Przyszłość uwierzytelnienia może być bezhasłowa

Spis treści:

1. Bezpieczeństwo
2. Klucze publiczny i prywatny
3. Wygoda i bezpieczeństwo
4. Coraz szersza adaptacja
5. Problemy
6. Sposób działania CXP
7. Rodzaje bezhasłowości
8. Przegląd wybranych metod bezhasłowych
9. Passkey nie zastąpi hasła… jeszcze

W dobie rosnących cyberzagrożeń tradycyjne hasła stają się coraz większym problemem, będącym popularnym celem ataków. Dlatego coraz więcej usług umożliwia logowanie bezhasłowe, odporne na większość naruszeń wykorzystujących jedną z największych słabości w systemach – czynnik ludzki.

Klasyczne logowanie opiera się na potwierdzaniu tożsamości przez znajomość składników uwierzytelnienia. Takie podejście przenosi odpowiedzialność za bezpieczeństwo bezpośrednio na użytkowników, co stanowi problem w przypadku złych nawyków. Wielokrotne używanie tych samych haseł, zapisywanie ich w niewłaściwych miejscach czy upraszczanie znacząco podnoszą poziom ryzyka.

Idealnie byłoby przenieść tę odpowiedzialność z powrotem na producentów usług i urządzeń, którzy dysponują sztabami ekspertów, algorytmami kryptograficznymi oraz odpowiednią architekturą zabezpieczeń. Aby to było możliwe, należy zmienić myślenie o uwierzytelnianiu. Zamiast pamiętać własne hasła lub bezpiecznie je zapisywać, musimy się zgodzić na wykorzystanie cyfrowego klucza. W pierwszej chwili wydaje się to nieintuicyjne i niepokojące, bo niejako tracimy kontrolę nad dostępem do często ważnych usług. W praktyce nie różni się to od kluczy do domu czy miejsca pracy. Nie pamiętamy przecież parametrów ich kształtu. Wybieramy zamki o wysokiej klasie bezpieczeństwa, w znanym nam miejscu zachowujemy klucz zapasowy i po prostu używamy takich zabezpieczeń.

Rozwiązania bezhasłowe są niczym etui pełne takich kluczy, które mogą być posiadanym przez nas urządzeniem albo kompatybilnym menedżerem haseł. Polegają na utworzeniu passkeya, czyli jednoskładnikowego uwierzytelnienia. Nie wymagają nawet rejestrowania par loginów i haseł, bo klucz dostępu identyfikuje osobę ponad wszelką wątpliwość. Zamiast tego użytkownik wykorzystuje np. swoją biometrię i po przyłożeniu palca do czytnika linii papilarnych urządzenie generuje parę kluczy kryptograficznych (prywatny i publiczny), które go identyfikują. Zatem to nie my potwierdzamy naszą tożsamość, lecz urządzenie (lub menedżer haseł) robi to w naszym imieniu.

Bezpieczeństwo

Ujawnianie klucza kryptograficznego z pozoru brzmi nieintuicyjnie. Jednakże wykorzystanie tzw. kluczy publicznych jest z nami od lat 70. ubiegłego wieku i od tamtej pory doskonale się sprawdza. Są używane m.in. w certyfikatach SSL, które potwierdzają autentyczność strony internetowej. Te z kolei pozwalają na ustanowienie bezpiecznego połączenia i wykorzystanie protokołu HTTPS.

Rodzi to jednak kolejne pytanie – skoro ta metoda ma ponad pół wieku, to dlaczego od tylu lat wciąż zapamiętujemy hasła? Wynika to ze skomplikowania obliczeń kryptograficznych, które wymagają odpowiednio mocnych procesorów oraz czasu. Kieszonkowe urządzenia zdolne do takich kalkulacji w czasie, który nie pogorszy komfortu korzystania z usług, są dość nowe. W końcu nikt nie chciałby czekać co każde kliknięcie na stronie internetowej, aż telefon i serwer uścisną sobie kryptograficzną dłoń.

