Objavljeno: 25.3.2025 | Avtor: Boris Šavc | Monitor April 2025

Pro et contra – prijavna gesla ali prijavni ključi?

Pro et contra – prijavna gesla ali prijavni ključi?

Že nekaj let berem o tem, da so prijavna gesla ne varna (in celo nevarna) in da jih bodo prej ali slej zamenjali prijavni ključi (Passkeys). Pa jih bodo res?

Enostavno in varno

Boris Šavc

Passkeys prijavo v spletne strani in aplikacije omogočajo na enak način, kot odklepamo svojo napravo. Tako se vanje namesto z uporabniškimi imeni in gesli prijavljamo s številčno kodo, s prepoznavo obraza ali prstnim odtisom.

Prva očitna prednost tovrstnega preverjanja pristnosti je udobje. Dostopni ključi poenostavijo postopek ustvarjanja in upravljanja računov, saj ni več potrebe po zapletenih geslih ali upraviteljih gesel, prav tako se izognemo zahtevam po geslih z določenimi dolžinami, velikimi črkami, s številkami in posebnimi znaki, ki za mnoge uporabnike (pre)večkrat predstavljajo pravi izziv.

Dostopni ključi močno zmanjšajo tveganje napadov z ribarjenjem, pri katerih goljufi uporabnike zvabijo k razkritju gesel, saj je z uporabo dostopnega ključa prijava mogoča le na pravi spletni strani ali aplikaciji, medtem ko na lažnih, podtaknjenih prijavnih mestih ne bo delovala. Prijavni ključi tako odpravljajo človeške napake, kot je vnos poverilnic na zlonamernih spletnih mestih, kar je v primerjavi s tradicionalnimi gesli velika prednost. Vsak dostopni ključ je edinstven in ga je izredno težko ukrasti, zato je bistveno varnejši od klasičnih gesel.

Pogosti težavi pri geslih sta njihova šibkost in ponovna uporaba na različnih straneh, kar omogoča napade, kot je Credential Stuffing – zloraba ukradenih poverilnic na več spletnih mestih. Dostopni ključi takšna tveganja odpravljajo in račune bolje ščitijo. Hkrati izboljšujejo varnost, saj ne temeljijo na deljenih podatkih, ki bi jih lahko nepridipravi prestregli. Pri uporabi dostopnih ključev podatki ostanejo varni, tudi če ponudnik storitev doživi vdor. V primeru takšnega vdora bi se zlikovci dokopali zgolj do javnega dela dostopnih ključev, medtem ko bi zasebni ostali varni, na lokalnih napravah uporabnikov.

Dostopni ključi samodejno delujejo kot dvostopenjsko preverjanje pristnosti (2FA), saj združujejo nekaj, kar imamo (napravo), z nečim, kar poznamo ali posedujemo (npr. PIN, prstni odtis ali obraz). Taka dvoplastna zaščita nudi večjo varnost kot običajna gesla.

Čeprav se zdi, da je Passkeys težje deliti z drugimi, to ni res. Apple omogoča deljenje ključev z ljudmi v fizični bližini s storitvijo AirDrop, medtem ko Google dostop do računa na prijateljevem telefonu ali skupnem računalniku omogoča z enkratno prijavo s QR-kodo.

Za konec omenimo še prednost za privržence posameznega ekosistema. Če si lastimo zgolj naprave ene znamke oziroma porekla ter uporabljamo Apple iCloud Keychain, Google ali Microsoft Windows Hello, se naši dostopni ključi samodejno varnostno kopirajo znotraj izbranega ekosistema. To omogoča njihovo enostavno in brezhibno uporabo na različnih napravah v naši lasti.

  

Strah me je!

Matej Šmid

Res je, gesel je vedno več, zahtevana so povsod in zahtevana so vedno bolj zahtevna. Pa še ponavljati se ne smejo, ker je to nevarno. Možnost, da bi vso to množico gesel zadržali le v naših možganih (saj je zapisovanje kamorkoli seveda spet nevarno), je praktično nična. Potrebujemo torej vsaj shranjevalnik gesel, pa še dodatne dvofaktorske potrditve vsakega izmed njih. Po možnosti ne prek SMS, ampak prek namenske aplikacije, kot je Google Authenticator. Meni je to dovolj, za shranjevalnik gesel pa uporabljam kar – Googlov brskalnik Chrome. To še nekako zmorem.

