Tehnologii
Ce este o passkey, cum funcționează și cum scapi de parole
Passkey-urile promit autentificare fără parole și rezistentă la phishing. Vezi ce este o passkey, cum funcționează, prin ce diferă de o parolă și de un cod SMS, și ce limite are deocamdată.
Tot mai multe servicii, de la Google și Microsoft la Apple și PayPal, îți propun să te loghezi fără parolă, cu o passkey. Suni ciudat: cum să intri în cont fără parolă și totuși să fie mai sigur? Răspunsul stă într-o idee veche din criptografie, dar abia acum ușor de folosit de oricine, cu amprenta sau cu fața.
Vei vedea ce este o passkey, cum funcționează cheia publică și cea privată, de ce e rezistentă la phishing, prin ce diferă de o parolă și de un cod SMS și ce limite are deocamdată. Pe înțelesul tău, fără jargon inutil.
Ce este o passkey
O passkey este o metodă de autentificare care înlocuiește parola, construită pe standardele FIDO. La crearea ei, dispozitivul tău generează o pereche de chei: una publică, pe care o păstrează site-ul, și una privată, care rămâne pe dispozitivul tău și nu pleacă de acolo. Te autentifici deblocând cheia privată cu amprenta, cu fața sau cu codul telefonului. Site-ul nu primește niciun secret pe care cineva să îl poată fura sau refolosi.
Cum funcționează, pe scurt
Logica e simplă, chiar dacă numele sună tehnic. Cheia publică, păstrată de site, nu e un secret: cu ea nu se poate intra în cont. Pentru logare, site-ul trimite o provocare, iar dispozitivul tău o semnează cu cheia privată, după ce o deblochezi cu biometria sau codul. Site-ul verifică semnătura cu cheia publică și te lasă să intri. Din cheia publică nu se poate deduce cheia privată, iar biometria rămâne pe dispozitiv: site-ul nu îți primește niciodată amprenta.
De ce e rezistentă la phishing
Aici e marele avantaj. O passkey e legată de adresa site-ului real și funcționează doar pe el. Pe o pagină falsă, oricât de bine ar imita originalul, passkey-ul pur și simplu nu se activează, deci nu ai cum să îl dai din greșeală unui atacator. În plus, nu se transmite nicio parolă care să poată fi interceptată sau scursă într-o breșă, fiindcă pe server stă doar cheia publică, inutilă singură. Tocmai de aceea CISA consideră autentificarea de tip FIDO singura larg disponibilă cu adevărat rezistentă la phishing.
Passkey, parolă sau cod SMS: care e diferența
Parola
Un secret pe care îl poți tasta din greșeală pe un site fals și care se poate scurge dintr-o breșă. Trebuie ținut minte și protejat.
Codul SMS (al doilea factor)
Mai bun decât doar parola, dar poate fi interceptat sau cerut prin phishing, iar numărul poate fi furat printr-un SIM swap.
Passkey
Nu un secret transmis, ci o cheie criptografică legată de dispozitiv și de site. Rezistentă la phishing și, în plus, mai comodă: o deblochezi cu amprenta sau cu fața.
Un detaliu important: o passkey nu e tot una cu un cod SMS. Ba mai mult, ea poate înlocui în același timp și parola, și al doilea factor, fiindcă e prin construcție multifactor: ceva ce ai, dispozitivul cu cheia privată, plus ceva ce ești sau știi, biometria ori codul care o deblochează. Dacă vrei să vezi cum se compară cu metodele clasice de 2FA, citește ghidul despre autentificarea în doi pași.
Sincronizare, recuperare și ce servicii suportă
O întrebare firească: ce se întâmplă dacă pierd telefonul? De obicei nu pierzi nimic. Passkey-urile se pot sincroniza criptat între dispozitivele tale prin iCloud Keychain la Apple, prin Google Password Manager sau printr-un manager de parole, și se restaurează pe un telefon nou după ce te autentifici în contul respectiv. Excepția sunt passkey-urile legate strict de un singur dispozitiv, cum sunt cheile de securitate hardware, unde e bine să ai și o cheie de rezervă. Poți te loga și de pe alt dispozitiv apropiat, scanând un cod QR și confirmând pe telefon prin Bluetooth. Passkey-urile sunt deja suportate de Google, Apple, Microsoft, Amazon, PayPal, eBay, GitHub și multe altele.