Klucze publiczny i prywatny

Sednem bezpieczeństwa jest asymetria między poszczególnymi kluczami. Publiczny jest dostępny dla wszystkich i służy wyłącznie do szyfrowania danych. Natomiast prywatny, który pozostaje tajny, jest używany do ich odszyfrowania. Kiedy użytkownik próbuje się zalogować, system wysyła dane zaszyfrowane za pomocą klucza publicznego (tzw. challenge). Tylko klucz prywatny, znajdujący się na urządzeniu użytkownika, może odszyfrować te dane.

Zatem powyższa para jest jak kłódka i klucz. Kłódki możemy rozdać innym – upublicznić je. Nie stanowi to problemu, bo tylko my mamy klucz je otwierający. Wykorzystując logowanie bezhasłowe, nasze urządzenie wysyła do serwera informację „to moja kłódka”. Serwer odpowiada, mówiąc „udowodnij, otwórz ją”. A ponieważ zamek w kłódce opiera się na tej samej, silnej kryptografii, która omówiona została w poprzedniej części cyklu („IT Professional” 11/2025, s. 42), to dorobienie wytrychu jest praktycznie niemożliwe. Dzięki temu otwartą kłódkę odeśle tylko jej prawowity właściciel. Dla porównania tradycyjne logowanie przypomina bardziej parę dwóch takich samych kluczy. Podając login i hasło, zgłaszamy serwerowi „to mój klucz, haczyk nr 35”. Serwer następnie sprawdza, czy przedstawiony klucz jest taki sam jak wiszący na haczyku nr 35. Jeśli klucz (hasło) nie będzie się zgadzać albo wskażemy niewłaściwy haczyk (login), to uwierzytelnianie się nie powiedzie.

Wygoda i bezpieczeństwo

Logowanie bezhasłowe jest bezpieczne i zarazem bardzo łatwe w użyciu, co znacząco podnosi komfort codziennej pracy i rozrywki. Oczywiście samo użycie menedżerów haseł mocno upraszcza cały proces. Zwykle klikamy tylko w ikonkę menedżera, a on uzupełnia za nas pola loginu i hasła. Pozostaje jednak drugi składnik uwierzytelnienia (MFA). Bezhasłowość idzie o krok dalej i pozwala np. jedynie dotknąć czytnika linii papilarnych lub specjalnego klucza czy spojrzeć w kamerę.

Taka prostota otwiera nowe możliwości poprawy bezpieczeństwa. Dzięki temu można choćby skrócić czas sesji, czyli to, jak długo użytkownik pozostaje zalogowany bez konieczności ponownego uwierzytelniania. Zazwyczaj czas ten jest bardzo długi, by kompensować niewygodę klasycznego logowania. Jest to istotne z punktu widzenia potencjalnej kradzieży tokenów, pozwalających obejść każde zabezpieczenie. Wprawdzie można podejmować działania aktywne, takie jak celowe wygaszenie wszystkich przy podejrzeniu incydentu albo wprowadzanie ograniczeń globalizacyjnych czy behawioralnych. Wymaga to jednak implementacji złożonego monitorowania i nie daje pełnej skuteczności. Skrócenie czasu sesji sprawia natomiast, że nawet w razie niewykrycia zdarzenia atakujący w relatywnie krótkim czasie i tak straci dostęp.

Coraz szersza adaptacja

Zalety takiego podejścia dostrzegane są przez producentów największych usług, którzy zaczynają oferować coraz szersze wsparcie dla bezhasłowości. Microsoft wdrożył już domyślne jej proponowanie dla nowych kont (od 1 maja 2025 r.). Zachęca też do ich używania starszych klientów czy użytkowników platformy GitHub. Miesiąc później Meta ogłosiła, że logowanie bezhasłowe stało się dostępne w Facebooku na Androidzie i iOS-ie. W niedługim czasie opcja ta zostanie zintegrowana także z Messengerem. Pełne wsparcie (tj. możliwość całkowitego zastąpienia haseł) zapewniają jedne z najpopularniejszych usług: Apple, Amazon, Bitwarden, Discord, Google czy PayPal.

