Osoba trzyma smartfon z ekranem prezentującym opcje zabezpieczeń konta Google, z tyłu monitor z podobną stroną autentykacji.
Tech

Google Passkey na Android, iOS oraz Windows. Oto jak aktywować i korzystać z kluczy, które zastąpiły hasła

8 minut czytania
Komentarze

Wiemy już, że Google oficjalnie wprowadził passkeys jako domyślny sposób logowania na konto Google. Dzięki temu nie trzeba będzie pamiętać haseł, a do logowania zostanie wykorzystany biometria. Klucze mają być o wiele bezpieczniejszym sposobem, który uchroni nas przed nieautoryzowanym przejęciem konta. To prawdziwa rewolucja – prawdopodobnie największa od czasów wprowadzenia „zwykłych” biometrycznych zabezpieczeń.

google chce wyeliminować hasła

W odróżnieniu od zwykłych haseł nie są tworzone przez użytkownika i nie można ich nigdzie zapisać tak, by ktoś niepowołany mógł zyskać do nich dostęp. Sprawiają, że nie trzeba polegać na menadżerach haseł. Zastępują hasła parami kluczy kryptograficznych, co znacznie poprawia bezpieczeństwo, dodatkowo zaś każdy klucz jest mocny i nie można go odgadnąć ani ponownie użyć, więc nie stanowi zagrożenia w przypadku ataków phishingowych Jak działają passkeys i jak zacząć z nich korzystać?

Czym są klucze dostępu (Google Passkeys)?

Do tej pory chroniliśmy nasze konta za pomocą haseł, często powiązanych z uwierzytelnianiem dwuskładnikowym (2FA). Oznacza to, że oprócz hasła trzeba uwierzytelnić się poprzez urządzenie. Dlatego gdyby ktoś chciał włamać się na konto, będzie potrzebował nie tylko hasła (które mógł odgadnąć lub złamać), ale również fizycznego dostępu do urządzenia. Ograniczeniem było co najwyżej to, że trzeba osobno wprowadzić hasło i kod 2FA. I tutaj wchodzą klucze dostępu (passkeys).

Passkeys to po prostu używanie urządzenia jako klucza do kont internetowych. Jeśli telefon został ustawiony jako klucz do konta Google, będzie on przechowywał klucz prywatny w telefonie i klucz publiczny na serwerze Google. Więc następnym razem, gdy użytkownik będzie się logować, wystarczy po prostu użyć danych biometrycznych, takich jak skaner linii papilarnych lub odblokowanie twarzy w telefonie, aby się uwierzytelnić. Google zweryfikuje oba klucze i zaloguje użytkownika na konto Google. Google twierdzi, że klucze są na tyle silne, że mogą zastąpić fizyczne klucze bezpieczeństwa (np. YubiKey).

Co to oznacza w praktyce? Klucz prywatny pozostaje zaszyfrowany w telefonie w trybie offline i nigdy nie opuści urządzenia. Dla użytkowników jest to łatwiejsze w konfiguracji i obsłudze w porównaniu do haseł i 2FA, gdyż mogą po prostu zalogować się za pomocą danych biometrycznych lub blokady urządzenia. Oznacza to też, że na konto mogą zalogować się tylko osoby mające dostęp do danego urządzenia. A co się stanie, gdy ktoś ukradnie nam smartfon? Albo chcemy się zalogować, ale nie mamy urządzenia ze sobą?

Jak zalogować się bez telefonu?

Co się stanie, gdy będziemy chcieli zalogować się na konto, ale z różnych przyczyn nie będziemy mieć przy sobie telefonu? Same klucze nie dają takiego rozwiązania, dlatego powinni wkroczyć tu dostawcy usług, oferując alternatywną, bezpieczną opcję logowania. Na przykład jednorazowy, wygasający link, wysłany na skrzynkę e-mail, który umożliwia zalogowanie.

Najpopularniejsze hasła w Google

Co w przypadku kradzieży lub zgubienia urządzenia?

Kradzieże telefonów raczej nie mają na celu pozyskania danych, ale pozyskanie samego urządzenia. Współczesne komórki mają takie zabezpieczenia, że prawie niemożliwe jest, aby nieuprawniony osobnik mógł odblokować telefon czy zalogować się na nasze konta. Oczywiście o ile stosujecie te zabezpieczenia… Po pierwsze bez danych biometrycznych złodzieje nie będą w stanie odblokować telefonu. Po drugie, wszystkie informacje o kluczach są gromadzone za pomocą sprzętowego modułu bezpieczeństwa (TPM, Trusted Platform Module) w sposób, który jest trudny do przeniknięcia lub modyfikacji.

Co z logowaniem? Klucze dostępu mogą być udostępniane na różnych urządzeniach w ramach danego ekosystemu każdej z dużych firm technologicznych (Google, Apple). Czyli teoretycznie oznacza to, że nawet jeśli telefon zostanie zgubiony, to klucze będą bezpiecznie przechowywane w chmurze i można będzie je przywrócić w nowym telefonie. Gorzej, jeśli nie będziecie mieć innego urządzenia przypisanego do konta, z którego zgubione/skradzione urządzenie autoryzowało użytkownika, wtedy może nie być możliwe odzyskanie haseł przechowywanych w chmurze. Dlatego wydaje się, że najlepiej mieć w zapasie drugi telefon czy tablet, który będzie dodatkowym kluczem dostępu.

