Uwierzytelnianie bez hasła to metoda uwierzytelniania, która pozwala użytkownikowi uzyskać dostęp do aplikacji lub systemu informatycznego bez podawania hasła lub odpowiadania na pytania zabezpieczające. Zamiast tego użytkownik dostarcza inny dowód swojej tożsamości, jak np. odcisk palca, karta zbliżeniowa lub kod z tokena. Uwierzytelnianie bez hasła jest często używane w połączeniu z dwuskładnikowym uwierzytelnieniem (2FA), biometrią czy Single Sign-On w celu poprawy komfortu użytkowania, wzmocnienia bezpieczeństwa oraz zmniejszenia kosztów.
Uwierzytelnianie bez hasła opiera się na tych samych zasadach, co certyfikaty cyfrowe: para kluczy kryptograficznych z kluczem prywatnym i publicznym. Chociaż oba są nazywane kluczami, klucz publiczny stanowi niejako „kłódkę”, do której zamka klucz stanowi właśnie klucz prywatny, który go odblokowuje.
Uwierzytelnianie bez hasła ma na celu przede wszystkim wyeliminowanie największej słabości najpowszechniejszego zabezpieczenia: haseł. Od dawna są one uważane za najsłabsze ogniwo, jeśli mowa o bezpieczeństwie w szeroko pojętym obszarze IT. Użytkownicy używają tych samych haseł w wielu systemach, zapominają lub je zapisują, a czasami nawet przekazują bez zastanowienia innym osobom. Proste metody uwierzytelniania, które wymagają jedynie kombinacji nazwy użytkownika i hasła, są z natury podatne na ataki. Atakujący mogą odgadnąć lub ukraść dane uwierzytelniające i uzyskać dostęp do poufnych informacji i systemów informatycznych przy użyciu różnych technik, w tym m.in.:
- Credential stuffing to rodzaj cyberataku, w którym cyberprzestępca wykorzystuje skradzione nazwy użytkownika i hasła z jednej organizacji (uzyskane w wyniku naruszenia lub zakupione w darknecie) w celu uzyskania dostępu do kont użytkowników w innej organizacji.
- Atak Brute Force to próba odkrycia hasła poprzez systematyczne wypróbowywanie każdej możliwej kombinacji liter, cyfr i symboli, aż do odkrycia jedynej prawidłowej kombinacji, która działa.
- Phishing czyli wyłudzanie danych do logowania bezpośrednio od ich właściciela jest realizowane na różne sposoby – od próby uzyskania hasła do konta e-mail po przekazanie danych do logowanie na witrynie bankowe. W większości przypadków oszust używa wiadomości e-mail, która wydaje się pochodzić z oficjalnego źródła, aby uzyskać dane uwierzytelniające.
- Password Cracking to proces polegający na użyciu dedykowanej aplikacji w celu zidentyfikowania nieznanego lub zapomnianego hasła do komputera lub zasobu sieciowego. Narzędzie do łamania haseł odzyskuje hasła przy użyciu różnych technik, w tym np. porównywanie listy słów w celu odgadnięcia hasła czy użycie algorytmu do wielokrotnego odgadywania hasła.
- Atak Man-in-the-Middle – atakujący podsłuchuje komunikację między dwoma celami, a następnie potajemnie przekazuje i prawdopodobnie zmienia wiadomości między dwiema stronami, które uważają, że komunikują się ze sobą bezpośrednio. W tym scenariuszu osoba atakująca z powodzeniem podszywa się pod inny podmiot. Atakujący zna również treść komunikacji i może potencjalnie sfałszować wiadomość. W tym przypadku mamy więc odczynienia zarówno z przechwyceniem hasła, jak i potencjalnie z jego nieautoryzowaną zmianą.
Tak więc części z wymienionych zagrożeń można kompletnie uniknąć odchodząc od stosowania haseł. W przypadku uwierzytelniania opartego na hasłach dane uwierzytelniające podane przez użytkownika są porównywane z danymi przechowywanymi w bazie danych. W niektórych systemach czy aplikacjach bezhasłowych, wykorzystujących np. biometrię, porównanie odbywa się w podobny sposób, ale zamiast haseł porównywane są charakterystyczne cechy użytkownika. Przykładowo – system rejestruje twarz użytkownika, przetwarza zebrane dane i jako wyjściową zwraca dane liczbowe, które następnie porównuje ze zweryfikowanymi danymi znajdującymi się w bazie danych. Taka kombinacja, zarówno niepowtarzalnych danych wejściowych (np. wizerunek, linie papilarne, siatkówka oka), jak i ich przetworzonej przez algorytm formy cyfrowej powoduje, iż biometria pozostaje jednym z najbezpieczniejszych sposobów logowania. Kolejną metodą bezhasłowego zabezpieczenia dostępu jest wykorzystanie 2FA. W takim modelu system wysyła jednorazowy kod dostępu na telefon komórkowy użytkownika za pośrednictwem wiadomości SMS. Użytkownik otrzymuje go i wpisuje w pole logowania. Następnie system porównuje hasło wprowadzone przez użytkownika z tym, które wysłał. Zamiast wiadomości tekstowych coraz popularniejsze są powiadomienia push, wyskakujące na smartfonie. Aby zatwierdzić próbę logowania, musimy je otworzyć i zaakceptować, odblokowując telefon oraz podając ustalony wcześniej PIN.
W maju 2022 Apple, Google i Microsoft ogłosiły plany rozszerzenia obsługi wspólnego standardu logowania bez hasła, stworzonego przez FIDO Alliance i World Wide Web Consortium. Wspierając standard FIDO, ci globalni gracze umożliwią miliardom konsumentów logowanie się do urządzeń i usług online bez konieczności podawania hasła, ale zamiast tego za pomocą np. odcisku palca, wizerunku twarzy lub kodu PIN urządzenia. Chociaż te trzy firmy od dawna wspierają standard logowania bez hasła stworzony przez FIDO Alliance, obecnie użytkownicy nadal muszą logować się w każdej witrynie lub aplikacji na każdym urządzeniu. W ciągu najbliższego roku trzej giganci technologiczni wdrożą standardy logowania FIDO bez hasła w systemach macOS i Safari; Android i Chrome; oraz Windows i Edge. Co oznacza to w praktyce? Przykładowo użytkownik będzie miał możliwość logować się w przeglądarce Google Chrome działającej w systemie Microsoft Windows przy użyciu klucza dostępu na urządzeniu Apple.
Podsumowując, obecnie wprowadzane zmiany i rozwój technologii w zakresie stosowania haseł i metod uwierzytelniania wyglądają bardzo obiecująco, szczególnie z uwagi na fakt rosnącej istotności tematu cyberbezpieczeństwa w dzisiejszym świecie.
Autor: Tomasz Cieślik