Google | Bezpečnost

Google místo hesel zavádí přístupové klíče. Přihlásíte se otiskem, skenem obličeje nebo PINem

  • Google nahrazuje hesla přístupovým klíčem
  • Namísto hesel se použije asymetrická kryptografie
  • Třeba váš mobil, Windows Hello nebo externí klíč

Pokud máte účet Google, možná vám už do schránky dorazil e-mail se zprávou o novém typu přihlašování bez potřeby zadávání hesla pomocí technologie passkey – přístupového klíče.

Technologie vychází z webového standardu WebAuthn, staví na protokolech FIDO2 a o technickém pozadí jsme psali už loni v prosinci.

Takže jen ve vší stručnosti: Pokud máte třeba laptop s Windows 10/11, k přihlášení ke službám Googlu v prohlížečích Chrome a Edge budete moci napříště namísto hesel použít systémový PIN, otisk prstu, sken obličeje atp.

Jelikož technologie vychází z webového standardu WebAuthn, časem se snad rodina podporovaných webů rozšíří a stejný postup bude fungovat napříč internetem.

Funguje to na Androidu, Windows, macOS a iOS

Uf, ale dost technické omáčky. Pojďme si raději ukázat, jak to funguje v praxi. Nejprve jsem na svém účtu Google aktivoval funkci přeskakování hesla.

8557de75-018e-4b44-ae92-63b008b774f3
Aktivuji funkci přeskakování hesel pomocí přístupových klíčů

Jak už jsme si řekli výše, Google heslo při přihlašování nahradí pomocí běžné asymetrické kryptografie s přístupovým klíčem, který si vytvoří na cílovém zařízení.

Klíč je tedy analogií samotného ověřeného zařízení: vašeho telefonu, počítače atp. Není to žádný další kód, který budete muset někam vyplňovat. To vše provede na pozadí samotná technologie právě na principu asymetrické kryptografie s privátním a veřejným klíčem.

6690de63-cffc-427a-9577-2df7a5bb6e93
Seznam přístupových klíčů, respektive autorizovaných zařízení

Seznam svých přístupových klíčů/zařízení najdete na této adrese

Na zařízeních s Androidem by se měly klíče vytvořit automaticky, takže telefon pak bude hrát funkci primární ověřovací autority, kterou použijete k vytvoření klíčů na dalších zařízeních, anebo k přihlášení na platformách, kde zatím klíče nemáte, nebo nepodporují funkci vytvoření klíče (Linux).

Podporované platformy

Přístupový klíč lze vytvořit na těchto platformách:

  • Android 9 a vyšší
  • iOS 16 a vyšší
  • Windows 10 a vyšší
  • macOS Ventura a vyšší
  • ChromeOS 109 a vyšší
  • Hardwarový klíč s podporou protokolu FIDO2

Podmínkou je také funkce zamknuté obrazovky a Bluetooth. Na ostatních platformách (Linux) můžete k přihlášení použít právě některý z klíčů na těchto zařízeních. Typicky mobil.

Přihlašování skrze přístupový klíč funguje v těchto webových prohlížečích:

  • Chrome 109 a vyšší
  • Edge 109 a vyšší
  • Safari 16 a vyšší

Zkusím se přihlásit bez hesla

Fajn, vše je povoleno, takže jdeme na to. V prohlížeči Chrome na svém laptopu s Windows 11 se odhlásím od služeb Googlu a poté se znovu pokusím přihlásit.

1ce60ce3-8845-44ee-8012-bf53ff15baa3
Pokouším se v Chromu na Windows 11 přihlásit ke službám Googlu. Namísto dialogu pro zadání hesla na mě vyskočí nové okénko 

Chrome si mě pamatuje, takže nemusím znovu vyplňovat e-mailovou adresu, ihned poté ale vyskočí nový dialog.

Původně bych musel vyplnit heslo a poté ověřit přihlášení ještě pomocí druhého faktoru (třeba potvrzením v mobilu), jelikož jsem ale aktivoval funkci přístupového klíče, Chrome mě nově žádá o potvrzení identity právě pomocí tohoto způsobu. Stejně jako dříve ale mohou použít i další cesty.

