Da zaboravimo (na) lozinke

Dolazi li kraj ere lozinki? Iako su sa nama još od prvih dana Interneta, lozinke se smatraju glavnim krivcem za nebezbedne sisteme i hakerske upade. Čitav svet radi na tome da se ukine potreba za lozinkama, i deluje da smo blizu tome da povećamo sigurnost i ujedno rasteretimo svoju memoriju.

Bez obzira na to da li ih čuvate u svom Web browser-u, specijalizovanom programu, na nekom papiriću zalepljenom za monitor ili u svojoj glavi, lozinke danas predstavljaju „nužno zlo“. Problem je samo u tome što njihova upotreba često može da bude frustrirajuća. Šifre koje danas upotrebljavamo uglavnom su komplikovane za pamćenje i upisivanje, a njihova zaštita nije toliko dobra koliko se obično misli. Činjenica da mnogi koriste iste šifre za pristup različitim uređajima, sajtovima ili aplikacijama olakšava posao zlonamernim korisnicima. Isto tako, često se koriste lako pamtljive i kratke šifre, koje jednako brzo mogu i da se otkriju putem različitih algoritama. Ne smemo da zaboravimo ni sve češće situacije da zbog hakerskih napada, kredencijali korisnika s mnogih sajtova završe u rukama hakera ili bilo koga ko odluči da ih kupi na Dark Web-u.

Sve su ređi korisnici koji do sada nisu primili nijednu poruku u kojoj ih neko obaveštava da su lozinke na njihovom sajtu kompromitovane i da bi bilo dobro da promene pristupne podatke. Ako i spadate u takvu grupu, onda vam se sigurno desilo da niste mogli da se setite neke lozinke, pa ste morali da prođete kroz komplikovane procedure za njihovu promenu, kao i „maltretiranje“ platforme koja insistira da šifre budu određene minimalne dužine, da sadrže velike i male karaktere, specijalne znake…

Pogodi najčešći password. Nagoveštaj: Upravo smo vam ga rekli

Dvofaktorska autentifikacija (2FA) donela je dodatni nivo bezbednosti, ali je i zakomplikovala stvar. Kod nje je potrebno sačekati verifikacioni kod koji često ima vremenski ograničeno trajanje ili upotrebiti token za generisanje kodova… To znači da sada, čak i kada radite na računaru, morate pored sebe da imate i telefon ili neki generator tokena, što samo usporava proces pristupa i povećava nervozu.

Može li čitava procedura da bude brža, lakša i pouzdanija? Naravno da može. Ona je predstavljena u vidu pristupnih ključeva (passkeys). Pristupni ključevi predstavljaju ogroman korak napred u smislu bezbednosti na mreži, jer su sigurniji, brži i praktičniji od lozinki, pri čemu nema potrebe da se bilo šta kuca ili pamti. To je nova tehnologija koja ima veliki potencijal i predstavlja budućnost pristupa sajtovima i
aplikacijama. Kada jednom pređete na pristupne ključeve, shvatićete kakvo je mučenje bila upotreba klasičnih lozinki.

Šta je pristupni ključ (passkey)?

Passkey tehnologija je novo sredstvo za obezbeđenje naloga na sajtovima, u aplikacijama i na online servisima, bez upotrebe klasične lozinke. Na prvi pogled slična je dvofaktorskoj autentifikaciji koja obično zahteva da unesete verifikacioni kod da biste se prijavili na naloge, ali je lakša za upotrebu i ne zahteva da pamtite ili unosite bilo kakve detalje za prijavu.

Pristupni ključevi omogućavaju prijavu na sajtove i aplikacije na isti način na koji, recimo, otključavate svoj telefon – skeniranjem otiska prsta, prepoznavanjem lica ili unosom PIN koda. A pošto se ove informacije čuvaju na vašem uređaju a ne u cloud-u, pristupni ključevi su mnogo bezbedniji i zgodniji za upotrebu od lozinki.

Ovde je logično postaviti pitanje – koliko su bezbedniji? Uobičajene šifre se prilikom upisa ne vide na ekranu jer su „skrivene iza zvezdica“, ali one i dalje moraju da se upisuju klasičnim tekstualnim unosom. Kada se kreira nalog, Web sajt ili aplikacija šifruju ovaj tekst upotrebom hash funkcije. Svaki naredni put kada se prijavite na lokaciju ili aplikaciju, upoređuje se sačuvani hash s lozinkom koja je uneta. Ukoliko se ta dva podatka poklapaju, pristup je odobren, dok se u slučaju nepoklapanja pristup odbija. Slaba tačka ovog pristupa je što postoji realna opasnost da bi hakeri, ukoliko se dokopaju hash podataka, mogli da ih dešifruju i iskoriste lozinke za pristup korisničkim nalozima. Takve razbijene šifre najčešće se prodaju na Dark Web-u.

