Passwordless a biometrické ověření
Co takhle přihlašování bez hesla?
Denně používáme na internetu spoustu účtů na různých webových sránkách. Abychom se k nim přihlásili musíme si většinou pamatovat heslo nebo ho mít někde uložené či napsané. Zároveň se stále někdo snaží naše heslo zjistit a účet nám ukrást. Čím dál rychleji se zlepšují metody a programy k prolomení hesla, proto hesla musí splňovat čím dál více parametrů (obsahovat speciální znak apod.).
V současnosti existují různé způsoby přihlašování bez hesla. Například pomocí otisku prstu nebo bezpečnostního klíče.
Obr. 1: Metody passwordless ověření, zdroj: https://www.sitepoint.com/what-is-passwordless-authentication/
Biometrie
Jedním z oblíbených způsobů přihlášení bez hesla je biometrie. Je založená na využití něčeho, co nám nikdo nemůže vzít a ani to nelze jednoduše napodobit. Je to bezpečnější a často i pohodlnější než používat heslo, ale má to taky své limity.
Tolerance (ne)shody
Na rozdíl od hesla, u něhož je vždy plná shoda (-> povolit přístup), nebo neshoda (-> odepřít přístup), není u biometrického ověření jasné, zda je opravdu ověřovaným ten, který to být má.
Zařízení při nastavení získá srovnávací vzor, který uloží v matematické formě. Při každém pokusu o přihlášení, porovnává vstup s uloženým vzorem. Vstup ale není nikdy dvakrát stejný. Pokaždé přiložíme na senzor prst trochu jinak, naše tělo se mění a podobně. Jak to tedy může dobře fungovat?
Každé ověření má stanavenou toleranci shodnosti, tzn. jak moc odlišný vstup od vzoru vyhodnotí jako správný. Na tomto parametru hodně záleží. Při nastavení příliš nízké hranice jsou považovány za správné sice všechny správné vstupy ale i spousta nesprávných. V opačném případě ověřením neprojde ani spousta správných vstupů, takže i když tam přikládáme svůj prst povolí nám náš mobil přístup třeba až po pěti pokusech.
Živost
Aby nestačila k úspěšnému otevření vašeho telefonu vaše fotka ukázaná na kameru nebo přiložení vašeho prstu, který jste si omylem uřízli na cirkulárce, na senzor, musí být nějakým způsobem ověřeno, že kontrolovaný vzorek je součást žijícího (vašeho) lidského těla.
Senzory otisků prstu většinou kontrolují tep nebo tělesnou teplotu. Při snímání obličeje nebo očí se detekují malé pohyby a analyzují se, zda odpovídají životním funkcím lidského těla.
Náhoda
Vzhledem k tomu, že žádný systém není neomylný, počítá se i u biometrie, že může dojít ke špatné náhodě. Proto je kvůli bezpečnosti občas náhodný pokus vyhodnocen automaticky jako chybný i když splňuje všechny ověřovací parametry.
Bezpečnostní klíče (Tokeny)
Další velmi často používanou formou passwordless ověření jsou bezpečnostní klíče. Existují různé podoby, ale nejčastěji mají USB konektor (vypadají jako flashdisk) nebo se připojují k zařízení pomocí NFC.
Jak to funguje?
Na tokenu je nahraný dlouhý řetězec znaků, tzv. soukomý klíč (private key). Každé zařízení, k němuž se uživatel svým klíčem může přihlásit, má přístup k jeho veřejnému klíči (tj. delší řetezec zanků). Soukromý a veřejný klíč vznikly stejnou funkcí se stejnými vstupními hodnotami, ale jsou odlišné a nedají se ze sebe navzájem vypočítat, protože jejich inverzní funkce je příliš výpočetně náročná.
Pro ověření uživatel připojí klíč k počítači nebo jinému zařízení a klíč vygeneruje pomocí přesně dané matematické funkce podpis, tj. jiný řetězec znaků, z něhož zařízení pomocí veřejného klíče ověří správnost soukromého klíče. Následně povolí či odepře přístup.
Fungují na podobném principu jako RSA šifrování nebo digitální podpisy.
Obr. 2: Bezpečnostní klíč Yubico, zdroj: https://photos5.appleinsider.com/gallery/19923-21058-Security-Key-by-Yubico-in-USB-Port-on-Keychain-xl.jpg
Obr. 3: Příklad soukromého klíče (Private Key), zdroj: Jáchym Tomášek
Obr. 4: Příklad podpisu (Signature), zdroj: Jáchym Tomášek
Jednorázový kód
Třetí často používanou metodou je používání jednoráázových kódů poslaných při pokusu o přístup pomocí SMS nebo do přímo do aplikace dané služby. bezpečnější je šifrované posílání ověřovacích zpráv, ale je k tomu potřeba internet a trvá to déle. Kódy posílané SMS se dají lépe ukrást (např. Man-in-the-Middle Attack).
FIDO Alliance
Sdružení FIDO (Fast IDentity Online) Alliance spojuje firmy a organizace podporující passwordless přihlašování a ukazuje jeho, že je efektivnější a bezpečnější než obyčejné heslo.
Mezi jeho členy patří Google, Microsoft, Apple, Facebook, Yubico, Amazon a sposta dalších.
Obr: Logo FIDO Alliance, zdroj: https://fidoalliance.org/overview/legal/logo-usage/
Certifikace a důvěryhodnost
U jednotlivých nástrojů testuje FIDO Alliance bezpečnostní parametry a certifikuje jejich důvěryhodnost. Podle těchto certifikací určují provozovatelé různých služeb a webů, jaké nástroje na své platformě mohou používat pro ověření na úrovni, jakou potřebují.
FIDO II
Tato úroveň je jedna nejvyšších úrovní používaných v civilní sféře. Nástroj splňující parametry FIDO II musí fungovat na principu asymetrické kryptografie. Klíče s touto certifikací se mouhou napříj´klad používat k přístupu do online portálů státních správ v Evropské unii včetně českého portálu občana (pomocí MojeID, BankID, ...).
Složitější podvržení
Je podstatně složitější obejít passwordless ověření než přihlašování pomocí hesla, ale není to nemožné. Existují různé způsoby, jak to provést, i když je k tomu nejčastěji potřeba samotný uživatel. Většina z nich je založená na sociálním inženýrství a dá se jí docela dobře zabránit třeba dvoufaktorovým ověřením.
Zdroje:
FIDO Alliance. (2023, October 16). FIDO Alliance - Open Authentication Standards More Secure than Passwords. https://fidoalliance.org/
Passwordless authentication | Microsoft Security. (n.d.). https://www.microsoft.com/en-us/security/business/solutions/passwordless-authentication
What is passwordless authentication? (n.d.). Auth0 - Blog. https://auth0.com/blog/what-is-passwordless-authentication/