Microsoft potvrdil plány na zrušenie hesiel pre miliardu používateľov. „Éra hesiel končí,“ hovorí spoločnosť a varuje, že útočníci to vedia, čo je zároveň dôvod, prečo chce firma zmeniť svoje bezpečnostné nastavenia.
Microsoft plánuje v roku 2025 zaviesť bezpečnejšie prihlasovanie pomocou prístupových kľúčov, tzv. passkeys, a to pre všetkých svojich používateľov. Nový spôsob autentifikácie nahradí tradičné heslá špeciálnymi prístupovými kľúčmi, ktoré sú viazané na konkrétne fyzické zariadenie a nie sú prenášané mimo neho. Používatelia sa tak budú musieť postupne prispôsobiť tejto modernejšej a bezpečnejšej technológii.
TASR/AP
„Kľúče umožňujú rýchlejšie prihlásenie pomocou tváre, odtlačku prsta alebo PIN kódu, avšak navyše nie sú náchylné k rovnakým typom útokov ako heslá,“ uviedla firma v blogovom príspevku. „Chceme, aby sa používatelia zžili s myšlienkou, že prístupové kľúče budú novým štandardom,“ dodáva softvérový gigant.
Užívatelia sa pomocou svojich Microsoft účtov a hesiel prihlasujú k službám, ako je Microsoft 365, OneDrive, Skype, ale aj do samotných počítačov.
Koniec éry množstva hesiel?
Microsoft sa snaží o úplné odstránenie hesiel, pretože kombinácia hesla a prístupového kľúča stále robí účet zraniteľným voči phishingovým útokom. Už v roku 2022 spoločnosť umožnila používateľom odstrániť heslá zo svojich účtov, pričom uvádza, že „milióny užívateľov túto možnosť využili a heslá odstránili“.
Microsoft zdôrazňuje, že prihlásenie pomocou prístupových kľúčov je až trikrát rýchlejšie ako používanie tradičného hesla a osemkrát rýchlejšie ako kombinácia hesla a viackrokového overenia prostredníctvom SMS. Navyše, úspešnosť prihlásenia pri prístupových kľúčoch dosahuje podľa spoločnosti 98 percent, čo je výrazne viac v porovnaní s 32 percentami pri heslách.
Ako fungujú passkeys?
Takzvané passkeys viažu prístup k účtu na konkrétne fyzické zariadenie, ktoré je chránené biometrickými údajmi a/alebo PIN kódom. Nikdy nie sú zdieľané mimo zariadenia. Ak zariadenie nemá k dispozícii čítačky a senzory na čítanie biometrických údajov, postačí PIN.
Metóda je považovaná za bezpečnejšiu ako viackrokové overenie, pretože väčšina z nich sa spolieha na SMS správy, ktoré môžu byť zachytené škodlivými aplikáciami.
Passkeys alebo prístupové kódy používajú asymetrickú šifrovaciu technológiu, ktorá zahŕňa verejný a súkromný kľúč. Užívateľ uloží súkromný kľúč na zariadenie, ktoré používa (napríklad telefón alebo počítač), zatiaľ čo verejný kľúč je uložený na serveri.
Pri pokuse o prihlásenie sa zariadenie používateľa pripojí k serveru a použije súkromný kľúč na vytvorenie šifrovanej odpovede, ktorá sa porovná s verejným kľúčom na serveri. Tento proces overovania nevyžaduje prenos hesla, čo zvyšuje bezpečnosť.
Microsoft apeluje na používateľov, aby kľúče k prístupu používali všade, kde sú dostupné, pretože ponúkajú rýchle a bezpečné prihlásenie, ktoré je odolné voči tradičným hackerským metódam.
Spoločnosť uvádza na svojom blogu, že aktuálne blokuje 7-tisíc útokov na heslá za sekundu, čo predstavuje takmer dvojnásobný nárast oproti minulému roku. Zároveň zaznamenala medziročný 146-percentný nárast phishingových útokov typu AitM (Adversary-in-the-Middle), pri ktorých útočníci zachytávajú dáta od odosielateľa k príjemcovi a späť, čím získavajú prístup k citlivým informáciám.
Najväčšou výzvou bude presvedčiť posledných 30 až 40 percent používateľov, ktorí stále preferujú staršie metódy autentifikácie.
Napriek tomu spoločnosť zverejnila optimistickú správu: „Nikdy sme nemali lepšie riešenie týchto rozšírených útokov ako prístupové kľúče (passkeys).“ A v nedávnom príspevku na svojom firemnom blogu Microsoft popisuje, ako plánuje presvedčiť miliardu používateľov, aby si obľúbili prístupové kľúče.
Ako presvedčiť zvyšok?
Prístupové kľúče si získavajú čoraz väčšiu obľubu. Podľa FIDO Alliance, medzinárodnej organizácie pre bezpečnejšiu autentizáciu, sa od roku 2022 povedomie o tejto technológii zvýšilo z 39 percent na 57 percent v roku 2024. Užívatelia si ich obľúbili predovšetkým vďaka ich ľahkému použitiu a bezpečnosti.
„Väčšina užívateľov, ktorí o prístupových kľúčoch vedia, túto technológiu aktívne využíva,“ uviedla FIDO Alliance. Súčasne sa s rozvojom alternatívnych metód znižuje celkové využívanie hesiel.
Microsoft však priznáva, že najväčšou výzvou bude presvedčiť posledných 30 až 40 percent používateľov, ktorí stále preferujú staršie metódy autentifikácie a váhajú s prechodom na modernejšie riešenia.
Aby spoločnosť presvedčila zarytých zástancov hesiel na prechod na passkeys, zameriava sa na zjednodušenie procesu registrácie a prihlasovania. Passkeys preto Microsoft integroval do Windows Hello a aplikácie Microsoft Authenticator.
V súčasnosti Microsoft ponúka možnosť ukladať prístupové kľúče v cloude, čo používateľom umožňuje jednoduchý prístup naprieč rôznymi zariadeniami. Tento prístup eliminuje potrebu opätovného nastavovania passkey na každom novom zariadení, čím zjednodušuje celý proces prihlasovania.
Cloudový model má zjednodušiť a sprístupniť používanie passkeys naprieč rôznymi platformami. To však nie je vo všetkých prípadoch nutne závislé od tretích strán – Microsoft vo svojej iniciatíve spolupracuje aj s ďalšími technologickými firmami, aby zaistil širšiu podporu passkeys naprieč rôznymi službami a zariadeniami.
Teraz bude kľúčové, ako Microsoft zvládne implementáciu cloudovej synchronizácie prístupových kľúčov a zabezpečí bezpečnosť dát počas ich prenosu a ukladania – aby celá operácia, ktorá sa týka miliardy používateľov, nebola prakticky zbytočná.
Článok vyšiel na Forbes.com. Autorom je prispievateľ Zak Doffman.
