Google oficjalnie rozpoczął wdrażanie nowej generacji logowania bez hasła w stabilnej wersji przeglądarki internetowej Chrome dla systemów Android, MacOS i Windows.

Hasła powoli odchodzą do lamusa. Kolejny krok w tym kierunku właśnie wykonała firma Google, która rozpoczęła wdrażanie obsługi kluczy dostępu (passkeys), czyli technologii logowania bez hasła nowej generacji, w stabilnej wersji swojej przeglądarki Chrome.

Klucze dostępu są znacznie bezpieczniejszym zamiennikiem haseł i innych czynników uwierzytelniających, które można wykorzystać do wyłudzenia informacji. Nie można ich ponownie wykorzystać, nie przeciekają podczas włamań do serwerów i chronią użytkowników przed atakami typu phishing.

Klucze dostępu eliminują potrzebę stosowania haseł, wymagając od użytkowników uwierzytelnienia się podczas logowania poprzez odblokowanie pobliskiego urządzenia z systemem Android lub iOS za pomocą danych biometrycznych. Wymaga to jednak od webmasterów zbudowania obsługi klucza dostępu w swoich witrynach przy użyciu interfejsu API WebAuthn.

Technologia ta działa poprzez tworzenie unikalnej pary kluczy kryptograficznych w celu powiązania z kontem aplikacji lub strony internetowej podczas rejestracji konta. Jeden z tych kluczy, klucz publiczny, jest przechowywany na serwerze. Z kolei klucz prywatny nigdy nie opuszcza urządzenia, na którym został wygenerowany.

Testy nowej funkcji bezpieczeństwa rozpoczęły się dwa miesiące temu w systemach Android, MacOS i Windows 11. Teraz jest ona dostępna w wersji 108 przeglądarki Google Chrome.

W systemie Android "klucze" są przesyłane do Menedżera haseł Google (lub podobnego rozwiązania innych producentów). Klucze dostępu są też synchronizowane za pośrednictwem pęku kluczy iCloud na iOS i macOS, natomiast wsparcie ze strony systemu Microsoft Windows ma być oferowane od 2023 roku.

Kiedy tworzona jest kopia zapasowa klucza dostępu, klucz prywatny jest przesyłany tylko w postaci zaszyfrowanej przy użyciu klucza szyfrowania, który jest dostępny tylko na własnych urządzeniach użytkownika.

Dzięki takim zabiegom klucze dostępu Google są chronione w taki sposób, by nieuczciwy podmiot wewnątrz firmy nie mógł ich użyć do zalogowania się do odpowiedniej usługi online bez dostępu do klucza prywatnego.

Oczekuje się, że Google udostępni nowy interfejs API zapewniający obsługę kluczy dostępu w aplikacjach na Androida.

