Hesla jsou už roky považována za nejslabší článek digitální bezpečnosti. Přestože technologický průmysl stále hlasitěji prosazuje modernější alternativu v podobě passkeys, řada největších internetových služeb tuto technologii stále nenabízí. Nový projekt bezpečnostních expertů Scotta Helmeho a Troye Hunta nyní veřejně ukazuje, které známé platformy v tomto směru zaostávají.
Dvojice odborníků spustila portál nazvaný whynopasskeys.com, který sleduje podporu passkeys napříč nejnavštěvovanějšími webovými službami světa. Cílem není pouze informovat uživatele, ale také vyvinout tlak na společnosti, které dosud nepřešly na bezpečnější způsob ověřování identity.
Mohlo by vás zajímat
Čtvrtina největších služeb stále bez podpory
Data zveřejněná při spuštění projektu ukazují překvapivý obrázek. Přibližně 24 % z 25 nejnavštěvovanějších internetových stránek na světě stále nenabízí plnohodnotnou podporu passkeys. Na seznamu se přitom objevují známá jména jako:
- Netflix
- Spotify
- Roblox
- Samsung
Právě přítomnost takto velkých značek je překvapivá. Nejde totiž o malé firmy s omezenými zdroji, ale o společnosti spravující stovky milionů uživatelských účtů. V době, kdy phishingové útoky a úniky přihlašovacích údajů patří mezi nejčastější bezpečnostní hrozby, působí absence moderní autentizace stále obtížněji obhajitelně.
Proč jsou passkeys budoucnost?
Takzvané passkeys fungují trochu jinak než tradiční hesla. Místo zadávání kombinace znaků využívají biometrické ověření zařízení, například otisk prstu nebo rozpoznání obličeje. Přihlašovací údaje přitom nikdy neopouštějí zařízení uživatele v podobě, kterou by bylo možné snadno odcizit.
To výrazně omezuje riziko phishingu, kdy útočníci lákají uživatele na falešné přihlašovací stránky. I kdyby uživatel navštívil podvodný web, passkey se na něm jednoduše nepoužije. Právě proto se na technologii v posledních letech zaměřily společnosti jako Google, Apple nebo Microsoft. Podporu postupně zavádějí také banky, online služby a výrobci hardwaru.
Samsung má polovičaté řešení
Přítomnost Samsungu na seznamu zaostávajících firem je zajímavá zejména proto, že jihokorejský výrobce patří mezi významné podporovatele moderních bezpečnostních standardů. Jeho smartphony, tablety i počítače již umožňují používání passkeys v aplikacích a službách třetích stran.
Právě proto někteří odborníci očekávají, že Samsung bude pod tlakem uživatelů i bezpečnostní komunity, aby podporu rozšířil také do všech vlastních online služeb. V rámci širšího ekosystému Galaxy by to bylo logické, zejména s rostoucím důrazem na ochranu osobních dat a propojení zařízení. Kdy se toho ale dočkáme, není zřejmé.
A zajímavým příkladem je i Instagram. Mateřská společnost Meta již passkeys podporuje u Facebooku i WhatsAppu, ale u Instagramu zůstává implementace omezená. Uživatelé mohou technologii využít pouze v případě, že je jejich účet propojen s Facebookem.