Lozinka naspram pristupnog ključa (Passkey): Koja je razlika?

Svi znamo šta je lozinka (eng. password). Ali, da li ste čuli za termin passkey? Pristupni ili ulazni ključ (kako bi se passkey mogao prevesti) uskoro bi, prema svemu sudeći, mogao zamijeniti tradicionalne lozinke i način na koji smo do sada pristupali online nalozima. U nastavku ćemo detaljnije objasniti šta su pristupni ključevi i da li lozinke zaista postaju stvar prošlosti.

Šta je pristupni ključ (Passkey) i za šta se koristi?

Pristupni ključ je moderna zamjena za lozinke, dizajnirana da pruži viši nivo sigurnosti uz jednostavnije korištenje. Umjesto pamćenja i unosa kompleksnih nizova znakova, pristupni ključ koristi ugrađene sigurnosne mehanizme vašeg uređaja – poput prepoznavanja lica (Face ID), otiska prsta ili PIN koda – za prijavu na web stranice ili servise.

Sam pristupni ključ se sastoji od para kriptografskih ključeva. Privatni ključ ostaje sigurno pohranjen na vašem uređaju (telefonu, računaru), dok se javni ključ šalje servisu kojem pristupate. To znači da web stranica ili servis ne moraju čuvati vaše lozinke na svojim serverima, čime se drastično smanjuje rizik od krađe podataka uslijed hakerskih napada ili proboja sigurnosti servera.

Kao dodatni, preporučeni korak, svoje pristupne ključeve možete pohraniti unutar sigurnog upravitelja lozinki (password manager) kao što su Proton Pass, 1Password, Dashlane ili Bitwarden. Ovo omogućava sinhronizaciju i lak pristup ključevima na više različitih uređaja.

Kreiranje pristupnog ključa

Proces kreiranja pristupnog ključa je jednostavan i uglavnom sličan na različitim platformama. Kao primjer, evo koraka za postavljanje pristupnog ključa za Amazon.com uz korištenje upravitelja lozinki za pohranu:

1. Prijavite se na svoj Amazon nalog.

2. Idite na sekciju “Prijava i sigurnost” (Login & Security).

3. Pronađite opciju za pristupne ključeve (Passkey).

4. Kliknite na “Dodaj pristupni ključ” (Add Passkey). Ovo pokreće proces kreiranja ključa specifičnog za Amazon.

5. Ukoliko koristite upravitelj lozinki poput Proton Pass-a (i imate instalirano njegovo proširenje za preglednik), on će automatski preuzeti proces generisanja i pohranjivanja ključa.

6. Ako nemate upravitelj lozinki, web preglednik (npr. Chrome, Edge, Safari) ili operativni sistem (npr. Windows Hello, Apple iCloud Keychain) ponudit će pohranjivanje ključa.

Moguće je kreirati više pristupnih ključeva za isti nalog i pohraniti ih na različitim lokacijama (npr. jedan na telefonu, drugi u upravitelju lozinki).

Zašto je pristupni ključ bolja opcija od lozinke?

Istraživanja sigurnosnih kompanija poput NordPass-a redovno pokazuju zabrinjavajuće trendove. Najpopularnija lozinka godinama ostaje “123456”, slijede je varijacije poput “123456789” ili “qwerty”. Navike većine korisnika po pitanju kreiranja sigurnih lozinki sporo se mijenjaju.

Pristupni ključevi nude značajno veći stepen sigurnosti jer eliminišu ranjivosti zasnovane na slabim ili ukradenim lozinkama. Oni zamjenjuju lozinke kriptografskim ključevima, štiteći korisnike od:

• Phishing napada: Jer nema lozinke koju bi napadač mogao ukrasti putem lažne stranice.

• Krađe akreditiva: Jer se privatni ključ nikada ne šalje preko interneta.

• Neovlaštenog pristupa podacima: Jer pristupni ključevi ne mogu biti “provaljeni” kao slabe lozinke.

Dodatnu sigurnost pruža obavezna upotreba biometrijskog faktora (otisak prsta, lice) ili PIN-a uređaja prilikom svake prijave. Činjenica da se lozinke ne šalju niti pohranjuju na vanjskim serverima čini pristupne ključeve znatno sigurnijim rješenjem.

Gdje možete koristiti pristupne ključeve?

Iako tehnologija pristupnih ključeva još nije univerzalno usvojena, većina popularnih online servisa ju je već implementirala. Neki od najpoznatijih koji podržavaju prijavu putem pristupnog ključa uključuju:

• Amazon

• Google

• Apple

• Github

• Adobe

• Uber

• Microsoft

• Nintendo

• PlayStation Network

• eBay

• Dropbox

• Mnoge društvene mreže

Finansijske institucije generalno sporije usvajaju nove tehnologije, ali kompanije poput PayPala, Revoluta i Robinhooda već nude podršku za pristupne ključeve. Upravitelj lozinki Dashlane nudi koristan direktorij web stranica koje podržavaju ovu funkciju.