Pristupni ključevi koriste end-to-end enkripciju, koja se zove kriptografija javnog ključa (Public Key Cryptography). Svaki pristupni ključ sastoji se od para ključeva – javnog i privatnog – koji su međusobno povezani. Javni ključ čuvaju Web sajtovi ili aplikacija od trenutka kreiranja novog naloga, dok privatni ključ ostaje na vašem uređaju i nikada se ne deli. Proces prijave teče tako što vaš uređaj šalje zahtev sajtu ili aplikaciji, koja zatim vraća neku vrstu zadatka koji se može rešiti samo pomoću odgovarajućeg privatnog ključa.

Dvofaktorska autentifikacija (2FA) donela je dodatni nivo bezbednosti, ali je i zakomplikovala život. Može li čitava procedura da bude brža, lakša i pouzdanija? Rešenje su pristupni ključevi, passkeys

Pošto su pristupni ključevi vezani za određene Web sajtove i aplikacije, oni predstavljaju dobru zaštitu od phishing prevara, koje pokušavaju da „poture“ lažne sajtove i aplikacije. Online se čuva samo javni ključ, koji je hakerima beskorisan ukoliko nemaju i privatni ključ. Ovo objašnjenje možda deluje komplikovano, ali korisnik to ne vidi – za njega se sve obavlja automatski i trenutno.

Upotreba pristupnih ključeva

Postoji više metoda upotrebe pristupnih ključeva, a najčešće su upotrebljavani biometrijski, koji podrazumevaju skeniranje lica i otisaka prstiju. Passkey radi na različitim uređajima i različitim operativnim sistemima. To znači da možete da se logujete na Windows PC preko Android ili iPhone telefona upotrebom biometrijskih metoda, aktiviranjem PIN-a ili skeniranjem QR koda. Nalog se autentifikuje preko Bluetooth konekcije koja je bezbednija od Wi-Fi-a, čime se smanjuju šanse da hakeri presretnu komunikaciju.

Pristupni ključevi su dostupni i u fizičkom obliku, na bezbednim USB flash diskovima. Treba koristiti kjučeve zasnovane na FIDO2 standardu autentifikacije. FIDO je skraćenica od Fast Identity Authentication, a FIDO2 je druga generacija te tehnologije. Razvila ih je FIDO Alliance, s ciljem da „reši problem s lozinkama“. Svi pristupni ključevi su bazirani na FIDO standardima i upravo to im omogućava da rade na različitim uređajima i da ih upotrebljavaju sve FIDO sertifikovane kompanije.

Passkey na Windows-u

Microsoft je, u okviru Windows 11 22H2 Moment 4 nadogradnje, objavljene u septembru, implementirao podršku za pristupne ključeve. Opcija za to smeštena je u podešavanjima. U opciji Settings potrebno je odabrati Accounts, a zatim u Account settings sekciji pronaći Passkey settings.

Korisnici Windows-a 10 možda nemaju pravi passkey, ali imaju nešto vrlo slično tome. Passkey je suštinski proširenje Windows Hello opcije, koja nudi prijavljivanje na sistem bez lozinke, pomoću otiska prsta, skeniranja lica, PIN-a ili fizičkog bezbednosnog ključa. Razlika je u tome što Windows 11 omogućava da sami kreirate i automatski popunjavate pristupne ključeve za podržane Web sajtove i aplikacije, dok se Windows Hello prvenstveno koristi za prijavu na računar i Microsoft nalog.

Kada se registrujete, prijavite na sajt ili otvorite aplikaciju koja podržava pristupne ključeve, Windows 11 će vam ponuditi da sačuvate passkey koristeći podrazumevanu Hello metodu – u zavisnosti od toga biće vam neophodna kompatibilna Web kamera ili skener otiska prsta. Takođe, možete da izaberete opciju Use another device kako biste snimili passkey na Android ili iOS uređaj. Tu onda možete da upotrebite opciju Sign in with a passkey za pristup sajtu ili aplikaciji.

U Windows-u 10 moći ćete da se prijavljujete na sajtove s pristupnim ključevima upotrebom opcija koje pruža mobilni uređaj, ali nećete moći da upravljate njima na vašem računaru preko Windows Hello opcije. Imate mogućnost da sačuvate pristupne ključeve na (hardverskom) bezbednosnom USB stick-u.

