Apple Passkeys: Proč z toho budou mít prospěch všichni na internetu

Kolik času trávíte zapamatováním svých hesel? Vytváříte nové bezpečnostní klíče každý rok a věnujete pozornost bezpečnostní síle založené na posloupnosti znaků a čísel? Pravděpodobně ne, protože bezpečnostní společnosti nacházejí ve svých databázích každoročně až příliš často nezabezpečená hesla. Většina hesel je příliš jednoduchá, nikdy se nemění a lze je prolomit během několika minut.

Proto je chvályhodné, že Apple oznámil novou metodu ověřování známou jako Passkeys, která nahrazuje hesla. Na webu je nová metoda silně propojena s ekosystémem Apple, což je škoda. Je to proto, že s Passkeys Apple pouze představil svůj vlastní způsob, jak nakládat s novými přihlašovacími údaji WebAuthn.

Proč se „Passkey“ netýkají pouze uživatelů Applu

Čtete správně. „Passkey“ nejsou vynálezem výhradně společnosti Apple, i když to tak zaznělo na WWDC 2022. Jde o interní značku Applu pro nový typ přihlašovacích údajů, který vyvinula Aliance FIDO. Apple není součástí aliance, ale podle nich spolupracoval mimo jiné s Googlem a Androidem a pro své Passkeys se řídí standardy FIDO. Dříve nebo později budou mít z používání přístupových klíčů prospěch téměř všichni uživatelé internetu.

Základní myšlenkou je implementovat přihlášení pomocí bezpečnostních klíčů spíše než hesel. Z pohledu uživatele jsou pak přihlášení zabezpečena pomocí biometrických metod, které umožňují porovnat bezpečnostní klíče se serverem. Pokud již k odemykání své klíčenky na iCloudu používáte Face ID a Touch ID, znamená to, že pokud jde o přístup k vašim účtům, změní se jen velmi málo.

I když je dnešní přihlašování na iOS už asi tak pohodlné jako pozdější období, kdy se Passkeys stávají mainstreamem, je tu jedna velká nevýhoda. V současné době povolíte klíčence iCloud pouze zkopírovat vaše heslo na přihlašovací obrazovku. Odtud je pak přenášen k operátorovi serveru. Stále existuje riziko, že vaše hesla mohou být získána prostřednictvím útoků typu man-in-the-middle (MITM) nebo jinak.

Dokonce i phishing, tj. podvod s hesly předstíráním, že jste velmi důležitou záchrannou službou, nebo jinou taktikou sociálního inženýrství, je touto metodou stále možný. V současné době můžete snadno zkopírovat hesla ze své klíčenky a vložit je do jakékoli pošty, pokud jste naletěli podvodu.

To je důvod, proč je používání Passkeys a Apple tak bezpečné

Svým způsobem vás tedy používání Passkeys dokonce chrání před pověstným nebezpečím pouhého sezení před displejem. V jeho úplné spodní části je založen na dvou bezpečnostních klíčích – veřejném a soukromém. Veřejný klíč je po nastavení umístěn na serveru, zatímco soukromý klíč vždy zůstává na zařízení používaném pro přihlášení. Trik spočívá v použitém matematickém vzorci, na kterém je metoda založena.

Jak napsal Popular Science, bylo to navrženo tak, aby se soukromý klíč nemusel přenášet na server během pokusů o přihlášení. To udržuje váš přístupový klíč v bezpečí i v případě útoků MITM nebo úspěšných hacků na podnikových serverech. Přístupové klíče jsou založeny na standardu WebAuthentification (WebAuthn), který se již nějakou dobu používá pro přihlašování na webu bez hesla.

Takže pokud je toto vše již k dispozici, je otázkou, proč se všichni chovají, jako by Apple znovu vynalezl heslo?

Proč se všichni chovají, jako by Apple znovu vynalezl heslo?

Hej, dobrá otázka! Za co můžete Applu skutečně ocenit: Jsou první, kdo používá přístupové klíče napříč zařízeními. Zároveň nabízejí rozhraní pro programování aplikací neboli API pro své přístupové klíče. Aby bylo možné přihlášení pomocí Passkeys, musí webové stránky a služby samozřejmě nejprve vytvořit předpoklady. Vzhledem k tomu, že Apple nabízí své nové operační systémy iOS 16, watchOS 9, iPadOS 16 a macOS 13 jako vývojářské beta verze půl roku před uvedením na trh, lze již očekávat dostupnost při uvedení na trh napříč mnoha aplikacemi a zařízeními. V každém případě Apple již představil své vlastní přihlašovací údaje WebAuthn pro WWDC 2021.