In vendar me poskušajo prepričati, da to ni dovolj varno, da potrebujem še nekaj bolj varnega, nekaj še bolj zapletenega, nekakšne prijavne ključe. Google ima nekaj takega, Apple ima nekaj takega, v zadnjem času s tem najeda še Microsoft. Ne vem, strah me je. Z gesli se nekako znam spoprijeti, s temi ključi pa nisem domač. Nekaj, kar je treba (na vsaki spletni strani/storitvi) posebej vklopiti in nastaviti, nekaj kar ni videti vedno in povsod enako, nekaj, česar večina spletnih strani tako in tako ne podpira. Predvsem pa nekaj, kar je, kot razumem, zelo odvisno od nečesa »kar imam«, kot piše Boris na levi strani. Dokler to res »imam«, ni nobene težave, ta se bo pojavila, ko bom razbil telefon. Ali mi ga bodo ukradli. Ali mu bo v ključnem trenutku zmanjkalo baterije. Ali pa bo vsa huda infrastruktura v oblačnem ozadju nehala delovati ravno takrat, ko se bom poskušal prijaviti v elektronsko pošto.

Rekli boste, da ima vsak tak novodobni prijavni sistem zagotovo tudi rezervne rešitve, ki delujejo tudi, ko novotarija na zgoraj opisane načine odpove! Zagotovo, takrat bom pač vpisal uporabniško ime in geslo. Kar bi lahko naredil že na samem začetku in se mi z nekakšnimi ključi sploh ne bi bilo treba ukvarjati.

Sploh pa sem tukaj jaz, ki sem z računalniki vendarle nekoliko domač, še najmanjši problem. Ne predstavljam pa si, kako se bodo s temi novostmi (ki, še enkrat poudarjam, delujejo povsem različno ali pa jih sploh še ni) spoprijeli uporabniki, ki imajo težave že z običajnimi gesli. V ušesih mi že odzvanjajo besede zgroženosti mojega direktorja, ki se skozi digitalni svet poskuša prebijati s črno beležko, v kateri je na desetinah strani napisanih stotine najrazličnejših (večinoma ne več delujočih) gesel. Zgroženost bo usmerjena proti »tem računalničarjem«, ki si »vedno znova nekaj izmišljujejo« samo zato, da »grenijo življenje« poštenim državljanom.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • Android vam bo povedal, ali vam policija prisluškuje

    Čedalje popularnejši način prisluškovanja in prestrezanja podatkov z mobilnih telefonov je uporaba lažnih baznih postaj (IMSI catcher), ki jih imajo organi pregona v nekaterih državah, lahko pa tudi drugi akterji. Na takšno napravo se povežejo vsi telefoni v okolici, saj njen signal preglasi legitimne bazne postaje, upravljavec pa potem zlahka prestreza komunikacijo. Uporabnik tega početja praktično ne more zaznati.

    Objavljeno: 1.7.2025 07:00
  • Tisoče severnokorejskih uslužbencev prikrito na daljavo delalo v ameriških podjetjih

    Ameriško pravosodno ministrstvo je vložilo obtožnice zoper devet ljudi, ki so skrbeli za prikrito zaposlovanje računalnikarjev iz Severne Koreje za delo na daljavo v ameriških podjetjih. En Američan, šest Kitajcev in dva Tajvanca so obtoženi prevare, pranja denarja, kraje identitete, nepooblaščenega dostopa v računalniški sistem in kršenja mednarodnih sankcij.

    Objavljeno: 2.7.2025 07:00
  • Podjetja nočejo Copilota, ker zaposleni raje uporabljajo ChatGPT

    Microsoft kljub velikim naporom (beri: finančnemu vložku) podjetjem težko proda storitve umetne inteligence Copilot.

    Objavljeno: 27.6.2025 09:00
  • Naprava, ki z laserji uničuje komarje

    Čeprav še nimamo letečih avtomobilov ali robotov strežnikov, lahko zdaj naročimo nekaj, o čemer smo od nekdaj sanjali - lasersko napravo, ki zazna in ubije komarja v nekaj milisekundah.

    Objavljeno: 3.7.2025 11:00
  • Kitajski prenosniki so dve leti za zahodnimi

    Čeprav se Kitajci močno trudijo in izdatno investirajo v domači razvoj in proizvodnjo čipov, so še vedno vsaj dve generaciji za zahodnimi izdelki. To izkazuje tudi najnovejši Huaweijev prenosnik MateBook Fold Ultimate, ki poganja lastni HarmonyOS in ima same kitajske komponente. A te v primerjavi z zahodnimi zaostajajo.

    Objavljeno: 25.6.2025 07:00
  • Pametna očala s samodejnim ostrenjem bi lahko nadomestila bifokalna stekla

    Finsko podjetje IXI razvija inovativna očala z lečami, ki se samodejno ostrijo glede na pogled uporabnika. 

    Objavljeno: 23.6.2025 10:00 | Teme: pametna očala
 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji