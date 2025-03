Že nekaj let berem o tem, da so prijavna gesla ne varna (in celo nevarna) in da jih bodo prej ali slej zamenjali prijavni ključi (Passkeys). Pa jih bodo res?

Enostavno in varno

Boris Šavc

Passkeys prijavo v spletne strani in aplikacije omogočajo na enak način, kot odklepamo svojo napravo. Tako se vanje namesto z uporabniškimi imeni in gesli prijavljamo s številčno kodo, s prepoznavo obraza ali prstnim odtisom.

Prva očitna prednost tovrstnega preverjanja pristnosti je udobje. Dostopni ključi poenostavijo postopek ustvarjanja in upravljanja računov, saj ni več potrebe po zapletenih geslih ali upraviteljih gesel, prav tako se izognemo zahtevam po geslih z določenimi dolžinami, velikimi črkami, s številkami in posebnimi znaki, ki za mnoge uporabnike (pre)večkrat predstavljajo pravi izziv.

Dostopni ključi močno zmanjšajo tveganje napadov z ribarjenjem, pri katerih goljufi uporabnike zvabijo k razkritju gesel, saj je z uporabo dostopnega ključa prijava mogoča le na pravi spletni strani ali aplikaciji, medtem ko na lažnih, podtaknjenih prijavnih mestih ne bo delovala. Prijavni ključi tako odpravljajo človeške napake, kot je vnos poverilnic na zlonamernih spletnih mestih, kar je v primerjavi s tradicionalnimi gesli velika prednost. Vsak dostopni ključ je edinstven in ga je izredno težko ukrasti, zato je bistveno varnejši od klasičnih gesel.

Pogosti težavi pri geslih sta njihova šibkost in ponovna uporaba na različnih straneh, kar omogoča napade, kot je Credential Stuffing – zloraba ukradenih poverilnic na več spletnih mestih. Dostopni ključi takšna tveganja odpravljajo in račune bolje ščitijo. Hkrati izboljšujejo varnost, saj ne temeljijo na deljenih podatkih, ki bi jih lahko nepridipravi prestregli. Pri uporabi dostopnih ključev podatki ostanejo varni, tudi če ponudnik storitev doživi vdor. V primeru takšnega vdora bi se zlikovci dokopali zgolj do javnega dela dostopnih ključev, medtem ko bi zasebni ostali varni, na lokalnih napravah uporabnikov.

Dostopni ključi samodejno delujejo kot dvostopenjsko preverjanje pristnosti (2FA), saj združujejo nekaj, kar imamo (napravo), z nečim, kar poznamo ali posedujemo (npr. PIN, prstni odtis ali obraz). Taka dvoplastna zaščita nudi večjo varnost kot običajna gesla.

Čeprav se zdi, da je Passkeys težje deliti z drugimi, to ni res. Apple omogoča deljenje ključev z ljudmi v fizični bližini s storitvijo AirDrop, medtem ko Google dostop do računa na prijateljevem telefonu ali skupnem računalniku omogoča z enkratno prijavo s QR-kodo.

Za konec omenimo še prednost za privržence posameznega ekosistema. Če si lastimo zgolj naprave ene znamke oziroma porekla ter uporabljamo Apple iCloud Keychain, Google ali Microsoft Windows Hello, se naši dostopni ključi samodejno varnostno kopirajo znotraj izbranega ekosistema. To omogoča njihovo enostavno in brezhibno uporabo na različnih napravah v naši lasti.

Strah me je!

Matej Šmid

Res je, gesel je vedno več, zahtevana so povsod in zahtevana so vedno bolj zahtevna. Pa še ponavljati se ne smejo, ker je to nevarno. Možnost, da bi vso to množico gesel zadržali le v naših možganih (saj je zapisovanje kamorkoli seveda spet nevarno), je praktično nična. Potrebujemo torej vsaj shranjevalnik gesel, pa še dodatne dvofaktorske potrditve vsakega izmed njih. Po možnosti ne prek SMS, ampak prek namenske aplikacije, kot je Google Authenticator. Meni je to dovolj, za shranjevalnik gesel pa uporabljam kar – Googlov brskalnik Chrome. To še nekako zmorem.

In vendar me poskušajo prepričati, da to ni dovolj varno, da potrebujem še nekaj bolj varnega, nekaj še bolj zapletenega, nekakšne prijavne ključe. Google ima nekaj takega, Apple ima nekaj takega, v zadnjem času s tem najeda še Microsoft. Ne vem, strah me je. Z gesli se nekako znam spoprijeti, s temi ključi pa nisem domač. Nekaj, kar je treba (na vsaki spletni strani/storitvi) posebej vklopiti in nastaviti, nekaj kar ni videti vedno in povsod enako, nekaj, česar večina spletnih strani tako in tako ne podpira. Predvsem pa nekaj, kar je, kot razumem, zelo odvisno od nečesa »kar imam«, kot piše Boris na levi strani. Dokler to res »imam«, ni nobene težave, ta se bo pojavila, ko bom razbil telefon. Ali mi ga bodo ukradli. Ali mu bo v ključnem trenutku zmanjkalo baterije. Ali pa bo vsa huda infrastruktura v oblačnem ozadju nehala delovati ravno takrat, ko se bom poskušal prijaviti v elektronsko pošto.

Rekli boste, da ima vsak tak novodobni prijavni sistem zagotovo tudi rezervne rešitve, ki delujejo tudi, ko novotarija na zgoraj opisane načine odpove! Zagotovo, takrat bom pač vpisal uporabniško ime in geslo. Kar bi lahko naredil že na samem začetku in se mi z nekakšnimi ključi sploh ne bi bilo treba ukvarjati.

Sploh pa sem tukaj jaz, ki sem z računalniki vendarle nekoliko domač, še najmanjši problem. Ne predstavljam pa si, kako se bodo s temi novostmi (ki, še enkrat poudarjam, delujejo povsem različno ali pa jih sploh še ni) spoprijeli uporabniki, ki imajo težave že z običajnimi gesli. V ušesih mi že odzvanjajo besede zgroženosti mojega direktorja, ki se skozi digitalni svet poskuša prebijati s črno beležko, v kateri je na desetinah strani napisanih stotine najrazličnejših (večinoma ne več delujočih) gesel. Zgroženost bo usmerjena proti »tem računalničarjem«, ki si »vedno znova nekaj izmišljujejo« samo zato, da »grenijo življenje« poštenim državljanom.