Microsoft dlouhodobě prosazuje bezheslové přihlašování. V uplynulých letech představil Windows Hello a mobilní aplikaci Authenticator, kde jednoduše schvalujete žádosti o přihlášení.
Jedním z dalších způsobů, jak se přihlašovat bez hesla, je relativní novinka v podobě passkeys, v češtině je označujeme jako přístupové klíče. Nově je můžete používat v osobních účtech Microsoft. Firma to oznámila začátkem května.
Od září 2021 v účtu Microsoft už klasické heslo mít vůbec nemusíte. Firma detekuje více než čtyři tisíce útoků na hesla za sekundu. Během posledního desetiletí počet útoků vyrostl o 3 378%.
Jak vytvořit a používat přístupové klíče
Nový přístupový klíč pro osobní účet Microsoft vytvoříte v nastavení zabezpečení online účtu (přímo do dialogu vede zkrácený odkaz aka.ms/addproof), kde si po přihlášení vyberete prostředek, jímž se budete příště přihlašovat. Použít můžete skenování obličeje nebo otisku prstu, zadávání PINu nebo připojení fyzického klíče zabezpečení.
Postup není složitý. V úvodu dialogu (Přidat nový způsob přihlašování nebo ověřování) vyberte Obličej, otisk prstu, kód PIN nebo bezpečnostní klíč.
Dále se rozhodněte, kam se má přístupový klíč, tedy passkey, uložit. Pro většinu lidí bude nejpohodlnější a logickou volbou smartphone. Také můžete použít Windows Hello a přihlašovat se na daném počítači prostředky této služby – třeba PINem.
Podle toho, kam klíč uložíte, bude tento klíč použitelný. Pakliže ho uložíte do Windows, můžete ho používat pouze na počítači. Naopak klíč v mobilu je univerzálnější, ale zase musíte na obrazovce počítače smartphonem naskenovat kód QR. Až se rozmyslíte, klepněte na Další.
Pokud jste vybrali smartphone, musíte jím teď načíst kód QR. Použít můžete např. domácí Lens od Googlu. V opačném případě použijte jiný ověřovací prostředek z nabídky. V případě Windows Hello v závislosti na konfiguraci počítače můžete použít PIN, otisk prstu nebo sken obličeje. Postupujte podle instrukcí na svém zařízení.
Za pár okamžité byste měli vidět zprávu, že se vše podařilo a klíč se uložil.
Nastavení účtu Microsoft vám nabídne pojmenování nového klíče, abyste ho pojmenovali pro snazší rozpoznání.
Když se přihlašujete k účtu Microsoft, můžete použít stávající přístupový klíč. V přihlašovacím dialogu vyberte Možnosti přihlášení, poté Rozpoznávání tváře, otisk prstu, PIN kód nebo bezpečnostní klíč. Případně použijte jiný klíč, např. ten v mobilu.
V současné době se můžeme pomocí passkeys přihlašovat do aplikací a služeb Microsoftu, včetně Microsoft 365 a Copilot v počítačových nebo mobilních webových prohlížečích. Mobilní aplikace z Redmondu podporu postupně nabídnou v nadcházejících týdnech.
Seznam podporovaných zařízení aktuálně vypadá následovně:
- Windows 10 a novější,
- macOS 13 a novější,
- ChromeOS 109 a novější,
- iOS 16 a novější,
- Android 9 a novější,
- hardwarové klíče podporující FIDO2.
Přístupové klíče musí podporovat i webové prohlížeče. Microsoft uvádí pár příkladů, ačkoli v praxi je seznam širší:
- Edge 109 a novější,
- Safari 16 a novější,
- Chrome 109 a novější.
Například ve Firefoxu fungují passkeys také. V tomto považujeme za užitečný aktuální seznam podporovaných platforem na oficiálním webu iniciativy: www.passkeys.io/compatible-devices.
Silná ochrana proti phishingu
Přístupové klíče fungují jinak než tradiční hesla. Místo jednoho – a potenciálně zranitelnějšího – přístupového údaje používají passkeys při přístupu k webovým stránkám a aplikacím dva jedinečné klíče, známé jako klíčový pár.
Zatímco jeden z klíčů je uložen ve vybraném zařízení a chrání ho biometrie nebo PIN, tj. není ohrožený únikem dat v cloudu. Druhý zůstává v aplikaci či webové stránce. K úspěšnému přihlášení tedy potřebujeme oba. Podobně např. potřebujeme svůj klíč od bezpečnostní schránky, současně se neobejdeme bez klíče od banky.
Kombinace dvou klíčů je vždy jedinečná, čili konkrétní přístupový klíč funguje jen s webem či aplikací, pro kterou byl vytvořen. To řeší známý problém s opakovaným používáním hesel. Navíc tento postup eliminuje přihlašování na phishingové stránky.
Přihlašování je přitom výrazně pohodlnější ve srovnání se zadáváním hesel, na která jsou kvůli bezpečnosti kladeny relativně vysoké nároky na délku a komplexitu. Přístupové klíče se díky možné synchronizaci napříč zařízeními nemusí nikde ztratit. V tomto ohledu sehrávají pozitivní roli správci hesel, kteří postupně podporu technologie zavádí. Např. v září to byl 1Password, v listopadu Enpass atd.
Google hlásí miliardu použití
Podporu passkeys postupně přidávají další služby, mj. Amazon, Shopify, PayPal, Uber nebo Kayak. Google při příležitosti Světového dne hesel připojil několik čísel týkajících. Přístupové klíče za necelý rok od uvedení použilo více než 400 milionů účtů Google, které se jimi přihlásily více než miliardkrát.
Google přístupové klíče podporuje také
Nová přihlašovací metodu Google zavedl v Androidu a ve Chromu v roce 2022. Začátkem května 2023 ji zpřístupnil v účtech Google. Google také uvádí, že používání přístupových klíčů zrychluje přihlašování ke službám nebo produktům až o polovinu.
Zavádění nové technologie není bezproblémové. Řada lidí je zmatená ze způsobu fungování, případně naráží na chyby.
Zdroj: The Keyword | Microsoft Security Blog