Nejnovější stabilní verze Chromu 108 už podporuje technologii passkeys, která by měla časem konečně nahradit klasická hesla. Slovíčko konečně je přitom na místě, tentokrát to totiž není záležitost jednoho (byť majoritního) hráče na trhu, ale implementace webového standardu WebAuthn.
Na něm vedle Googlu už nějaký pátek spolupracují také Apple, Microsoft, W3C a aliance FIDO, no a cílem je náhrada běžných hesel asymetrickou kryptografií na bázi privátního a veřejného klíče.
Namísto hesla klíč, který nemusíte řešit
V praxi to znamená, že pokud bude technologii podporovat webová stránka, webový prohlížeč a operační systém, namísto memorování nebo ukládání textového hesla při registraci jednoduše vyskočí systémový dialog, který po ověření (na mobilu třeba otiskem prstu) vytvoří pár klíčů.
Vždy se použije nativní technologie konkrétní platformy. Na iPhonu Touch ID, na Windows autentizační vrstva Hello a na Androidu jeho řešení.
Vytvoření passkey pro přístup k hypotetické bance v mobilním Chromu
Privátní klíč zůstane uložený v bezpečné paměti na zařízení, no a druhá strana dostane veřejný klíč.
Veřejný klíč je sám o sobě k ničemu, takže když bude uložený kdesi v databázi na serveru a nějaký hacker jej ukradne, pro koncového uživatele to nebude znamenat žádnou velkou tragédii –vygeneruje nový pár. Nehledě na to, že odpadne problém s používáním stejného hesla napříč weby. Pár klíčů totiž bude pro každý z webů pochopitelně unikátní.
Jedním z prvních webů, které podporují passkey, je třeba eBay
Asymetrickou kryptografii používáme už dnes
Asymetrickou kryptografii používáme už dnes třeba pro šifrování HTTPS, ověřování certifikátů a zvláště v mnoha proprietárních technologiích bank, nicméně doposud chybělo nějaké standardizované řešení právě pro web.
Chybí podpora Windows 10
Passkeys v podání Googlu ovšem teprve začínají a jsou momentálně dostupné jen pro Android, iOS/iPadOS, macOS a Windows... Windows 11. Na seznamu chybí Windows 10. Na vině je nejspíše absence dostatečně zabezpečeného secure elementu pro ukládání privátních klíčů. Na Linux pak rovnou zapomeňte.
Podpora Chrome passkey na platformách
V případě nativně nepodporovaných platforem lze passkeys použít jen externě – skrze mobil, tablet aj. Přihlašovací dialog v desktopovém Chromu vás jednoduše požádá, abyste provedli akci na telefonu. Třeba oskenovali QR kód jako na obrázku níže.
Passkey podporuje přihlašování skrze mobil třeba pomocí QR, což je klíčové pro nepodporované platformy (Linux, Windows 10 a starší apod.)
Ve vývoji je pak i synchronizace a zálohování klíčů v cloudu, abyste mohli konkrétní passkey použít z vícero zařízení. Samozřejmostí bude end-to-end šifrování další asymetrickou šifrou, takže passkey nerozlouskne ani Google či jiná autorita, pokud bude uložený v jeho cloudovém manažeru hesel.
Teď je řada na webech
Zůstává otázkou, jestli se passkey rozšíří, jelikož ale staví na zmíněném standardu WebAuthn, bylo by trestuhodné, kdyby se tak nestalo. Ostatně, i podle Googlu se časem do hry jistě zapojí současní správci hesel třetích stran a namísto principiálně přežitých textových hesel se vám budou stejně jako dnes starat o synchronizaci passkeyů.
Passkey, eBay a integrace systémového dialogu ve Windows 11 (Windows Hello)
Bezheslová autentizace samozřejmě není žádnou novinkou a píšeme o ní už roky, vždy se ale jednalo o řešení konkrétního ekosystému. WebAuthn a passkeys jsou nadějí, že by to snad konečně mohlo začít fungovat napříč platformami a weby a z memorování jakýchsi nesmyslných alfanumerických kombinací se stane stejná minulost jako třeba z 3,5“ disket.
Těšíme se na první weby a mobilní aplikace, které passkey zavedou do praxe.