Heslo, 12345, heslo123, datum narození, datum narození partnera nebo partnerky a podobně. Ačkoliv se před používáním banálních hesel varuje mnoho let, mnoho z nás je vymýšlí znovu a znovu, což představuje jeden z nejcitlivějších bodů bezpečnosti na internetu. Změnit to mají přístupové klíče, které potřebu vytvářet, pamatovat si či zadávat heslo zcela eliminují. Loni je začal používat Apple, teď se přidává i Google.

Cílem přístupových klíčů je bezpečnost na internetu zvýšit a zároveň ji zjednodušit pro uživatele. Přihlašování jejich prostřednictvím probíhá stejně jako odemykání telefonu – stačí sken otisku prstu či obličeje. Dlouhodobějším cílem je pak roli hesel minimalizovat nebo zcela eliminovat. Díky přístupovým klíčům není třeba si pamatovat žádné heslo, otravovat se s dvoufaktorovým ověřením v aplikaci či přes SMS. A navíc je to metoda odolná vůči většině útoků hackerů.

Minulý rok zavedl přístupové klíče do praxe Apple, na začátku května se k němu přidal i Google a jejich použití není ani v jeho podání nijak složité, i když pár předpokladů naplnit musíte. Kdo chce přístupový klíč začít používat, musí nejprve navštívit speciální web Googlu pro jeho vytvoření. Je nutné také mít prohlížeče Google Chrome 109, Safari 16, Edge 109 nebo novější, případně operační systémy Windows 10, macOS Ventura, iOS 16, Android 9 Pie a novější. Také je potřeba mít aktivního správce hesel, který přístupové klíče podporuje, jako je Klíčenka na iCloudu, Google Správce hesel, 1Password, ale i hardwarový klíč.

Samotný proces je pak velice jednoduchý – stačí se podle instrukcí proklikat dialogovými okny, v jednom bodě zadat heslo pro odemknutí daného zařízení (tedy ne to, co používáme v účtu Googlu) a potvrdit. Vytvořený klíč pak lze přejmenovat či v případě prodeje nebo ztráty zařízení smazat v nastavení účtu v sekci Bezpečnost. Prakticky totéž platí pro Apple, který postup blíže popisuje na svém webu pro iPhone a Mac.

Pro přihlášení na jiném zařízení, než kde jsme přístupový klíč vytvořili, pochopitelně nemůžeme použít heslo, jelikož žádné takové neexistuje. Místo toho se zobrazí QR kód pro jednorázový přístup, který oskenujeme zařízením s už dříve uloženým přístupovým klíčem. Je přitom nutné mít na obou stranách zapnutý bluetooth. Nové zařízení automaticky nabídne možnost vytvořit jeho vlastní klíč, není to však nutné a u cizích počítačů či telefonů samozřejmě nežádoucí.

Přístupové klíče se mezi několika zařízeními jednoho uživatele synchronizují automaticky – podobně jako hesla – pomocí správce hesel s end-to-end šifrováním, aby ke kritickým informacím nezískala přístup žádná třetí strana včetně Googlu nebo Applu.

Systém, který má pomoct všem

Nový systém vytvořila FIDO Alliance, asociace založená před deseti lety s cílem minimalizovat závislost na tradičních heslech. Loni se na podpoře jejího nového bezpečnostního standardu dohodly Apple, Google a Microsoft s tím, že budou používat stejnou verzi pro maximální kompatibilitu.

Základem standardu je takzvaná asymetrická kryptografie, kdy se používá dvojice kryptografických klíčů – jeden pro šifrování, druhý pro dešifrování, jeden veřejný a druhý privátní. Veřejný klíč je registrovaný na webu, kam se přihlašujeme, nebo v aplikaci. Ten privátní je uložen jen v zařízení a je s ním svázán. Proto ho, na rozdíl od hesla, žádným způsobem nelze ukrást nebo vyloudit například podvodným webem. Jeho vysoká složitost pak znemožňuje uhádnutí.

Jak už bylo uvedeno, nový standard pro ověřování totožnosti si klade za cíl spojit vysokou míru bezpečnosti s jednoduchostí používání. Ani složité bezpečné heslo není imunní vůči krádeži, existují totiž relativně jednoduché způsoby, jak uživatele přimět svoje hesla s podvodníkem nasdílet dobrovolně. Nejznámější z nich je phishing, při němž se vytvoří falešná kopie webu, důvěryhodně působící zpráva nebo e-mail požadující přihlášení do účtu. Pak jen stačí masově kontaktovat nedostatečně ostražité uživatele a čekat, až podvodníkovi pošlou svoje přístupové údaje k účtům na sociálních sítích nebo internetovému bankovnictví.

Nejspolehlivějším způsobem, jak se všem ze zmíněným bezpečnostním slabinám vyhnout, je používat multifaktorové ověření. Tato metoda v kombinaci s heslem je ale jednoduše nepohodlná, vyžaduje totiž potvrzení na druhém zařízení nebo otevření jiné aplikace s jednorázově generovaným kódem, který je třeba zkopírovat. To může být jedním z důvodů, proč ji aktuálně používá například jen 28 procent uživatelů produktů Microsoftu.

V některých případech se navíc jako druhý faktor stále používají SMS s kódem, které lze napadnout. A nakonec nelze opomíjet případy ztráty či zničení druhého zařízení či zařízení s ověřovací aplikací, čímž se přihlášení zásadně komplikuje.

Přístupový klíč také obsahuje multifaktorové ověření, jelikož vyžaduje biometrický údaj či kód a zároveň samotné fyzické zařízení, kde je uložen. Odpadají ale všechny ostatní z výše popsaných nevýhod. S výjimkou prvního přihlášení není potřeba dodatečné zařízení, pro celý proces stačí jen otisk prstu či sken tváře, nikdy se nepoužívají SMS a ztráta zařízení nepředstavuje problém. Pokud máme s naším účtem spojené i další, přístupový klíč se tam automaticky uloží v rámci (opět šifrované) synchronizace přes cloud. Extrémní případy ztráty přístupu popisuje třeba web Applu.

Nová metoda samozřejmě není stoprocentně bezpečná. Pokud útočník získá fyzický přístup k zařízení a zároveň má biometrické údaje uživatele či zná jeho odemykací kód, může se přihlašovat pomocí přístupových klíčů. Tento scénář je ovšem uplatnitelný pouze v konkrétních případech a zcela eliminuje hrozbu masových phishingových útoků nebo úniků dat, zdaleka nejčastějších typů narušení bezpečnosti online.

Největší překážkou je momentálně fakt, že přístupový klíč je technologicky komplikovanější než jednoduché heslo a operační systém, prohlížeč nebo web ho musí podporovat, aby fungoval. To je nicméně výhradně otázka dostupnosti, která se zvyšuje i právě s přírůstkem zásadního hráče jako Google. Seznam podporovaných webů průběžně aktualizuje například 1Password a postupně přibývají také aplikace, které umožňují přihlásit se bez hesla.