Gesla se že dolgo uporabljajo za dostop do digitalnega sveta, vendar zaradi pogoste ponovne uporabe in naraščajočih phishing napadov postajajo vedno manj zanesljiva, kar spodbuja razvoj in uporabo varnejših alternativ. Ena izmed njih so ključi za dostop (passkeys), ki predstavljajo bolj varno prijavo v spletne storitve.
Gesla so ranljiva
Geslo je skrivna beseda ali fraza, ki jo uporabljamo za potrditev svoje identitete v računalniških sistemih in/ali na spletu. Poročilo CyberNews je ugotovilo, da je bilo v letu 2024-2025 94 % od 19 milijard izpostavljenih gesel ponovno uporabljenih.
Gesla so tudi ranljiva za phishing, pri katerem vas napadalci poskušajo zvabiti, da svoje geslo (ali druge podatke) vnesete na lažno prijavno stran. Število in posledice phishing e-poštnih sporočil naraščajo. Poročilo Phishing Statistics 2025: AI-Driven Attacks, Costs & Trends navaja, da se na dan po vsem svetu pošlje več kot 3 milijarde phishing e-poštnih sporočil. Več o tem, kako hitro se lahko zgodi zloraba podatkov, lahko preberete tukaj.
Kaj so ključi za dostop in zakaj so po zasnovi močnejši od gesel?
Ključi za dostop so se prvič pojavili pred približno štirimi leti. Uporabljajo matematični postopek, imenovan kriptografija z javnim ključem, za ustvarjanje edinstvenega niza informacij, ki je razdeljen na dva dela ali ključa.
Vsak ključ za dostop je edinstven za vsako storitev, ki jo uporabljate, tudi če bi bil ključ za spletno mesto ukraden, ga ni mogoče uporabiti drugje.
Ključi za dostop so tudi bolj priročni kot gesla. Ni vam treba iskati gesla, ki ste ga uporabili ob registraciji – ključi za dostop so že povezani z vašo napravo.
Ključi za dostop so zaščiteni proti phishingu. Z vidika uporabnika ni potrebe po vnosu gesla, ki bi ga bilo treba poslati v odgovor na phishing e-sporočilo. Zahteva za prijavo na spletno mesto mora priti z registrirane naprave in jo mora odobriti uporabnik.
Kako delujejo ključi za dostop?
En ključ je javni in ga je mogoče deliti s spletnimi mesti, drugi pa je zasebni ključ, ki je varno shranjen na vaši napravi. Za prijavo v račun spletno mesto pošlje naključno preverjanje (na primer številko), vaša naprava pa uporabi zasebni ključ, da »odobri« zahtevo za prijavo. Ta odobritev se običajno imenuje »podpisovanje« zahteve in za preverjanje uporabi matematični postopek.
Vaša naprava tega ne bo storila samodejno, običajno boste morali zahtevo odobriti. Pri mnogih mobilnih napravah bo za odobritev odgovora treba uporabiti prepoznavo vašega obraza ali prstnega odtisa.
Nazadnje spletna stran preveri podpis prek javnega ključa, ki ga že ima. Če potrdi preverjanje, ste v sistemu.
Vir: Paul Haskell-Dowland (Edith Cowan University) in Ismini Vasileiou (De Montfort University) – The Conversation
V podjetju Rekono d.o.o. zagotavljamo močno dvofaktorsko avtentikacijo z računom Rekono, ki podpira tudi sodoben mehanizem prijave s passkey. Več o tem lahko preberete tukaj.
