Nowoczesny Bank Spółdzielczy | Technologie – Secfense | Czy passkeys staną się uniwersalnym sposobem uwierzytelniania w bankowości?

Po co w ogóle wprowadzać nowe sposoby uwierzytelniania? To koszt dla banków, a przecież użytkownicy mają już możliwość korzystania obok haseł choćby z SMS-ów czy powiadomień push.

– Rzeczywiście, ale proszę zauważyć, że żadna z tych technologii nie jest dziś przeszkodą dla cyberprzestępcy. Był czas, gdy myśleliśmy, że SMS jest bezpieczny. Tymczasem naprawdę średnio zaawansowany przestępca jest w stanie w kilka minut obejść to zabezpieczenie. Atakujący potrafią też poradzić sobie z powiadomieniami push. Stosują w tym celu bombardowanie MFA. Polega ono na uporczywym nękaniu użytkownika kolejnymi monitami nakłaniającymi do akceptacji transakcji. Przestępca liczy na to, że użytkownik zmęczy się ich odrzucaniem i w pewnym momencie po prostu któryś zaakceptuje.

Czy któraś z dostępnych metod jest w pełni bezpieczna?

– Za najskuteczniejsze dziś metody uznaje się te oparte na kryptografii asymetrycznej. Wykorzystuje się w niej parę kluczy – klucz prywatny – poufny, bezpiecznie przechowywany, i klucz publiczny, który może być rozpowszechniony. Idea polega na tym, że to, co zaszyfrowane kluczem prywatnym, można odszyfrować tylko kluczem publicznym. I odwrotnie. Tego typu szyfrowanie jest stosowane w standardzie U2F oraz właśnie w passkeys.

Standard U2F kojarzy nam się z kluczem fizycznym. Niektóre polskie banki wprowadziły już to rozwiązanie. Czy ono nie wystarcza?

– Klucz fizyczny, czyli małe urządzenie podłączane do komputera i służące za drugi składnik uwierzytelniania, jest bardzo skuteczne. Nikt, kto nie posiada takiego klucza, nie będzie mógł się za nas uwierzytelnić w serwisie. Zatem nawet przejęcie loginu i hasła nic nie daje cyberprzestępcy. Dodatkowo technologia kluczy fizycznych jest odporna na phishing, bowiem para kluczy, które są tworzone z wykorzystaniem takiego urządzenia, jest ściśle powiązana z konkretną domeną. Nie zadziała zatem w przypadku domeny sfałszowanej.

Minusem takiego rozwiązania jest to, że klucz fizyczny trzeba kupić i zawsze ze sobą mieć.

Dlaczego zatem passkeys? Co sprawia, że jest to lepsze rozwiązanie?

– Passkeys działają na podobnej zasadzie. Też opierają się na kluczach prywatnym i publicznym. Mają w sobie jednak elementy, które sprawiają, że korzystanie z nich jest wygodniejsze. Przede wszystkim w ich przypadku urządzeniem uwierzytelniającym może być smartfon lub komputer, nie jest konieczne – choć jest też możliwe – posiadanie osobnego klucza. Poza tym passkeys pozwalają zrezygnować z używania loginów i haseł – to nie one bowiem identyfikują użytkownika. I w końcu – klucz prywatny w passkeys można zapisać na urządzeniu. A ponieważ to urządzenie może być software’owe, np. menedżer haseł, a nawet chmurowe – klucze prywatne można synchronizować między różnymi urządzeniami. A to ogromna wygoda dla użytkownika.

Czy to jest bezpieczne?

– Absolutnie! Kluczy nie można bowiem wytransferować poza urządzenie uwierzytelniające. Nie da się zatem dzielić ich z innymi osobami. Nawet gdy ktoś wyeksportuje bazy danych KeePass, w tej bazie będą tylko hasła, ale nie passkeys.

A jak wdrożyć passkeys w organizacji?

– W standardowym przebiegu wdrażania passkeys integruje się z nimi aplikacje jedną po drugiej. To wymaga czasu, pieniędzy i zaangażowania programistów.

Alternatywą jest integracja passkeys z wykorzystaniem User Access Security Broker, rozwiązania oferowanego przez Secfense. Umożliwia to szybkie i płynne dodawanie kluczy dostępu do wszystkich aplikacji, bez konieczności kodowania.

Zachęcam do śledzenia naszej strony www.secfense.com na której już niedługo opublikujemy obszerny raport o passkeys, w którym wyjaśniamy, czym jest ta technologia i jak sprawnie wdrożyć ją w organizacji.