Pristupne ključeve možete kreirati direktno putem vaših Google, Microsoft ili Apple uređaja. Također, vodeći upravitelji lozinki (Proton Pass, Dashlane, 1Password, Bitwarden, LastPass) podržavaju njihovo kreiranje i sinhronizaciju na svim vašim uređajima.

Važno je napomenuti da je svaki pristupni ključ jedinstven za određenu web stranicu. Ključ za Google nalog nije isti kao ključ za Amazon. Ipak, možete kreirati pristupni ključ za Google i zatim koristiti opciju “Prijavi se putem Googlea” (Sign in with Google) na drugim servisima, ako je podržana, efektivno koristeći samo jedan pristupni ključ (onaj za Google) za više različitih stranica.

Kako tačno pristupni ključevi funkcionišu?

Tehnologija iza pristupnih ključeva poznata je kao Web Authentication (WebAuthn) i dio je šireg FIDO2 projekta, čiji je cilj potpuno zamijeniti lozinke kao metodu autentifikacije.

Osnovni koncept zasniva se na infrastrukturi javnih ključeva (Public Key Infrastructure – PKI). Umjesto čuvanja korisničkog imena i lozinke, servis čuva samo javni ključ korisnika. Pristupni ključevi (par privatnog i javnog ključa) kreiraju se na tzv. autentifikatoru kojim upravlja korisnik. Autentifikator može biti:

• Vaš pametni telefon (putem biometrije – Face ID, otisak prsta)

• Vaš operativni sistem (npr. Windows Hello)

• Vaš web preglednik

• Fizički sigurnosni ključ (npr. YubiKey, Google Titan Key)

Kako se kreira i koristi pristupni ključ (tehnički)?

Proces kreiranja i kasnije prijave putem pristupnog ključa odvija se u nekoliko koraka:

1. Kreiranje:

   • Korisnik inicira kreiranje ključa na stranici servisa (npr. Google).

   • Servis šalje nasumično generisani “izazov” (challenge).

   • Preglednik/OS poziva WebAuthn API da kreira par ključeva (privatni/javni). Ključevi se generišu i sigurno pohranjuju na uređaju (npr. u TPM čipu ili Apple iCloud Keychain-u). Od korisnika se traži potvrda putem PIN-a ili biometrije.

   • Klijent (preglednik/OS) šalje javni ključ, ID akreditiva i potpisani izazov (koristeći privatni ključ) nazad serveru. Server pohranjuje javni ključ i ID.

2. Prijava:

   • Korisnik inicira prijavu.

   • Server šalje novi izazov.

   • Korisnik potvrđuje identitet na svom uređaju (PIN/biometrija).

   • Uređaj koristi privatni ključ da potpiše izazov.

   • Potpisani izazov i ID akreditiva šalju se serveru.

   • Server provjerava potpis koristeći prethodno sačuvani javni ključ. Ako se potpis podudara, prijava je uspješna.

Šta ako izgubite svoj uređaj?

Gubitak uređaja ne znači nužno i gubitak pristupnih ključeva. Ako ste omogućili sinhronizaciju, vaši ključevi su sigurnosno kopirani u oblaku putem servisa kao što su Apple iCloud Keychain, Google Password Manager ili vašeg odabranog upravitelja lozinki. Ove sigurnosne kopije su zaštićene end-to-end enkripcijom, što znači da im samo vi možete pristupiti.

Kada postavite novi uređaj, možete vratiti ključeve prijavom na svoj nalog u oblaku. Ako nemate drugi uređaj, opcije oporavka (poput recovery ključa ili višefaktorske autentifikacije) mogu pomoći. Ključno je da pristupni ključevi zahtijevaju biometrijsku potvrdu ili PIN – čak i ako neko ukrade vaš telefon, ne može pristupiti ključevima bez vaših biometrijskih podataka ili PIN-a.

Koliko su pouzdani upravitelji lozinki?

Upravitelji lozinki predstavljaju značajan napredak u odnosu na pamćenje ili zapisivanje lozinki, ali većina njih i dalje funkcioniše tako što pohranjuje vaše (enkriptovane) lozinke na svojim serverima ili u lokalnoj bazi podataka (npr. KeePass).

Pristupni ključevi nude inherentno sigurniji pristup jer eliminišu potrebu za čuvanjem tajni (lozinki) na strani servisa. Kombinovanje pristupnih ključeva s upraviteljem lozinki može ponuditi “najbolje od oba svijeta”: sigurnost pristupnih ključeva uz pogodnost sinhronizacije i sigurnosnog kopiranja koju pružaju upravitelji lozinki.