Co ważne, passkeye są dopisywane do konkretnej strony, usługi lub aplikacji. Dlatego oszustwa z użyciem nawet najlepiej podrobionych serwisów w tym wypadku nie zadziałają. Urządzenie lub menedżer haseł po prostu nie rozpoznają takiego miejsca jako znanego sobie konta. Tym samym uchronią nas przed skutkami ataku.

Problemy

Pomimo bezsprzecznej wygody i wykluczania błędów wynikających z czynnika ludzkiego bezhasłowość wciąż wiąże się z zasadniczym problemem: przenoszeniem passkeyów między platformami. Obecnie każdy dostawca takiego rozwiązania posługuje się własnym standardem, przez co często nie można po prostu wyeksportować poświadczeń z jednego miejsca i zaimportować ich w innym, jak w przypadku menedżerów haseł. Co gorsza, zdarza się, że klucz prywatny jest eksportowany w czystym tekście, tak jak w przypadku funkcjonalności popularnego KeepassXC.

Problemy z migracją skutkują licznymi problemami. Jednym z największych jest całkowita utrata poświadczeń (w wyniku ich uszkodzenia na etapie eksportu lub importu), a przez to konieczność generowania nowych. O ile w zastosowaniach prywatnych okaże się to po prostu uciążliwe (zakładając, że w ogóle będziemy w stanie odzyskać konto), o tyle w przypadku dużych organizacji będzie się wiązać z ogromnymi nakładami pracy. Co więcej, powodować to może vendor lock-in, a przez to trwanie przy rozwiązaniach nieoptymalnych, lecz wciąż generujących mniejszy problem niż próba przeniesienia się do innego dostawcy.

Różnice w implementacji bezhasłowości między głównymi dostawcami – jak Apple, Google czy Microsoft – powodują trudności w środowiskach korporacyjnych, gdzie użytkownicy pracują na różnych platformach i urządzeniach. Brak pełnej interoperacyjności sprawia, że synchronizacja poświadczeń między ekosystemami jest ograniczona, co negatywnie wpływa na skalowalność. Dodatkowo w dużych organizacjach, gdzie funkcjonuje wiele domen i tenantów, pojawiają się wyzwania związane z federacją tożsamości i integracją z istniejącymi systemami IAM. Brak centralnego mechanizmu zarządzania passkeyami może prowadzić do fragmentacji kontroli dostępu, zwiększając ryzyko operacyjne i komplikując ewentualne audyty. W takich warunkach wdrożenie bezhasłowości wymaga nie tylko zmian technologicznych, ale także przemyślanej strategii zarządzania tożsamością.

Jednym z najbardziej obiecujących kierunków rozwoju logowania bezhasłowego, który odpowiadałby na wskazane problemy, jest Credential Exchange Protocol (CXP). To otwarty standard rozwijany przez FIDO Alliance, który ma na celu ułatwienie wymiany poświadczeń między różnymi usługami i urządzeniami, bez konieczności stosowania haseł. W praktyce oznacza to, że użytkownik może korzystać z kluczy dostępów na wielu platformach – niezależnie od producenta sprzętu czy systemu operacyjnego – bez potrzeby ręcznego przenoszenia danych uwierzytelniających.

Do pracy nad tym protokołem, koordynowanej przez FIDO Alliance, przystąpili dostawcy największych usług oraz menedżerów haseł: 1Password, Bitwarden, Dashlane, Devolutions, Google, NordPass oraz Okta. Dane są szyfrowane na poziomie źródła, co zapewnia ich poufność oraz integralność podczas przesyłania. Z kolei bieżące prace wskazują na dążenie do wysokiego poziomu uniwersalności. Docelowo protokół ten miałby się stać mostem łączącym różne rozwiązania w heterogenicznych systemach, pozwalając na bezpieczną i łatwą wymianę poświadczeń. Jest to szczególnie istotne z punktu widzenia centralnego zarządzania poświadczeniami. Obecnie wiele rozwiązań bezhasłowych jest silnie związanych z konkretnym urządzeniem użytkownika, co utrudnia ich kontrolę przez administratorów IT. CXP umożliwia tworzenie zaufanych kanałów wymiany poświadczeń, które mogą być nadzorowane i audytowane, a także integrowane z systemami IAM.

