EvoEX
← Alle ArtikelNeuigkeiten

Auf Wiedersehen altes 2FA. Die PASSKEY-Ära beginnt!

10.07.20265 min Lesezeit
Auf Wiedersehen altes 2FA. Die PASSKEY-Ära beginnt!

Codes, die Sie vom Telefon abschreiben müssen, gehören bald der Vergangenheit an. Genauso wie Passwörter, die Sie sich merken müssen, und SMS, auf die Sie warten. Im EvoEX Portal beginnt eine neue Ära – und deren Grundlage ist Passkey.

Ja esi kādreiz pieslēdzies savam kontam un pēc paroles ievadīšanas devies raustīt telefonu, lai atvērtu Google Authenticator un paspētu nolasīt sešciparu kodu, pirms tas nomainās, tu zini, cik neērts var būt "drošs" pieteikšanās process. Tieši tāpēc EvoEX portālā ieviešam jaunu autentifikācijas veidu, kas šo procesu ne tikai vienkāršo, bet arī padara ievērojami drošāku par visu, kas bijis līdz šim.

Kāpēc mēs to visu darām

Passkey ir tikai viena daļa no lielākas ainas. EvoEX ir izveidojis savu portālu tieši saviem klientiem, ar savu mākslīgā intelekta bāzi pamatā, un mērķis ir vienkāršs: viss, kas klientam nepieciešams, atrodas vienuviet, un pats process ap to notiek pēc iespējas mazāk uzkrītoši.

Portāls jau šobrīd ir ērti lietojams mūsu darbiniekiem, un pavisam drīz tas kļūs pieejams arī klientiem. Esam veiksmīgi aizvadījuši demo lietotāju testus un uzlabojuši sistēmu, cik vien tālu šajā posmā bija iespējams. Protams, arī klientiem būs iespēja nepārtraukti ietekmēt turpmākās izmaiņas, taču pats portāls jau šobrīd strādā autonomi un saprot, kas tam ir jādara.

Sistēma ir sinhronizēta ar banku un tajā ir iebūvēts savs grāmatvedības modulis, kas automatizē maksājumu apstrādi, atgādinājumus, līgumus un dokumentu apriti. Klientam vairs nav jāmeklē informācija dažādās vietās, viss ir vienuviet.

Pašlaik aktīvi strādājam pie maksājumu sistēmas integrācijas. Mērķis ir, lai pie rēķina būtu poga "Apmaksāt", kas klientam atver banku ar jau ievadītiem visiem nepieciešamajiem datiem, un atliek tikai to apstiprināt ar Smart-ID vai citu autentifikācijas metodi atkarībā no konkrētās bankas. Nekādas datu pārkopēšanas un rēķinu numuru ievadīšanas ar roku vairs nebūs.

Papildus tam portālā ir integrēts arī sarunu robots, kas izveidots verifikācijas zvanu laikā, un vēl vairāki risinājumi ir procesā. Esam neliels un jauns IT uzņēmums, bet tieši tāpēc varam sev atļauties domāt soli tālāk par daudzām lielākām nozares kompānijām, jo mums nav jāmaina veci procesi, mēs tos veidojam no jauna.

Un viens no soļiem šajā virzienā ir tieši passkey. Lūk, kā un kāpēc mēs to ieviešam.

Kā pieteikšanās darbojas šobrīd

Lielākajai daļai portālu, tostarp arī mūsējam, pieteikšanās process līdz šim balstījās uz diviem soļiem. Pirmais ir parole, otrais parasti ir vienreizējs kods jeb OTP (One-Time Password).

Šo kodu var saņemt divos veidos:

  • Ar SMS – portāls atsūta ciparu kombināciju uz telefonu.

  • Ar autentifikatora lietotni – piemēram, Google Authenticator vai Microsoft Authenticator, kas telefonā ģenerē jaunu kodu ik pēc 30 sekundēm.

Šis modelis ir zināms kā divu faktoru autentifikācija (2FA), un ilgu laiku tas tika uzskatīts par zelta standartu. Problēma ir tāda, ka arī tas nav neievainojams.

Kāpēc OTP vairs nav pietiekami drošs

Kods pats par sevi ir tikai virkne ciparu. Tas nozīmē, ka to var nozagt tāpat kā jebkuru citu informāciju. Krāpnieki bieži izveido viltus mājaslapas, kas izskatās gluži kā oriģinālais portāls (piemēram, viltus bankas pieteikšanās lapa), un tur lietotājs pats, nenojaušot neko sliktu, ievada gan paroli, gan to pašu OTP kodu. Krāpnieks šo kodu tajā pašā mirklī izmanto, lai pieteiktos īstajā sistēmā.

Citiem vārdiem, OTP aizsargā pret to, ka kāds vienkārši uzmin tavu paroli, bet neaizsargā pret pikšķerēšanu (phishing), jo pats lietotājs kodu ievada labprātīgi, tikai nepareizajā vietā.

