Uwierzytelnianie ma kluczowe znaczenie dla ochrony danych i tożsamości w erze cyfrowej. Tradycyjne hasła lata świetności mają już za sobą. Dostępne już są i pojawiają się coraz lepsze rozwiązania bezhasłowe, takie jak wspomagane biometrią uniwersalne klucze dostępu (ang. #passkeys).

Chociaż hasła były jedną z najpopularniejszych metod uwierzytelniania, to od zawsze miały swoje ograniczenia. Głównym okazywał się oczywiście czynnik ludzki, gdyż to na użytkownikach spoczywa obowiązek generowania odpowiednio skomplikowanych ciągów znaków, a następnie ich zapamiętywanie i regularne aktualizowanie, co podkreślają eksperci KPMG, firmy świadczącej usługi audytorsko-doradcze.

Według analityków KPMG trend odchodzenia od tego sposobu weryfikacji można uznać za swego rodzaju zmianę kulturową. Inne metody uwierzytelniania na ogół opierają się na protokołach, takich jak FIDO2 i WebAuthn czy kryptografii klucza publicznego/prywatnego. Rozwiązania te mają na celu m.in. zastępowanie haseł urządzeniami, których ludzie już używają i noszą przy sobie – kartami bezpieczeństwa, smartfonami czy smartwatchami.

Mechanizmy uwierzytelniania wieloskładnikowego MFA (SMS-y, tokeny czy choćby biometria) stanowią znaczące ulepszenie w zakresie ochrony kont. Należy mieć natomiast świadomość, że nie są one niezawodne – aby przejąć wiadomości tekstowe, nie trzeba zaawansowanych umiejętności hakerskich. Chociaż urządzenia do weryfikacji tożsamości oferują wysoki poziom bezpieczeństwa, to są zazwyczaj drogie i trudne w utrzymaniu, mogą też zostać zgubione. Z kolei w przypadku bardziej wyrafinowanych mechanizmów, takich jak uwierzytelnianie biometryczne, istnieje ryzyko otrzymania fałszywych wyników negatywnych. Kolejna z metod weryfikacji – behawioralna – wiąże się z analizą zachowań użytkowników i podmiotów w celu zapobiegania oszustwom i kradzieżom tożsamości.

Każdy ze sposobów uwierzytelniania ma pewne ograniczenia i wady, dlatego warto przyjrzeć się technologii łączącej więcej niż jedną opcję zabezpieczania logowania, czyli passkey. Rozwiązanie to opiera się na zestawie dwóch kluczy generowanych dla każdego użytkownika – publicznym i prywatnym. Pierwszy udostępniamy witrynie lub aplikacji, do której chcemy się zalogować. Drugi natomiast przechowujemy wyłącznie na naszym urządzeniu (telefonie czy laptopie). Podczas uzyskiwania dostępu do usługi wykorzystującej tę technologię przeglądarka lub system operacyjny pomaga w wyborze i użyciu prawidłowego klucza dostępu. Dzięki temu do logowania potrzebujemy jedynie ustalonego wcześniej PIN-u, wzoru lub poświadczenia biometrycznego, a poufny, zapisany na smartfonie lub laptopie zaszyfrowany kod zapewnia bezpieczeństwo całego procesu.

Cały artykuł Bezhasłowa przyszłość uwierzytelniania w czerwcowym wydaniu miesięcznika „IT Professional”.

(grafika tytułowa – źr. Pixabay)