W efekcie CXP może się stać brakującym ogniwem, które pozwoli na masową adaptację bezhasłowości nie tylko wśród użytkowników indywidualnych, ale także w sektorze biznesowym. Jego rozwój warto śledzić, bo może on zdefiniować nowy standard uwierzytelniania w nadchodzących latach.

Sposób działania CXP

Proponowana architektura CXP wykorzystuje Hybrid Public Key Encryption (HPKE) wraz z wymianą kluczy Diffie–Hellman. Protokół definiuje konkretnych uczestników:

• właściciel poświadczeń (Credential Owner) – decydujący o migracji danych między dostawcami. Może to być użytkownik końcowy lub osoba upoważniona przez organizację;
• dostawca poświadczeń (Credential Provider) – oprogramowanie lub sprzęt, który przechowuje i zarządza poświadczeniami w imieniu właściciela. Może pełnić rolę eksportera, importera lub obu jednocześnie;
• eksporter (Exporting Provider/Exporter) – szyfruje i przekazuje dane uwierzytelniające do importera;
• importer (Importing Provider/Importer) – inicjuje żądanie migracji i ostatecznie przechowuje zaimportowane poświadczenia;
• strona autoryzująca (Authorizing Party) – opcjonalny uczestnik, który może wystawiać certyfikaty w imieniu właściciela poświadczeń. Certyfikaty te służą do uwierzytelnienia agenta migracji i mogą być używane do generowania klucza migracyjnego.

Cały proces rozpoczyna importer, który wysyła do eksportera żądanie eksportu zawierające wyzwanie (challenge), zakres danych oraz deklarację używanego szyfrowania (najczęściej Diffie–Hellman z kluczem publicznym). Po zatwierdzeniu przez użytkownika lub stronę autoryzującą eksporter generuje lub uzyskuje klucz migracyjny, szyfruje dane uwierzytelniające i podpisuje challenge. Następnie przesyła zaszyfrowane dane, podpis oraz swój klucz publiczny do importera, który weryfikuje podpis, odszyfrowuje dane (zgodnie z formatem CXF) i zapisuje je lokalnie.

CXP wykorzystuje Credential Exchange Format (CXF), który definiuje sposób reprezentacji poświadczeń. Obecnie dostępny jest jako propozycja standardu w wersji 1.0 z 14 sierpnia 2025 r. i obejmuje nie tylko passkeye (jako public-key-credential), lecz także hasła, kody TOTP oraz bezpieczne notatki. Architektura CXF opiera się na przejrzystym modelu danych (format JSON), w którym kluczowe elementy poświadczeń mają ściśle zdefiniowane pola. Format jest jednocześnie rozszerzalny, co pozwala łatwo wprowadzać nowe typy danych bez łamania kompatybilności wstecznej. Kluczowe jest rozdzielenie formatu danych (CXF) od protokołu transportowego (CXP), gdyż umożliwia to łatwe wdrażanie lokalnych implementacji przepływu, jak np. transfer między aplikacjami na tym samym urządzeniu. W praktyce implementacja CXP ma umożliwić także łatwe przenoszenie kluczy dostępu z telefonu na komputer, bez potrzeby ich ponownego generowania czy ręcznego eksportu. To szczególnie istotne w środowiskach korporacyjnych, gdzie zarządzanie dostępem musi być nie tylko bezpieczne, ale też skalowalne i zgodne z politykami bezpieczeństwa, zwłaszcza przy ciągłej rotacji urządzeń.

Rodzaje bezhasłowości

Rozwiązania bezhasłowe można podzielić na dwie kategorie: synchronizowane i przypisane do urządzenia. Każde z nich wiąże się z pewnym ryzykiem, dlatego metodę uwierzytelnienia warto wybrać przy uwzględnieniu potrzeb, możliwości i kontekstu systemu, w którym będą używane.

