Bezpieczeństwo bez zapamiętywania haseł
Google Passkey wykorzystuje standard WebAuthn, który jest wspierany przez większość przeglądarek i systemów operacyjnych. WebAuthn umożliwia logowanie się za pomocą czynników biometrycznych, takich jak odcisk palca, twarz lub tęczówka, lub kluczy sprzętowych, takich jak YubiKey czy Titan Security Key. Google Passkey jest rodzajem klucza sprzętowego wbudowanego w telefon z Androidem, iOS lub komputer z Windows.
Aby skorzystać z Google Passkey, wystarczy zarejestrować swój telefon lub komputer jako klucz w ustawieniach konta Google. Następnie, gdy będziemy chcieli się zalogować do jakiejś usługi, która wspiera WebAuthn, np. Gmail, Facebook czy Twitter, wystarczy potwierdzić swoją tożsamość na telefonie lub komputerze za pomocą odblokowania ekranu, lub PIN-u. Nie musimy pamiętać ani wpisywać żadnych haseł.
Na jakiej zasadzie działa Google Passkey
Klucze dostępu opierają się na kryptografii klucza publicznego, która polega na wykorzystaniu pary kluczy: prywatnego i publicznego. Klucz prywatny jest przechowywany na urządzeniu użytkownika i służy do generowania podpisu cyfrowego, który potwierdza jego tożsamość. Klucz publiczny jest przechowywany na serwerach Google i służy do weryfikacji podpisu cyfrowego. Klucze te są unikalne dla każdego konta i urządzenia i nie mogą być ponownie użyte ani odgadnięte.
Kiedy użytkownik chce się zalogować na konto Google na innym urządzeniu, np. komputerze, musi najpierw zeskanować kod QR wyświetlony na ekranie za pomocą telefonu z aktywnym kluczem dostępu. Następnie musi potwierdzić logowanie za pomocą danych biometrycznych, kodu PIN, blokady ekranu lub fizycznego klucza bezpieczeństwa na telefonie. W ten sposób telefon generuje podpis cyfrowy za pomocą klucza prywatnego i wysyła go do Google. Google sprawdza podpis za pomocą klucza publicznego i jeśli się zgadza, zezwala na logowanie na komputerze.
Google chwali się, że jego klucze są proste, bezpieczne i zapewniają prywatność. Fot. Google
Jak włączyć klucze dostępu na swoim urządzeniu?
Aby włączyć klucze dostępu na koncie Google, trzeba spełnić kilka warunków:
- mieć urządzenie z systemem Android 9 lub nowszym lub iOS 16 lub nowszym,
- komputer z Windows 10 lub macOS Ventura (lub nowszym),
- mieć aktywną weryfikację dwuetapową (2FA) na koncie Google,
- posiadać przeglądarkę Chrome, Safari lub Edge w najnowszych wersjach,
- mieć dostęp do internetu.
Jeśli te warunki są spełnione, można przejść do następujących kroków:
- wejść na stronę Google Passkeys z urządzenia, które chcemy używać jako klucz dostępu,
- postępować zgodnie z instrukcjami wyświetlanymi na ekranie,
- potwierdzić utworzenie klucza dostępu za pomocą danych biometrycznych, kodu PIN, blokady ekranu lub fizycznego klucza bezpieczeństwa,
- powtórzyć te kroki dla każdego urządzenia, które chcemy używać jako klucz dostępu.
Po włączeniu kluczy dostępu można się nimi posługiwać do logowania się na konto Google na innych urządzeniach, takich jak komputery z systemem Windows 10/11, komputery Mac lub Chromebooki. Wystarczy wybrać opcję „Zaloguj się za pomocą telefonu” i postępować zgodnie z instrukcjami.
Jak wyłączyć klucze dostępu?
Jeśli chcemy – w razie potrzeby, gdy np. wiemy, że nie będziemy mieć dostępu do telefonu z kluczem cyfrowym, możemy wyłączyć tę formę logowania na koncie Google lub usunąć ją z urządzenia, możemy to zrobić w następujący sposób:
- wejść na odpowiednią stronę z dowolnego urządzenia,
- znaleźć urządzenie, z którego chcemy usunąć klucz dostępu i kliknąć na nie,
- kliknąć na „Usuń klucz dostępu” i potwierdzić,
- powtórzyć te kroki dla każdego urządzenia, z którego chcemy usunąć klucz dostępu.
Jeśli chcemy wyłączyć klucze dostępu całkowicie, musimy usunąć je ze wszystkich urządzeń. Wtedy będziemy mogli się logować na konto Google tylko za pomocą haseł lub innych metod weryfikacji dwuetapowej.
Jakie są zalety i wady kluczy dostępu?
Klucze dostępu mają wiele zalet, takich jak:
- łatwość i wygoda logowania się bez haseł
- zwiększone bezpieczeństwo konta przed atakami hakerskimi i phishingowymi
- ochrona prywatności użytkownika przed podsłuchiwaniem i przechwytywaniem danych logowania
- zgodność z najnowszymi standardami bezpieczeństwa internetowego
Klucze dostępu mają jednak też kilka wad, takich jak:
- konieczność posiadania urządzenia z aktywnym kluczem dostępu pod ręką do logowania się na innych urządzeniach,
- ryzyko utraty dostępu do konta w przypadku zgubienia, kradzieży lub uszkodzenia urządzenia z kluczem dostępu,
- brak kompatybilności z niektórymi aplikacjami i witrynami internetowymi, które wymagają haseł,
- potencjalne problemy techniczne lub błędy związane z działaniem kluczy dostępu (jest to usługa nowa).
Co zrobić w przypadku zgubienia urządzenia z aktywną usługą Google Passkeys?
Jeśli zgubisz urządzenie z aktywną usługą Google Passkeys, musisz podjąć kilka kroków, aby zabezpieczyć swoje konto i odzyskać dostęp do niego. Oto co powinieneś zrobić:
- zaloguj się na swoje konto Google z innego urządzenia i przejdź do sekcji „Zabezpieczenia”.
- wybierz opcję „Urządzenia z aktywną usługą Google Passkeys” i znajdź zgubione urządzenie na liście.
- kliknij zgubione urządzenie i wybierz opcję „Zablokuj lub usuń urządzenie”. To uniemożliwi komuś innemu używanie usługi Google Passkeys na tym urządzeniu.
Jeśli chcesz odzyskać dostęp do swojego konta z nowego urządzenia, musisz dodać je do listy zaufanych urządzeń. Aby to zrobić, przejdź do sekcji „Zaufane urządzenia” i kliknij „Dodaj zaufane urządzenie”. Następnie postępuj zgodnie z instrukcjami na ekranie, aby zweryfikować swoją tożsamość i dodać nowe urządzenie.
Jeśli nie masz innego zaufanego urządzenia, możesz użyć jednej z metod odzyskiwania konta, takich jak kod zapasowy, numer telefonu lub adres e-mail. Aby to zrobić, przejdź do sekcji „Sposoby odzyskiwania konta” i wybierz metodę, której chcesz użyć. Następnie postępuj zgodnie z instrukcjami na ekranie, aby uzyskać kod lub link do resetowania hasła i zalogować się na swoje konto.
Podsumowanie
Pamiętaj, że Google Passkeys jest bezpiecznym i wygodnym sposobem logowania się na swoje konto bez konieczności pamiętania hasła. Jednak jeśli zgubisz urządzenie z aktywną usługą, musisz działać szybko, aby zapobiec nieautoryzowanemu dostępowi do swojego konta i chronić swoje dane.
Tomasz Sławiński
KOMENTARZE (136) SKOMENTUJ ZOBACZ WSZYSTKIE