NCSC popiera passkeys. Uwierzytelnianie bez haseł wchodzi do głównego nurtu - Security Bez Tabu

NCSC popiera passkeys. Uwierzytelnianie bez haseł wchodzi do głównego nurtu

Cybersecurity news

Wprowadzenie do problemu / definicja

Passkeys, czyli klucze dostępu oparte na standardach FIDO2 i WebAuthn, są coraz częściej przedstawiane jako następny etap rozwoju bezpiecznego logowania. Zamiast tradycyjnego hasła użytkownik potwierdza tożsamość za pomocą mechanizmu powiązanego z urządzeniem, biometrią lub lokalnym kodem PIN.

Brytyjskie National Cyber Security Centre oficjalnie wsparło ten model, wskazując, że tam, gdzie to możliwe, powinien on stać się domyślną metodą logowania dla konsumentów. To ważny sygnał dla rynku, że era uwierzytelniania opartego wyłącznie na hasłach dobiega końca.

W skrócie

Passkeys zyskują status preferowanej metody uwierzytelniania, ponieważ lepiej chronią przed phishingiem, przejęciem poświadczeń i ponownym wykorzystaniem danych logowania. NCSC uznaje, że tradycyjne hasła nie zapewniają już wystarczającej odporności na współczesne zagrożenia.

  • logowanie nie wymaga wpisywania i przesyłania hasła,
  • serwer przechowuje jedynie klucz publiczny,
  • poświadczenia są powiązane z konkretną usługą lub domeną,
  • maleje skuteczność klasycznych kampanii phishingowych,
  • organizacje muszą przygotować bezpieczne procedury odzyskiwania dostępu.

Kontekst / historia

Przez wiele lat hasła były podstawowym sposobem logowania do usług cyfrowych. Z czasem ujawniły się jednak ich systemowe ograniczenia: użytkownicy stosują słabe hasła, powielają je między serwisami, a firmy muszą stale wzmacniać ochronę dodatkowymi warstwami, takimi jak MFA, analiza ryzyka czy wykrywanie anomalii.

W odpowiedzi na te problemy branża rozwijała technologie uwierzytelniania odpornego na phishing. Standardy FIDO2 oraz WebAuthn umożliwiły model, w którym operacje kryptograficzne wykonywane są po stronie urządzenia użytkownika, a po stronie serwera przechowywany jest wyłącznie klucz publiczny. Z czasem rozwiązanie to zostało uproszczone i spopularyzowane pod nazwą passkeys.

Rosnące wsparcie producentów platform, dostawców usług i instytucji publicznych sprawiło, że passkeys przestały być eksperymentem technologicznym. Oficjalne poparcie NCSC dodatkowo wzmacnia trend odchodzenia od haseł jako głównego filaru bezpieczeństwa tożsamości cyfrowej.

Analiza techniczna

Mechanizm passkeys opiera się na kryptografii klucza publicznego. Podczas rejestracji konto otrzymuje unikalną parę kluczy wygenerowaną na urządzeniu użytkownika. Klucz prywatny pozostaje lokalnie i jest chroniony w bezpiecznym komponencie systemu lub menedżerze poświadczeń, natomiast do serwera trafia tylko klucz publiczny.

Podczas logowania usługa wysyła wyzwanie kryptograficzne. Urządzenie podpisuje je przy użyciu klucza prywatnego po wcześniejszym potwierdzeniu tożsamości użytkownika, na przykład odciskiem palca, rozpoznaniem twarzy albo kodem PIN. Dzięki temu użytkownik nie ujawnia sekretu, który mógłby zostać przechwycony i wykorzystany ponownie przez atakującego.

  • hasło nie jest przesyłane przez sieć,
  • nie istnieje wspólny sekret łatwy do wykradzenia,
  • poświadczenia są przypisane do konkretnej domeny,
  • maleje ryzyko credential stuffing i skutecznego phishingu.

To właśnie odporność na phishing jest jednym z kluczowych argumentów za passkeys. Nawet jeśli użytkownik trafi na fałszywą stronę, mechanizm powiązania z prawidłową domeną znacząco utrudnia wykorzystanie poświadczeń poza właściwym kontekstem usługi.