Android uređaji

Android 14, koji se pojavio sredinom oktobra prošle godine, doneo je poboljšanu podršku za pristupne ključeve. On sada omogućava da ih kreiraju i čuvaju različite aplikacije, kao što su password manager-i. Problem je „raširenost“ ovog operativnog sistema, jer će proći još neko vreme dok ne bude prisutan na većem broju uređaja. Uostalom, znamo da često prođe dosta vremena pre nego što proizvođači telefona i tableta pripreme ovaj OS za svoje postojeće modele.

Ukoliko vaš telefon još uvek nije dobio Android 14 ažuriranje, možete da koristite pristupne ključeve preko Chrome-a, kao i da ih upotrebljavate za logovanje na vaš Google nalog. Preduslov je da na svom uređaju imate aktiviranu opciju za zaključavanje ekrana.

Kada u Chrome-u posetite sajt koji podržava passkey i unesete svoje korisničko ime, pojaviće se opcija za kreiranje pristupnog ključa. Kliknite na nju, a zatim koristite željeni metod zaključavanja ekrana (otisak prsta, otključavanje licem, PIN ili geometrijski oblik) da biste zaštitili svoj nalog. Ključevi će se automatski sačuvati u Google Password Manager-u unutar Chrome-a i sinhronizovati sa svim uređajima na kojima ste prijavljeni u ovom browser-u. To će vam omogućiti da upotrebite svoj telefon ili tablet za logovanje na sajtove kojima pristupate preko računara, skeniranjem QR koda kamerom uređaja. Ova opcija može i da se isključi, pa da se naredni put prijava završi jednostavnim dodirom notifikacione poruke.

Prilikom sledeće prijave na Google nalog, trebalo bi da dobijete opciju Simplify your sign-in. Ukoliko ona nije na raspolaganju, idite na https://www.google.com/account/about/passkeys/, kliknite na Get passkeys opciju i logujte se u svoj Google nalog. Potvrdite svoj passkey bezbednosni metod i selektuje opciju Use passkeys. Nakon toga će opcija Skip password when possible biti uključena u vašim podešavanjima naloga.

iOS uređaji

Apple je passkey podršku uveo u iOS 16 i iPad OS 16 verzijama operativnih sistema, a poboljšao je izdavanjem iOS 17 i iPad OS17. Svi telefoni i tableti koji rade na ovim verzijama iOS-a mogu da koriste pristupne ključeve koji su smešteni u iCloud Keychain i dostupni su na svim uređajima na kojima ste prijavljeni preko Apple ID-ja.

Za upotrebu pristupnih ključeva na iPhone i iPad uređajima neophodno je da se prethodno uključi dvofaktorska autentifikacija. Iako je passkey alternativa za tradicionalni 2FA, on zahteva da se uređaj podesi kao trusted. Da biste to uradili, otvorite Settings, kliknite na svoje ime i odaberite Sign-In & Security opciju. Zatim selektujte Turn On Two-Factor Authentiation, kliknite na Continue i ispratite dalja uputstva. Kada završite taj proces, vaš uređaj će biti označen kao trusted.

Da biste sinhronizovali pristupne ključeve na različitim uređajima, potrebno je još da aktivirate iCloud Keychain. Dodirnite svoje ime u podešavanjima (Settings), selektujte iCloud, pa Password and Keychain i uključite iCloud Keychain. Da biste to potvrdili, biće potrebno da potvrdite svoj Apple ID. Sada je sve spremno za kreiranje i čuvanje pristupnih ključeva za Web sajtove i aplikacije koji ih podržavaju. U zavisnosti od usluge proces se razlikuje, ali bi opcije za definisanje passkey-ja trebalo da budu u delu za podešavanje naloga. To će upotrebiti predefinisani metod za otključavanje iPhone-a ili iPad-a, kao što su Touch ID, Face ID ili PIN, za pristup željenoj aplikaciji ili lokaciji. Potrebno je da se upiše korisničko ime i upotrebi definisani passkey metod za verifikovanje identiteta. Svi pristupni ključevi koje kreirate čuvaće se u Password sekciji, unutar Settings-a.

Ukoliko želite da koristite passkey za prijavu na uređaje koji nisu povezani sa Apple ID-jem, kao što je Windows računar, unesite svoje korisničko ime i nakon toga odaberite Other option, Passkey from nearby device ili neku opciju sličnog imena. Pratite uputstva za prikaz QR koda, koji možete da skenirate svojim telefonom ili tabletom. Nakon toga, lozinka sačuvana u iCloud Keychain-u će automatski završiti proces logovanja.