Kas ir Passkey un kāpēc tas ir cits līmenis

Passkey ir jauns pieteikšanās veids, kas pilnībā aizstāj gan paroli, gan OTP kodu. Tā vietā, lai atcerētos vai ievadītu jebko, lietotājs vienkārši apstiprina savu identitāti ar sava telefona vai datora jau iebūvētajiem rīkiem, piemēram, sejas atpazīšanu, pirkstu nospiedumu vai ierīces PIN kodu.

Tehniski katram passkey ir divas daļas: publiskā atslēga, kas glabājas portāla serverī, un privātā atslēga, kas nekad nepamet lietotāja ierīci. Šīs divas daļas kopā strādā tikai vienai konkrētai mājaslapai, un tieši tas maina visu spēli.

Passkey ir pilnībā drošs pret pikšķerēšanu

Krāpnieku iemīļotais triks, viltus mājaslapa, kas atdarina īsto, pret passkey vienkārši nestrādā. Passkey ir kriptogrāfiski piesaistīts konkrētam domēnam. Ja lietotājs nokļūst uz viltus lapas, kuras adrese kaut minimāli atšķiras no īstās, ierīce to uzreiz atpazīst un passkey pieteikšanās variantu pat nepiedāvā. Fiziski nav iespējams "piesaistīt" savu passkey nepareizajai vietnei.

Nav vairs ko nozagt

Tradicionālās paroles glabājas portāla datubāzē, tāpēc uzbrukuma gadījumā, kad hakeri tiek klāt datubāzei, tiek nozagtas visu lietotāju paroles uzreiz. Ar passkey serverī glabājas tikai publiskā atslēga, kas pati par sevi ir bezvērtīga jebkuram uzbrucējam. Privātā atslēga paliek tikai un vienīgi lietotāja telefonā vai datorā. Pat visdrastiskākā servera uzlaušana neatklās nevienu lietotāja piekļuves datu.

Cilvēciskā faktora izslēgšana

Cik reižu esi dzirdējis par kādu, kurš izmanto vienu un to pašu vājo paroli piecos dažādos kontos? Passkey šo problēmu atrisina automātiski. Katrai vietnei tiek izveidota unikāla, garumā un sarežģītībā nepārspējama atslēga, kuru lietotājs pat neredz un tāpēc nevar ne aizmirst, ne nejauši kādam izpaudīt.

Vai passkey ir arī vājās vietas?

Godīgi runājot, jā, vismaz teorētiski. Lielākā daļa passkey tiek sinhronizēti caur lietotāja Apple iCloud vai Google kontu, lai, mainot telefonu, piekļuve nepazustu. Tas nozīmē, ka passkey drošība ir tikpat stipra, cik stiprs ir pats lietotāja Google vai Apple konts.

Otra iespējamā vājā vieta ir konta atgūšanas process. Ja lietotājs kādreiz zaudē piekļuvi visām savām ierīcēm, portālam jāpiedāvā kāds atgūšanas mehānisms, piemēram, saite uz e-pastu. Tieši tāpēc arī pašā portāla pusē konta atgūšanas process tiek veidots ar tikpat augstu drošības līmeni, lai neradītu jaunu ievainojamības punktu tur, kur passkey pats to jau bija novērsis.

Kā tas darbosies vecākos Windows datoros

Bieži rodas jautājums, vai passkey strādās arī uz datora bez sejas kameras vai pirkstu skenera. Atbilde ir jā, un tam ir vairāki risinājumi:

  • Windows PIN vai parole – tiek izmantots tas pats kods, ar ko lietotājs atslēdz savu datoru.

  • Telefons kā atslēga – portāls parāda QR kodu, lietotājs to noskenē ar telefonu (piemēram, ar Face ID), un abas ierīces caur Bluetooth apstiprina, ka atrodas tuvu viena otrai.

  • Pārlūkprogrammas mākoņa maks – piemēram, Google Password Manager, kur passkey glabājas Google kontā, nevis pašā Windows sistēmā.

  • Fiziska drošības atslēga – ierīces kā YubiKey, kas darbojas pat uz vecākiem datoriem bez jebkādas biometrijas vai Bluetooth.

Kopsavilkumā

Passkey nav tikai nedaudz ērtāks veids, kā pieteikties, tas ir principiāli citāds un drošāks pieejas modelis. Tas novērš tieši tos uzbrukumu veidus, pret kuriem parole kopā ar OTP kodu joprojām bija neaizsargāta. Mēs EvoEX portālā šo virzienu ejam apzināti, jo drošība nav vieta, kur taupīt uz ērtuma rēķina, un ar passkey to abus vairs nevajag izvēlēties atsevišķi.

Sandris Magone
Beitrag erstellt von
Sandris Magone
Dibinātājs, CEO

Bereit, dein Projekt zu starten?

Erzähl uns von deiner Idee — wir schicken dir per E-Mail einen vorgeschlagenen Termin für ein Videogespräch, um die Details zu besprechen und ein Angebot zu erstellen.