Pro ověření se použije autorita v mobilu

Přímo na mém počítači s Windows zatím přístupový klíč chybí, takže zvolím některý z již existujících. Volba padne na můj hlavní mobilní telefon Pixel 6.

d2db52fc-299d-411a-b322-1d48befb1e38
Na počítači zatím není vytvořený přístupový klíč, a tak použiji nějaký externí – svůj Pixel 6
0acaaf9a-3634-45b5-be01-c20285c3ab77
Google odeslal do telefonu k výzvu k ověření

Na telefonu vyskočí žádost o přihlášení. K ověření, že má osoba fyzický přístup jak k telefonu, tak k počítači, se v tomto případě použije Bluetooth lokalizace s krátkým dosahem. Díky tomu nehrozí, že by se o něco podobného pokoušel třeba nějaký hacker z Ruska a Číny.

ae149d49-7c7d-4ff8-8f0c-39ea90412b5d5376ed96-7ce0-45d8-a9e3-15f237e825d09475e1b8-4fc2-48ee-be67-574d3585ab13
Ověření na straně Pixel 6

Tím celé kolečko končí a já jsem v Chromu přihlášený, aniž bych zadal heslo ke svému účtu Google.

ad977292-fd5e-4b70-8539-d9d6579be1cd
Jsem přihlášený

Vytvořím přístupový klíč přímo na Windows 11

Jelikož sedím u počítače, který nové přihlašování podporuje, v dialogu výše klepnu na tlačítko pro vytvoření klíče přímo v počítači. Stačí se jen autorizovat pomocí systémového dialogu, který se bude lišit platforma od platformy.

ce014392-d9e2-4053-b8fe-8df1a23fb224
K vytvoření klíče na Windows 11 potřebuji ověřit identitu pomocí systémového dialogu

A to je celé. Můj počítač už má nyní také přístupový klíč, takže napříště se obejdu bez telefonu.

12d797f9-b0c2-4948-95b9-2582a22462fb
Přístupový klíč na Windows 11 vytvořen!

Že vše proběhlo v pořádku, si mohu opět ověřit v seznamu mých přístupových klíčů – tedy ověřených zařízení. Nově tam vedle mých mobilů svítí také pracovní laptop a metoda zajištění skrze vrstvu Windows Hello. 

11d9e1c6-cd01-467f-af64-c7027f56aa35
V seznamu přístupových klíčů už svítí i počítač s Windows 

Další přihlášení už bez potřeby telefonu, ale (třeba) skrze Windows Hello

Když se nyní opět odhlásím od svého účtu Googlu a znovu se zkusím přihlásit, celé kolečko se bude opakovat, ovšem s tím rozdílem, že do hry se už nemusí zapojit můj telefon.

a26a1982-0ae4-486b-b91b-28f864812c8a
První krok je stejný. Vyskočí na mě dialog pro ověření identity přístupovým klíčem

Jelikož je v mém počítači bezpečně uložený přístupový klíč, ověřím identitu přímo na laptopu pomocí běžného systémového rozhraní. Třeba pomocí PINu, otisku prstu nebo třeba skenu obličeje aj. Tímto způsobem odemknu přístup k samotnému klíči.

b1348c12-83f7-4202-8b86-21be524b5db5
Na Windows 11 už mám klíč, a tak ověřím identitu třeba skenem obličeje, protože mám laptop s Windows Hello

Technologie není exkluzivní pro Google – ten jen postavil aplikaci nad standardem WebAuthn –, další weby tak budou postupně přibývat a klasická alfanumerická hesla (přinejhorším) do roku 2099 snad konečně zmizí z povrchu zemského.

4d7e7a22-2605-4936-8f62-12bf170e1e84
A jsem přihlášený
Diskuze (27) Další článek: Turecko poprvé představilo prototyp těžkého bitevního vrtulníku TAI T929 ATAK 2

Témata článku: , , , , , , , , , , , , , , , , , , , , , , ,