Pristupni ključevi su dostupni i u fizičkom obliku, na bezbednim USB flash diskovima. Treba koristiti kjučeve zasnovane na FIDO2 standardu autentifikacije

Apple je svojim korisnicima omogućio i da bezbedno dele svoje passkey-jeve s drugim ljudima. To znači odobravanje pristupa proverenim prijateljima i familiji ličnom nalogu za odabrane sajtove ili aplikacije, bez potrebe da im se daje šifra. Deljenje se obavlja preko AirDrop-a, što znači i da primalac i pošiljalac passkey-ja moraju da poseduju iPhone ili iPad, kao i da međusobno budu ubačeni u kontakte sa e-mail adresama koje koriste za iCloud. Dozvoljeno je čak i kreiranje grupa čijim članovima se može odjednom poslati pristupni ključ.

Gde možete da koristite passkey?

Passkey je nova tehnologija koja još nije dovoljno rasprostranjena, ali iz dana u dan se sve šire primenjuje. Kada su browser-i u pitanju, Chrome već dozvoljava upotrebu pristupnih ključeva i u desktop i u mobilnoj varijanti. Edge takođe nudi tu funkciju – kada posetite sajt koji podržava ovu tehnologiju, kliknite na Sign in with a passkey opciju.

Ukoliko ste prešli na Windows 11, možete da snimite svoje pristupne ključeve u Windows Hello i da ih automatski primenite kada posetite podržani Web sajt. Opcija Autofill passwords and paskeys je dostupna u developer verziji Edge-a, pa će verovatno uskoro biti aktivna i u stabilnoj verziji, nadamo se i za Windows 10 i Windows 11.

Firefox nema punu podršku za passkey pristup, ali omogućava logovanje putem USB bezbednosnog ključa. Ta opcija je dostupna kada pokušate da koristite passkey na podržanim sajtovima. Brave i Vivaldi su zasnovani na istom Chromium-u kao Chrome i Edge, pa i oni nude podršku za pristupne ključeve.
S obzirom na to da su pristupni ključevi treba da zamena lozinke, mnogi password manager-i već nude podršku za njih. Među njima su NordPass Password Manager, Rival, 1Password…

IM i aplikacije za društvene mreže takođe podržavaju passkey. Najpoznatije aplikacije u toj grupi su WhatsApp, TikTok, X, LinkedIn… Zatim, tu su poznate online prodavnice, kao što su Amazon i eBay, servisi kao što su PayPal ili Uber. Među softverskim kompanijama tu je (naravno) Microsoft koji, osim za Windows, podržava passkey i za Outlook OneDrive i Microsoft 365 aplikacije, Adobe za svoje online servise, NVIDIA, Yahoo…

Da li je vreme za smenu tehnologija?

Pristupni ključevi su budućnost autentifikacije i prijavljivanja, ali još nije nastupilo njihovo vreme. Proći će još dosta vremena pre nego što zastare klasični načini pristupa, upotrebom lozinki. Sve dok passkey ne postane dominantan način prijave i dok tu tehnologiju ne prihvate i implementiraju sve kompanije, nećemo moći da kažemo da je vreme pregazilo lozinke. Google-ovo prihvatanje je ogroman korak napred za passkey, jer će to sigurno dati veliki zamajac podršci ove tehnologije, ali ne treba očekivati da će ona smeniti lozinke barem još nekoliko godina.

Passkey je nova tehnologija koja još nije dovoljno rasprostranjena, ali iz dana u dan se sve šire primenjuje

Dashline, kompanija koja stoji iza servisa za objedinjavanje lozinki na jednom mestu radi lakše upotrebe, napravila je istraživanje na temu jednostavnosti prelaska na passkey. Ispostavilo se da je taj proces mnogo jednostavniji za korisnike od kreiranja lozinki. Po njihovom istraživanju, čak 92 procenta zahteva za kreiranje passkey-jeva završeno je uspešno, naspram (samo) 54 procenta uspešnih kreiranja tradicionalnih lozinki. Drugim rečima, svi atributi su na strani pristupnih ključeva – jednostavnost, praktičnost i bezbednost, što ovoj tehnologiji daje realne šanse za dugoročni uspeh.

Lopta je sada prebačena na stranu programera i vlasnika Web sajtova, na kojima je da implementiraju ovu tehnologiju u svoje proizvode. Tek kada oni to masovno prihvate, biće realno očekivati i da se korisnici masovno preorijentišu na njih.