Być może spotkaliście się już z tym terminem wcześniej – chodzi o tzw. klucze dostępu (passkeys). Passkeys są jak hasła, ale lepsze. Są lepsze, ponieważ nie są tworzone przez ludzi i ponieważ wykorzystują kryptografię klucza publicznego – czytamy na stronie Passkey.org stworzonej na potrzeby popularyzacji tej technologii (notabene na tej samej stronie można też sprawdzić w akcji działanie kluczy dostępu – wystarczy skorzystać z wersji demonstracyjnej). W gruncie rzeczy mamy do czynienia z formą uwierzytelniania wieloskładnikowego. Tu znów posłużę się zgrabnym cytatem, bowiem wspomniane składniki zawierają się w trzech określeniach: coś, co wiesz, coś, co masz i coś, czym jesteś. Brzmi tajemniczo, ale już rozkładam to na czynniki pierwsze.
Dla przykładu wygenerowany klucz dostępu będzie wymagać podania kodu PIN używanego do odblokowania urządzenia (coś, co znasz). Drugi scenariusz zakłada wykorzystanie fizycznego klucza U2F lub podobnego mechanizmu wbudowanego w urządzenie (coś, co masz). Ostatni z nich to odcisk palca lub skan twarzy (coś, czym jesteś). Ponadto, w przeciwieństwie do tradycyjnych haseł, każdy klucz dostępu składa się z dwóch części: klucza publicznego i klucza prywatnego. Klucz prywatny nie jest udostępniany usłudze, do której się logujemy i pozostaje na urządzeniu. Nawet w przypadku włamania na serwery danej usługi jesteśmy więc odporni.
1Password z obsługą kluczy dostępu (passkeys)
W najnowszej wersji znanego menedżera haseł można już zapisywać i logować się za pomocą kluczy dostępu, zarówno korzystając z desktopowej wersji 1Password w przeglądarce, jak również na urządzeniach z systemem iOS 17 i iPadOS 17. Wersja dla Androida z obsługą tej technologii zbliża się wielkimi krokami wraz z premierą finalnej wersji Androida 14. Jak informuje producent, można też wykorzystać wtyczkę do następujących przeglądarek internetowych: Chrome (macOS, Windows, Linux), Edge (macOS, Windows, Linux), Brave (macOS, Windows, Linux) i Safari (macOS, iOS, iPadOS). Niestety posiadacze Firefoksa muszą się wstrzymać (możliwość zapisywania i logowania się z użyciem kluczy dostępu dopiero do programu zmierza)
Czytaj też: Proton Pass – nadchodzi bezpieczny menedżer haseł. Szwajcarzy stworzyli ekosystem ochrony prywatności
Co ciekawe, menedżer haseł może sam sprawdzić, które z obecnie zapisanych w bazie usług można zaktualizować do bezpieczniejszej formy kluczy dostępu. Osobiście czekam na podobne wdrożenie w moim ulubionym Bitwarden, który nad 1Password ma jedną szczególną przewagę – pozostaje dostępny w wersji nie wymagającej opłacania miesięcznego abonamentu. Nie da się ukryć, że procent ludzi nietechnicznych, które korzystają z tego typu rozwiązań jest nadal znikomy, więc dodatkowa konieczność płacenia za mierzenie się ze zmianą nawyków może stanowić dodatkową barierę. Tak czy siak, bardzo inicjatywę 1Password doceniam.
Swoją drogą, na rynku menedżerów haseł dzieje się całkiem sporo. W ostatnich miesiącach do gry dołączył Proton Pass, rozwiązanie uznanego szwajcarskiego dostawcy usług skupionych na maksymalnej prywatności. Stopniowo jako internauci będziemy chyba dojrzewać do koncepcji używania narzędzi, które zapewniają możliwie najwyższy poziom bezpieczeństwa, a być może nawet skłonimy się do płacenia za nie (tak, myślę również o zmianie swojego podejścia do tego tematu – jeśli coś jest za darmo, to zazwyczaj jakoś to sobie rekompensuje naszą prywatnością).