Hasła od lat są uznawane za najsłabsze ogniwo zabezpieczeń internetowych. Mimo rosnącej liczby wycieków danych i kampanii phishingowych wiele serwisów nadal wymaga logowania przy użyciu tradycyjnego hasła, czasem wspomaganego dodatkowym kodem SMS lub aplikacją uwierzytelniającą.
Tymczasem eksperci od bezpieczeństwa coraz częściej wskazują klucze dostępu (passkeys) jako rozwiązanie, które ma szansę ostatecznie zastąpić hasła. Problem w tym, że część największych usług internetowych wciąż nie wdrożyła tej technologii. Teraz ich nazwy trafiły na specjalną „listę wstydu”.
Powstała strona wytykająca spóźnialskich
Za inicjatywą stoi badacz bezpieczeństwa Scott Helme, który uruchomił serwis Why No Passkeys. Strona monitoruje popularne witryny i usługi internetowe, wskazując, które z nich oferują już logowanie za pomocą kluczy, a które nadal tego nie umożliwiają. Celem projektu jest wywarcie presji na firmy, które zwlekają z wdrożeniem nowoczesnych metod uwierzytelniania.
Jak zauważa Helme, publiczne zestawienia często działają skuteczniej niż apele ekspertów. Żadna firma nie chce znaleźć się na liście organizacji odstających od standardów bezpieczeństwa, zwłaszcza gdy konkurencja oferuje już nowocześniejsze rozwiązania.
Netflix, Spotify i Instagram na liście
Według danych prezentowanych przez serwis około 24 proc. najpopularniejszych stron internetowych na świecie nadal nie obsługuje kluczy dsotępu. Wśród wymienianych przykładów znalazły się takie marki jak Instagram, Netflix, Spotify, Samsung, Roblox czy Baidu. To szczególnie zaskakujące, biorąc pod uwagę skalę działania tych usług i liczbę przechowywanych przez nie danych użytkowników.
Co ciekawe, sytuacja nie zawsze jest jednoznaczna. W przypadku Instagrama możliwość korzystania z passkeys istnieje jedynie po połączeniu konta z Facebookiem, który obsługuje już tę metodę logowania. Sama aplikacja Instagrama nie oferuje jednak pełnoprawnego wsparcia dla tej technologii. Po drugiej stronie zestawienia znajdują się firmy takie jak Apple, Google czy Microsoft, które od dłuższego czasu promują logowanie bez użycia haseł i aktywnie rozwijają obsługę passkeys w swoich usługach.
Dlaczego klucze dostępu są bezpieczniejsze?
Passkeys wykorzystują mechanizmy kryptograficzne powiązane z konkretnym urządzeniem użytkownika. Zamiast wpisywania hasła wystarczy potwierdzenie tożsamości za pomocą odcisku palca, skanu twarzy lub kodu odblokowującego urządzenie. Dzięki temu dane logowania nie mogą zostać łatwo przechwycone czy podrobione przez oszustów.
To właśnie odporność na phishing jest jednym z największych atutów tej technologii. Nawet jeśli użytkownik trafi na fałszywą stronę internetową, passkey nie zostanie wykorzystany do logowania, ponieważ jest powiązany z konkretną usługą. W praktyce eliminuje to jeden z najpopularniejszych sposobów kradzieży kont.
Hasła jeszcze szybko nie znikną
Choć branża technologiczna od kilku lat zapowiada stopniowe odejście od tradycyjnych haseł, rzeczywistość okazuje się bardziej skomplikowana. Nowa lista pokazuje, że nawet największe firmy nie zawsze nadążają za zmianami w cyberbezpieczeństwie. Dla użytkowników może być to dodatkowa zachęta, by sprawdzić, czy używane przez nich serwisy obsługują już passkeys i włączyć tę funkcję tam, gdzie jest dostępna. Adres strony to: whynopasskeys.com
Źródło: whynopasskeys.com