernetycznym.

Czym jest klucz dostępu? Urzędnicy ds. bezpieczeństwa opisują klucz dostępu jako „cyfrowy stempel”, który pozwala na logowanie się do aplikacji i stron internetowych i jest przechowywany na urządzeniu użytkownika.

Jest to forma logowania bez hasła. W przeciwieństwie do hasła, nie można go ukraść w ataku phishingowym, w którym ludzie są oszukiwani do przekazania swoich danych uwierzytelniających, które później mogą pojawić się w dark webie.

Wymaga jedynie smartfona lub urządzenia, aby potwierdzić, że to Ty próbujesz się zalogować, używając metod biometrycznych, takich jak rozpoznawanie twarzy lub kod PIN telefonu. To uruchamia „stempel” – lub bezpieczny klucz dostępu – który potwierdza aplikacji lub stronie internetowej, że jesteś tym, kim się podajesz. Każde konto, na które jesteś zarejestrowany, będzie miało inny klucz dostępu.

Nawet jeśli aplikacja lub strona internetowa korzystająca z kluczy dostępu zostanie naruszona, nie będzie ona przydatna dla atakującego, ponieważ urządzenie przechowuje „prywatny” klucz dostępu potrzebny do ukończenia logowania.

Klucze dostępu mogą być również synchronizowane między urządzeniami.

Jak skonfigurować klucz dostępu? NCSC informuje, że można przejść do ustawień bezpieczeństwa konta lub prywatności w używanych już aplikacjach i stronach internetowych, lub wypatrywać komunikatów od usług proszących o przejście na klucze dostępu. Możesz również otrzymać propozycję skonfigurowania klucza dostępu podczas tworzenia nowego konta w aplikacji lub na stronie internetowej.

Google twierdzi, że nieco ponad 50% użytkowników jego usług w Wielkiej Brytanii ma zarejestrowany klucz dostępu.

Dlaczego klucze dostępu są dobre? Nie są to hasła, które można wyłudzić lub oszukać od użytkowników za pomocą e-maili phishingowych lub znaleźć w dark webie.

W zeszłym roku badacze z Cybernews, internetowej publikacji technologicznej, powiedzieli, że znaleźli miliardy danych uwierzytelniających do logowania. Zbiory danych były w formacie adresu URL, a następnie danych logowania i hasła. Eksperci byli sceptyczni wobec raportu, twierdząc, że dane prawdopodobnie już krążyły w Internecie, a wiele z nich mogło być duplikatami. Niemniej jednak stwierdzili, że podkreśla to potrzebę regularnego aktualizowania haseł i wdrażania silnych środków bezpieczeństwa, takich jak uwierzytelnianie dwuskładnikowe, gdzie użytkownicy są proszeni o podanie innej formy weryfikacji oprócz hasła.

„Hasła nigdy nie były idealnym rozwiązaniem z perspektywy użytkownika, ponieważ musimy dodawać rzeczy, aby spróbować uczynić je bezpieczniejszymi” – powiedział Dave Chismon, starszy ekspert ds. technologii w NCSC. „A mimo to, nadal można je wyłudzić, a dodatkowe zabezpieczenia utrudniają życie użytkownikom.

„Chociaż technologia jest złożona, dla użytkownika klucze dostępu są szybsze i prostsze niż zapamiętywanie hasła lub przechodzenie przez uwierzytelnianie dwuskładnikowe.”

Czy rozpoznawanie twarzy jest podatne na ataki? Ominięcie zabezpieczeń biometrycznych na urządzeniu jest trudne. Alan Woodward, profesor ds. cyberbezpieczeństwa na Uniwersytecie Surrey, twierdzi, że rozpoznawanie twarzy znacznie się poprawiło.

„Nie tylko algorytmy rozpoznawania stały się lepsze, ale urządzenia zawierają teraz „dowód życia”, aby uniemożliwić używanie obrazów. Jak we wszystkim w cyberbezpieczeństwie, jest to gra w „uderz kreta”. Sztuczki hakerów się poprawiają, a środki zaradcze również” – mówi.

Może wystąpić problem na przykład z członkiem rodziny lub partnerem znającym kod PIN telefonu. Eksperci twierdzą, że oczywistą obroną przed tym jest utrzymywanie kodu PIN w tajemnicy – nawet przed członkami rodziny.

Jakie inne środki ostrożności powinni podjąć ludzie? Głównym zagrożeniem dla osobistego cyberbezpieczeństwa jest własne zachowanie. „Większość ataków na jednostki nadal ma miejsce z powodu braku podstawowej higieny cybernetycznej – poprawne stosowanie podstawowych zasad naprawdę działa” – powiedział Chismon.

Niektóre podstawowe zalecenia to uzyskanie kluczy dostępu lub, jeśli używasz haseł, stosowanie uwierzytelniania dwuskładnikowego. Innym jest zawsze używanie silnych haseł, zwłaszcza silnego i oddzielnego dla konta e-mail. I używaj menedżera haseł, który tworzy i bezpiecznie przechowuje hasła.

Należy regularnie aktualizować aplikacje i oprogramowanie systemowe na swoich urządzeniach. Ataki phishingowe, w których atakujący próbują uzyskać dostęp do danych logowania lub nakłonić Cię do pobrania złośliwego oprogramowania, można uniknąć, zwracając uwagę na (i nie klikając) podejrzanie wyglądające e-maile, linki i załączniki.

Najpopularniejsze hasła na świecie wyglądają jak dar niebios dla hakerów. Według Nordpass, menedżera haseł, który bezpiecznie przechowuje hasła, najczęściej używanym hasłem – na podstawie analizy publicznych naruszeń danych i zapasów danych z dark webu – jest „123456”. Inne w pierwszej dziesiątce to „admin”, „password” i „admin123”. Jeśli takie są Twoje hasła, to klucze dostępu są zdecydowanie dla Ciebie.