Přístupové klíče jsou také pevně spojeny s klíčenkou iCloud. K tomu máte přístup z jakéhokoli zařízení Apple, na kterém jste se zaregistrovali pomocí svého Apple ID. Vzhledem k tomu, že Apple používá pro svou klíčenku end-to-end šifrování a nezná bezpečnostní klíče, stránka podpory tvrdí, že je to bezpečné místo pro přístupové klíče.

Systém je také chráněn pomocí dvoufaktorové autentizace. Pokud si tedy chcete zaregistrovat nový přístupový klíč, budete muset tento proces ještě jednou potvrdit na zařízení Apple nebo prostřednictvím webového prohlížeče zadáním šestimístného kódu.

Apple (znovu) nevynalezl přihlašování bez hesla, ale jednoduše je implementoval chytrým a bezpečným způsobem. Zařízení Apple jsou navíc tak široce používána, že pokrok Cupertina bude dobrým podnětem pro služby a webové stránky, aby konečně upgradovaly na WebAuthn.

Znemožní Passkeys přechod na Android a Windows?

Přesun Applu směrem k Passkeys mě však během živého přenosu stále trochu znepokojoval. Silně se zdálo, že Apple znovu podepře svou „zahradu obehnanou zdí“ methylenem. Neznemožňuje zavedení přístupových klíčů téměř nemožné používat jiná zařízení než Apple nebo jinak uniknout z jablečného kosmu?

I když zatím není zcela jasné, jak uzavřená bude integrace Passkeys společnosti Apple, a proti mému strachu existují tři argumenty.

1: Během vývojářské konference Apple stručně ukázal, jak bude umožněno přihlašování na zařízeních jiných než Apple. Na displeji notebooku s Windows je vidět QR kód, kde je nutné jej naskenovat pomocí zařízení Apple pro přihlášení. Přihlásit se tedy bude možné i na Windows a Android, ale musíte mít svůj iPhone resp. iPad s sebou.

2: Ke své klíčence iCloud již máte přístup ve Windows. Jediné, co musíte udělat, je nainstalujte aplikaci iCloud a na vašem PC uvidíte odpovídající program. Odemykání funguje přes vlastní autentizační službu Windows známou jako Windows Hello, a tedy i přes biometrickou metodu přihlašování. Pochybuji však, že je tento systém dostatečně bezpečný pro přístupové klíče společnosti Apple. Je to proto, že systém Windows spoléhá na záložní kód PIN, který se v nejhorším případě skládá pouze ze čtyř číslic.

3:: Standardní WebAuthn není, jak již bylo řečeno, vlastní Applu a v budoucnu bude jistě nativně použitelný s Androidem, Windows a dalšími operačními systémy. To znamená, že můžete přiřadit nové bezpečnostní klíče pro přihlášení, abyste získali přístup k webovým stránkám. I když se liší od synchronizovaných klíčů Apple, nehraje to žádný rozdíl pro manipulaci po nastavení. Ostatně stejně se přihlašujete pouze snímačem otisků prstů nebo rozpoznáváním obličeje.

Závěr: Přístupové klíče jsou revoluční, jen ne od Applu.

Pojďme si vývoj ještě jednou shrnout. Bez ohledu na Apple bude WebAuthn přihlašování na webu bezpečnější. Po příliš dlouhé době již naše data nezávisí na tom, kolik času nebo výkonu mozku investujeme do udržování našich hesel. Standard navíc přináší spolehlivou ochranu proti phishingu, hackingu a dokonce i typu společností, ke kterým se rozhodneme přihlásit.

Apple v tomto ohledu dělá velký krok a stává se první společností, která službu zavádí napříč zařízeními. Společnost zároveň využívá svůj uzavřený ekosystém k tomu, aby přihlašování pomocí Passkeys bylo bezpečné a pohodlné.

Geniálním tahem je také rozhodnutí Applu představit Passkeys jako důležité téma během své vývojářské konference, aniž by použil své vlastní jméno. Apple svým způsobem sklízí vavříny, které Aliance FIDO ve spolupráci zasela a vyrostla.

Ostatně, pokud Android nebo Windows v brzké době oznámí podporu Passkeys, veřejnost si to zcela jistě spojí s Applem jako původcem.

Touché, Apple. Touché!

Prameny:

• Apple odhalil přístupové klíče na WWDC 2022
• WebAuthn na Wikipedii
• Kabelové
• FidoAlliance
• Podpora Apple (1)
• Podpora Apple (2)
• Populární věda