Synchronizowane passkeye są najłatwiejsze w implementacji, gdyż nie wymagają zakupu specjalnego sprzętu. Są powiązane z rozwiązaniami cyfrowymi, takimi jak menedżery haseł, dedykowanymi usługami Apple’a lub Google’a i im podobnymi. Ich bezpieczeństwo wynika wprost z zabezpieczeń stosowanych przez dostawcę usługi, bo co do zasady mogą być powielane, a przez to wykorzystywane na wielu urządzeniach. Z jednej strony rodzi to pewne obawy, gdyż uwierzytelnienie na etapie uzyskania dostępu do kluczy jest pojedynczym punktem awarii lub potencjalnie atrakcyjnym celem. Nie możemy jednak zapominać, że z takim samym ryzykiem mierzą się menedżery haseł – a te są jednoznacznie zalecane. I tak jak samo ich skuteczne wdrożenie obniża poziom ryzyka, bo pozwala eliminować złe nawyki w tworzeniu poświadczeń, tak bezhasłowość może być kolejnym przeskokiem na wyższy poziom bezpieczeństwa. Ułatwienie procesu uwierzytelnienia pozwala bowiem skrócić maksymalny czas trwania sesji. Ponadto w przypadku klucza dostępu użytkownik nie może łatwo przekazać go komuś innemu, tak jak w przypadku wyświetlenia hasła w menedżerze i jego ręcznego przepisania.

Sprzętowe passkeye mogą mieć istotne zalety. Nie można ich skopiować, a zatem stanowią wyjątkowo bezpieczną formę uwierzytelnienia. Próba zalogowania z ich użyciem oznacza konieczność posiadania fizycznego klucza (lub innego urządzenia pełniącego tę funkcję), a ponadto wymaga dodatkowego uwierzytelnienia (biometrii, podania PIN-u). Dzięki temu potencjalny złodziej lub znalazca zagubionego klucza nie uzyska dostępu do jakichkolwiek kont. Niestety – prawowity właściciel także. Jest to największa wada takiego rozwiązania, którą zwykle eliminuje się przez dublowanie urządzeń (np. dodatkowy YubiKey przechowywany w bezpiecznym miejscu), co wiąże się ze zwiększonymi kosztami. Z punktu widzenia organizacji problem ten można jednak rozwiązać poprzez resetowanie dostępu przez administratorów. W przypadku utraty klucza użytkownik może złożyć wniosek o przypisanie nowego i dezaktywowanie poprzedniego.

Przegląd wybranych metod bezhasłowych

Uwierzytelnianie bezhasłowe towarzyszy nam na co dzień, a do tego jest na tyle wygodne, że staje się „przezroczyste” w procesie uzyskiwania dostępu do usług. To z kolei pozwala wdrażać je małymi krokami, powoli przyzwyczajając użytkowników. Poniżej omawiamy wybrane metody tego rodzaju logowania.

Biometria

Jedną z najbardziej rozpowszechnionych metod jest wykorzystywanie szeroko rozumianych, unikatowych cech naszego ciała – biometrii. Są to przede wszystkim czytniki linii papilarnych oraz skanery twarzy, a rzadziej skanery siatkówki oka czy układu żył w dłoni. Ich precyzja, szybkość i przewidywalność działania, jak również relatywnie niskie koszty, pomogły w znaczącym rozpowszechnieniu. Dzisiaj nawet aplikacje bankowe zezwalają na taki rodzaj logowania lub potwierdzania przelewów. Warto jednak doprecyzować, że nie zawsze odbywa się to przez wymianę passkeyu. Aktualne implementacje dopuszczają także kryptograficzną blokadę tokenów. Uwierzytelniamy się więc jeden raz hasłem, a następnie przez czas trwania sesji dostęp do jej tokenu wymaga od nas poświadczenia biometrią. Z punktu widzenia użytkownika końcowego takie uzyskanie dostępu nie różni się znacząco od wykorzystania klucza dostępu i może być świetnym sposobem wprowadzenia do bezhasłowości. Wśród najpopularniejszych rozwiązań wyróżnić można:

• Windows Hello – odcisk palca lub skan twarzy, zabezpieczony modułem TPM 2.0, na urządzeniach pod kontrolą Windowsa;
• TouchID/FaceID – odcisk palca lub skan twarzy, na urządzeniach Apple’a (iOS, iPadOS, macOS);
• Android CDD – odcisk palca lub rzadziej skan twarzy. Logowanie bezhasłowe wymaga biometrii klasy trzeciej, w niektórych przypadkach klasy drugiej. Standardy te zapewniają, iż niemożliwe jest utworzenie takiej metody logowania na urządzeniu z niewystarczającymi zabezpieczeniami.

Szczególną formą biometrii jest uwierzytelnianie behawioralne. Polega ono na śledzeniu zwykle wielu czynników, które w połączeniu identyfikują tylko jedną osobę. Może to być rytm pisania na klawiaturze lub dotykania ekranu, siła sygnału Wi-Fi czy zachowanie w aplikacjach. Wykorzystywane są także tempo bicia serca, odgłosy oddechu czy mikroekspresje twarzy. Są to jednak rozwiązania bardzo niszowe, w prostszej wersji dedykowane niektórym przedsiębiorstwom, a w złożonej rozwijane m.in. przez wojsko.

Klucze fizyczne

Ten rodzaj bezhasłowości jest popularny ze względu na towarzyszące mu zabezpieczenia oraz wszechstronność. Klucze fizyczne najpowszechniej wykorzystuje się jako dodatkowy składnik uwierzytelnienia (MFA). Mogą jednak generować passkeye i pozwalać na bezhasłowe logowanie po podłączeniu ich do urządzenia oraz zwykle wykonaniu dodatkowej czynności (np. dotknięciu klucza). Pozwala to zakupić klucze w wersji miniaturowej i na co dzień potencjalnie pozostawiać je wpięte np. we własnego laptopa. Nawet w przypadku cyberataku haker nie posłuży się takim uwierzytelnieniem, bo nie ma fizycznego dostępu i nie może spełnić warunku dotknięcia klucza. Warto przy tym podkreślić, że takie podejście naraża użytkownika na utratę klucza w przypadku kradzieży urządzenia.

Co więcej, klucze fizyczne pozwalają uzyskać łatwe uwierzytelnianie bezhasłowe na urządzeniach, w których zwykle nie jest to możliwe z użyciem biometrii (np. komputery pod kontrolą Linuksa). Najpopularniejszymi rozwiązaniami są:

• YubiKey – jeden z najbardziej rozpowszechnionych kluczy fizycznych, kompatybilny z FIDO2 i WebAuthn, co pozwala go użyć w bardzo wielu usługach. Dostępny z wtykiem USB-A oraz USB-C, w obu przypadkach opcjonalnie z NFC;
• Google Titan – podobnie jak powyżej, kompatybilny z FIDO2/WebAuthn, dostępny z wtykiem USB-A oraz USB-C, zawsze z NFC;
• FortiToken – rodzina kompatybilnych z FIDO2 kluczy przeznaczonych do użytku biznesowego, dostępnych w różnych formach fizycznych lub jako aplikacja mobilna.

Menedżery haseł

Menedżery potrafią łączyć wygodę logowania bezhasłowego z metodami tradycyjnymi. Pozwala to zarządzać wszystkimi metodami z jednego miejsca, a przez to stopniowo przechodzić na passkeye. Jest to zarazem rozwiązanie uniwersalne. Podobnie jak klucze sprzętowe, pozwalają na dobrą implementację bezhasłowości w systemach o słabym wsparciu biometrii. Jednakże, w przeciwieństwie do nich, umożliwiają uzyskanie tej funkcjonalności bez dodatkowych kosztów. Z tego względu mogą być świetnym startem dla osób wciąż niepewnych, pozwalając im za darmo testować logowanie bezhasłowe. Popularne implementacje to:

• Bitwarden – otwartoźródłowy menedżer haseł, który wspiera generowanie i przechowywanie passkeyów. Dzięki bardzo szerokiemu wsparciu systemów i przeglądarek jest idealnym wyborem dla użytkowników ceniących sobie bezpieczeństwo i elastyczność.
• 1Password – zaawansowany menedżer haseł, który oferuje funkcję generowania kluczy dostępu. Kompatybilny z wieloma systemami operacyjnymi, w tym Linuksem, 1Password zapewnia bezpieczne i wygodne logowanie bezhasłowe.