Ce limite are deocamdată
Passkey-urile sunt viitorul, dar tranziția e în curs. Nu toate site-urile le suportă încă, așa că pentru o vreme le vei folosi alături de parole, nu în locul lor peste tot. Portabilitatea între ecosisteme diferite, adică mutarea passkey-urilor de la Apple la Google sau invers, se îmbunătățește, dar nu e încă perfectă. Iar recuperarea depinde de furnizorul care îți sincronizează cheile, deci merită să ai o metodă de rezervă, mai ales dacă te bazezi pe o cheie hardware unică.
Mituri despre passkey
Mit: passkey e doar altă parolă
Fals. E o pereche de chei criptografice; pe server nu stă niciun secret refolosibil, iar passkey-ul e legat de site și rezistent la phishing.
Mit: dacă îmi pierd telefonul, pierd totul
Fals, cu o nuanță. Passkey-urile sincronizate se restaurează pe un dispozitiv nou. Doar cheile legate de un singur dispozitiv cer o copie de rezervă.
Mit: site-ul îmi stochează amprenta
Fals. Biometria nu părăsește niciodată dispozitivul; site-ul primește doar confirmarea că deblocarea locală a reușit.
Cum începi cu passkey-urile
Activează o passkey întâi pe conturile importante care o suportă, mai ales pe contul Google, Apple sau Microsoft cu care îți recuperezi restul. Până când passkey-urile ajung peste tot, ține în continuare parole unice într-un manager de parole și autentificarea în doi pași activată acolo unde încă nu există passkey. Așa închizi și ușa deschisă de credential stuffing.
Vrei să treci firma spre autentificare fără parole
Întrebări frecvente
Ce este o passkey?
Este o metodă de autentificare care înlocuiește parola, bazată pe standardele FIDO. La crearea ei, dispozitivul tău generează o pereche de chei: una publică, păstrată de site, și una privată, care rămâne pe dispozitiv. Te autentifici deblocând cheia privată cu amprenta, fața sau codul telefonului. Site-ul nu primește niciun secret care să poată fi furat sau refolosit.
De ce e o passkey rezistentă la phishing?
Pentru că passkey-ul e legat de adresa site-ului real și funcționează doar acolo. Pe o pagină falsă, pur și simplu nu se activează, așa că nu ai cum să îl dai din greșeală unui atacator. În plus, nu se transmite nicio parolă care să fie interceptată sau scursă într-o breșă. Tocmai de asta CISA consideră autentificarea de tip FIDO singura larg disponibilă cu adevărat rezistentă la phishing.
Prin ce diferă o passkey de o parolă sau de un cod SMS?
O parolă e un secret pe care îl poți scrie din greșeală pe un site fals sau care se poate scurge dintr-o breșă. Un cod SMS poate fi interceptat sau cerut prin phishing. O passkey nu e un secret transmis, ci o cheie criptografică legată de dispozitiv și de site, deci e și mai sigură, și mai comodă. O passkey poate înlocui în același timp și parola, și al doilea factor.
Dacă îmi pierd telefonul, pierd accesul la conturi?
De obicei nu. Passkey-urile se pot sincroniza criptat între dispozitivele tale prin iCloud Keychain (Apple), Google Password Manager sau un manager de parole, și se restaurează pe un telefon nou. Excepția sunt passkey-urile legate strict de un singur dispozitiv, cum sunt cheile hardware, unde e bine să ai o cheie de rezervă. Biometria nu părăsește niciodată dispozitivul; site-ul nu îți stochează amprenta.
Citește și
GhiduriAutentificarea în doi pași (2FA): ce e și cum o activezi
Parola singură nu mai ajunge. Vezi ce este autentificarea în doi pași, de ce codul prin SMS e cea mai slabă variantă, ce alternativă e mai sigură și cum activezi 2FA pe conturile importante, pas cu pas.
GhiduriManager de parole: ce este și cum îl folosești
Ții minte o singură parolă, iar restul le generează și le păstrează un seif criptat. Vezi cum funcționează un manager de parole, dacă e sigur după breșa LastPass și cum începi corect.
AmenințăriCredential stuffing: ce este și cum îți aperi conturile
Cum transformă atacatorii o listă de parole scurse într-un val de logări automate, și ce oprește atacul înainte să-ți compromită clienții.