Tradičné heslá sú príliš zraniteľné voči hackerom – a britská kybernetická agentúra teraz verejne vyzýva ľudí, aby ich prestali používať. Národné centrum kybernetickej bezpečnosti (NCSC) oznámilo, že prehodnocuje desaťročia zaužívaných postupov a odporúča verejnosti prestať sa spoliehať na heslá ako na ochranu. Dôvodom je skutočnosť, že väčšina phishingových útokov začína práve kompromitovaním alebo odcudzením prihlasovacích údajov. Namiesto hesiel agentúra odporúča takzvané prístupové kľúče – bezpečnejšiu a pohodlnejšiu alternatívu. Ako informuje Daily Mail, NCSC je súčasťou spravodajskej agentúry GCHQ.

Čo sú prístupové kľúče a ako fungujú

Prístupové kľúče sú prirovnávané k digitálnym pečiatkam. Nevyžadujú si zapamätanie, pretože ich vytvára softvér priamo na zariadení používateľa. Pre mnohých to znamená využitie biometrických údajov – napríklad odtlačku prsta alebo rozpoznávania tváre – alebo PIN kódu telefónu na vytvorenie a overenie prístupového kľúča.

Tento spôsob umožňuje uloženie bezpečného digitálneho kľúča v telefóne, počítači alebo tablete. Podľa NCSC môže používateľom ušetriť jednu minútu pri každom prihlásení. Keď sa používateľ prvýkrát prihlási na zariadení, systém odošle digitálny kľúč na konkrétne zariadenia. Pri ďalších prihláseniach tak nie je potrebné zadávať heslo, čakať na textovú správu ani iný kód.

Kľúč zostáva uložený na zariadení a nedá sa jednoducho zachytiť ani odcudziť. Tretie strany nemôžu pristupovať k účtom prostredníctvom iných zariadení. Odborníci z NCSC zároveň uvádzajú, že aj v prípade napadnutia webovej stránky využívajúcej prístupové kľúče môžu hackeri získať prístup len k verejným kľúčom, ktoré sú samy osebe nepoužiteľné.

Kde sa prístupové kľúče už používajú

Vládne digitálne služby a zdravotníctvo

Prístupové kľúče už boli zavedené v mnohých britských vládnych digitálnych službách, vrátane NHS. Okrem zabezpečenia zdravotných údajov pacientov sa predpokladá, že prístupové kľúče priniesli aj výrazné úspory nákladov, keďže odstraňujú potrebu viacfaktorového overovania – napríklad prijímania časovo obmedzených kódov zasielaných prostredníctvom textových správ.

Veľké technologické spoločnosti

Prístupové kľúče medzitým zaviedli aj významné online služby ako Google, Microsoft, PayPal a eBay. Podľa údajov spoločnosti Google je viac ako polovica ich britských používateľov zaregistrovaná s prístupovým kľúčom.

Čo hovoria odborníci

Jonathon Ellison, riaditeľ pre národnú odolnosť v NCSC, uviedol, že prístupové kľúče poskytujú používateľsky prívetivú alternatívu, ktorá zaručuje celkovo vyššiu odolnosť. Dodal: "Keďže sa snažíme urýchliť kybernetickú obranu Spojeného kráľovstva vo veľkom meradle, prechod na prístupové kľúče je niečo, čo môžeme urobiť všetci, aby sme zlepšili bezpečnosť každodenných digitálnych služieb a boli pripravení na súčasné aj budúce kybernetické hrozby."

Chris Hosking zo spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou SentinelOne uviedol, že prístupové kľúče odstraňujú celé kategórie útokov. Vysvetlil: "Realita je taká, že všetci žonglujeme s desiatkami prihlásení v pracovnom aj osobnom živote a očakávať, že všetci zamestnanci budú vytvárať a spravovať silné, jedinečné heslá pre každé z nich, jednoducho nie je realistické." Podľa jeho slov ľudia nevyhnutne heslá opätovne používajú alebo si ponechávajú rovnaké roky. Hosking ďalej vysvetlil, že práve preto mnohé závažné úniky dát začínajú rovnako – populárna služba s overenými používateľmi je napadnutá, heslá a e-maily skončia v únikoch dát na temnom webe a spustia dominový efekt, ktorý ohrozí viaceré stránky a systémy. "Prístupové kľúče odstraňujú celé kategórie útokov, pretože nie je žiadne heslo, ktoré by sa dalo ukradnúť alebo znovu použiť," uzavrel.

Postoj NCSC a odporúčania pre prípady bez podpory prístupových kľúčov

NCSC uviedlo, že minulý rok sa zdržalo odporúčania prístupových kľúčov z dôvodu výhrad týkajúcich sa ich implementácie. Pokrok v technologickom odvetví však odvtedy viedol k tomu, že prístupové kľúče boli vyhodnotené ako bezpečnejšie a používateľsky prívetivejšie. Agentúra preto podniky vyzýva, aby ich zaviedli ako predvolenú možnosť pre spotrebiteľov.

V technickej správe, ktorú NCSC zverejní vo štvrtok, sa uvádza, že prístupové kľúče sú rovnako bezpečné, ak nie bezpečnejšie, ako najsilnejšie možné heslo v kombinácii s dvojstupňovým overením. V prípadoch, keď online služby prístupové kľúče nepodporujú, NCSC odporúča používať správcu hesiel na vytváranie silnejších hesiel a naďalej využívať dvojstupňové overenie.