Technologia nie jest jednak wolna od wyzwań. Organizacje muszą zaplanować bezpieczne odzyskiwanie dostępu po utracie urządzenia, synchronizację kluczy między platformami, zgodność różnych ekosystemów oraz ochronę kont bazowych używanych do synchronizacji poświadczeń. W praktyce punkt ciężkości przesuwa się z ochrony haseł na ochronę urządzeń, kont ekosystemowych i procedur operacyjnych.

Konsekwencje / ryzyko

Oficjalne stanowisko NCSC ma znaczenie strategiczne dla rynku cyberbezpieczeństwa. Oznacza ono rosnącą presję na modernizację systemów IAM, portali klientowskich oraz procesów onboardingu użytkowników. Dla wielu organizacji wdrożenie passkeys stanie się nie tylko kwestią wygody, lecz także oczekiwanym standardem bezpieczeństwa.

Korzyści są wyraźne, ale nie eliminują wszystkich zagrożeń. Słabo zaprojektowany mechanizm awaryjny, oparty na prostym resecie hasła lub niewystarczającej weryfikacji przez helpdesk, może osłabić cały model. Atakujący często koncentrują się bowiem nie na samym mechanizmie kryptograficznym, lecz na procesach administracyjnych otaczających logowanie.

  • mniejsze ryzyko phishingu i przejęcia poświadczeń,
  • ograniczenie skutków wycieków baz haseł,
  • niższa zależność od podatnych na nadużycia kodów SMS,
  • nowe ryzyka związane z utratą urządzeń i odzyskiwaniem kont,
  • większe znaczenie bezpieczeństwa service desku i procedur operacyjnych.

Rekomendacje

Organizacje planujące wdrożenie passkeys powinny podejść do tego procesu warstwowo i operacyjnie. Samo udostępnienie nowej metody logowania nie wystarczy, jeśli nie zostaną zabezpieczone ścieżki awaryjne i mechanizmy odzyskiwania dostępu.

  • udostępniać passkeys jako preferowaną metodę logowania,
  • zaprojektować bezpieczny fallback bez osłabiania całego modelu,
  • przeanalizować pełny cykl życia urządzeń i poświadczeń,
  • zabezpieczyć konta synchronizacyjne silnym MFA i monitoringiem ryzyka,
  • testować scenariusze socjotechniczne związane z pomocą techniczną,
  • wdrażać rozwiązanie etapowo, zaczynając od grup pilotażowych.

Szczególnie ważne jest zabezpieczenie procesów takich jak rejestracja nowego urządzenia, utrata telefonu, wymiana sprzętu, cofanie zaufania do skompromitowanych urządzeń czy obsługa użytkowników korzystających z wielu platform. W nowym modelu to właśnie te elementy mogą decydować o realnym poziomie bezpieczeństwa.

Podsumowanie

Poparcie NCSC dla passkeys potwierdza, że rynek wszedł w etap realnej transformacji uwierzytelniania. Hasła są coraz częściej postrzegane jako technologia niewystarczająca wobec współczesnych zagrożeń, zwłaszcza phishingu i masowego przejmowania poświadczeń.

Passkeys oferują wyraźną poprawę bezpieczeństwa i wygody, ale ich skuteczne wdrożenie wymaga dojrzałego podejścia do zarządzania tożsamością, ochrony urządzeń oraz odzyskiwania dostępu. Dla organizacji oznacza to nie tylko zmianę sposobu logowania, lecz również przebudowę modelu zaufania wokół tożsamości cyfrowej.

Źródła

  1. NCSC: Leave passwords in the past – passkeys are the future — https://www.ncsc.gov.uk/news/ncsc-leave-passwords-in-the-past-passkeys-are-the-future
  2. Passkeys: what you need to know — https://www.ncsc.gov.uk/passkeys
  3. NCSC Backs Passkeys, Hailing a New Era of Sign-in — https://www.infosecurity-magazine.com/news/ncsc-backs-passkeys-new-era-of/
  4. UK pioneering global move away from passwords — https://www.ncsc.gov.uk/news/government-adopt-passkey-technology-digital-services
  5. Passkeys are more secure than traditional ways to log in — https://www.ncsc.gov.uk/blogs/passkeys-are-more-secure-than-traditional-ways-to-log-in