Co potrzeba do utworzenia Google Passkeys?

Według Google do utworzenia klucza niezbędny jest:

  • laptop lub komputer z systemem Windows 10, macOS Ventura (lub nowszy) lub ChromeOS 109,
  • przeglądarka obsługująca klucze dostępu: Chrome 109, Safari 16 i Edge 109 oraz inne przeglądarki oparte na Chromium, np. Opera,
  • komórka z iOS 16 lub nowszym albo Android 9 (lub nowszym).
hasło passkeys laptop google
Photo by John Schnobrich on Unsplash

Używanie kluczy na urządzeniu mobilnym wiąże się też z koniecznością jego zabezpieczenia — obowiązkowa jest blokada ekranu i najlepiej zabezpieczenie biometryczne. Google wspomina też o włączonym module Bluetooth. Warto dodać, że klucze mogą być używane tylko na kontach osobistych — nie na pracowniczych lub szkolnych.

Ważne jest, że tworząc klucz dostępy wybieramy tę metodę jako preferowaną. Dlatego klucze dostępu trzeba tworzyć wyłącznie na urządzeniach, nad którymi mamy pełną kontrolę. Chodzi o t, że jeśli po utworzeniu klucza na urządzeniu wylogujesz się z konta Google, każda osoba, która może odblokować to urządzenie, będzie mogą z powrotem zalogować się na twoje konto Google. Warto dodać, że klucze mogą być przenoszone między ekosystemami. Niestety, nie synchronizują się one automatycznie pomiędzy chmurami Apple, Microsoft i Google. Trzeba przenosić każdy z nich ręcznie. Oczywiście byłoby łatwiej skopiować cały zestaw kluczy z jednego ekosystemu do drugiego, ale tu chodzi o kwestię bezpieczeństwa.

Jak twierdzi Google: klucze są zapisywane u dostawcy danych logowania zdefiniowanego przez platformę. Niektóre platformy, takie jak Android, umożliwiają użytkownikom wybór wybranego dostawcy (systemu lub menedżera haseł innej firmy) począwszy od Androida 14, który może synchronizować klucze na różnych platformach. Obecnie nie jest obsługiwana obsługa przenoszenia kluczy bezpośrednio między dostawcami platform.

Jak utworzyć klucz na smartfonie z Androidem?

Aby utworzyć nowy sposób logowania do Google, należy przejść do ustawień konta i zakładki Bezpieczeństwo, albo przejść na stronę g.co/passkey — wystarczy wtedy wykonywać to, co Google sugeruje na kolejnych oknach.

Utworzenie klucza spowoduje, że zostanie on zapisany na używanym właśnie urządzeniu i będzie ono wykorzystywane w przypadku, gdy użytkownik będzie chciał się zalogować na konto Google w przyszłości.

Jak utworzyć klucz w przeglądarce Chrome w Windowsie?

Przejście na stronę g.co/passkey w przeglądarce Chrome uruchamia zakładkę, za pomocą której można utworzyć nowy klucz do konta, na którym zalogowany jest użytkownik. Do odblokowania dostępu wykorzystywane jest tu rozpoznawanie twarzy w Windows Hello. Cały proces zajmuje dosłownie chwilę i klucz jest gotowy.

Jak utworzyć klucz w iOS na iPhone’ie?

Do tego samego konta, na które byłam zalogowana w przeglądarce Chrome, dodałam jeszcze jeden klucz, ale tym razem wykorzystując do tego iPhone’a. Tutaj jako zabezpieczenie biometryczne wykorzystywany jest FaceID, a klucz przechowywany w pęku kluczy iCloud.

Ponieważ utworzyłam dwa klucze dla jednego konta — jeden z laptopa z Windows Hello, drugi z iPhone’a, podczas logowania może pojawić się monit o wybranie klucza — jeśli wybrany zostanie Windows Hello, laptop wykorzysta kamerę do autoryzacji, natomiast, jeśli wybrany zostanie iPhone, wtedy wyświetlony zostanie kod QR, który musi zostać sczytany przez urządzenie z kluczem i to jego identyfikacja mojej osoby posłuży do zalogowania mnie na konto Google.

Jak usunąć ten sposób logowania?

Może być tak, że passkey nie będzie dla was, z jakichś względów, najlepszym rozwiązaniem. Wtedy Google daje możliwość wyłączenia go.

Po pierwsze trzeba usunąć klucz jako jedną z metod logowania. W tym celu należy wejść w zakładkę Bezpieczeństwo na swoim koncie, odszukać „Sposób logowania się w Google” i przejść do kluczy dostępu. Po autoryzacji pojawią się klucze i wystarczy kliknąć na X przy ty, który chcemy usunąć.

Aby wymusić tradycyjne hasło można też wejść w ustawienia konta Google, w zakładkę Bezpieczeństwo i odznaczyć pole „Pomiń hasło, gdy to możliwe”.

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Motyw