Więcej o menedżerach haseł można przeczytać w poprzednim numerze miesięcznika („IT Professional” 11/2025, s. 42).

Kody QR

Uwierzytelnianie za pomocą kodów QR to coraz powszechniejsza metoda logowania bezhasłowego, która łączy wygodę użytkownika z wysokim poziomem bezpieczeństwa. Proces polega na zeskanowaniu dynamicznie wygenerowanego kodu QR przez zaufaną aplikację mobilną (np. mObywatela), która następnie potwierdza tożsamość użytkownika i przekazuje dane uwierzytelniające do systemu docelowego. Tego typu mechanizm jest szczególnie użyteczny w środowiskach, gdzie dostęp do biometrii lub sprzętowych kluczy uwierzytelniających jest ograniczony, np. w systemach Linux czy na komputerach publicznych.

W praktyce kod QR pełni rolę bezpiecznego tokena sesyjnego, który inicjuje proces uwierzytelnienia, umożliwiając przekazanie danych w sposób kontrolowany i zatwierdzony przez użytkownika. W zależności od implementacji może to być realizowane zgodnie ze standardami FIDO2/WebAuthn (gdzie kod QR uruchamia proces z użyciem klucza dostępu) lub poprzez alternatywne protokoły, takie jak QRAuth czy QRLogin, które definiują własne mechanizmy wymiany danych i potwierdzania tożsamości.

Passkey nie zastąpi hasła… jeszcze

Wcześniej wspomniane przeniesienie odpowiedzialności za zabezpieczenia powinno wyraźnie poprawić cyberbezpieczeństwo. Zamiast obciążać użytkowników – ze złymi nawykami i podatnych na oszustwa – lepiej jest uzależnić bezpieczeństwo od silnej kryptografii. Dzięki temu logowanie bezhasłowe może stanowić istotny element walki z phishingiem, a ponadto poprawiać wygodę codziennej interakcji z usługami. Rozwiązania te mogą być szczególnie przydatne dla użytkowników mniej świadomych cyfrowo, np. osób starszych. Pojedyncza konfiguracja passkeya zapewni im komfort użycia biometrii i zabezpieczy ich konta przed próbami oszustw.

Logowanie bezhasłowe nie jest jednak wielkim krokiem w przyszłość. Jego implementacja wciąż pozostaje ograniczona, a ponadto widoczny jest opór ze strony użytkowników. W efekcie usługodawcy czasem próbują wymuszać przełączenie się na takie rozwiązania, choć z różnym skutkiem. Jest to raczej seria niewielkich kroków, lecz zmierzających w bardzo dobrym kierunku. Dlatego warto je wykonać – nawet nieliczne znacząco poprawią nasze bezpieczeństwo. Dzięki bezhasłowości przyszłość rysuje się ciekawie, a opracowywany protokół bezpiecznej wymiany poświadczeń (CXP) może znacząco pomóc w szybszym jej nadejściu. Zyski w zakresie bezpieczeństwa wydają się tego warte, a z punktu widzenia użytkowników mogą znacząco podnieść komfort. Niestety rozwiązania bezhasłowe wciąż pozostają problematyczne z punktu widzenia centralnego zarządzania, choć coraz więcej organizacji adaptuje taką metodę uwierzytelniania.

---

Autor

Mateusz Rakowski

Autor jest audytorem wiodącym systemu zarządzania bezpieczeństwem informacji według normy ISO/IEC 27001, a także nauczycielem akademickim pracującym z międzynarodowymi grupami zajęciowyi i autorem publikacji naukowych z zakresu ochrony informacji oraz wykorzystania cyberprzestrzeni w konfliktach.