Již dlouhá léta slýcháme či snad sníme o tom, jak budeme používat jetpacky, létající auta či kolonizovat Mars. Toto je však i po několika dekádách od doby, kdy se o tom začalo hovořit, stále hudba vzdálené budoucnosti. Ale existují i některé zdánlivě dosažitelnější cíle, jež urputně chce každý z nás a myslíme si o nich, že přece již nemůže být těžké je splnit. Jedním z nich je například svět bez hesel. Zbavit se neustálého zadávání hesel někam by ulevilo všem a udělalo svět lepším a jednodušším. Dobrou zprávou je, že infrastruktura – napříč všemi hlavními operačními systémy a browsery – je z velké části na toto již připravena. Jaké jsou ty špatné zprávy? Především to, že doba na to ještě není připravena.
První krok je za námi
Hesla jsou noční můrou absolutní bezpečnosti. Jejich tvorba a správa je otravná, takže uživatelé často znovu používají stejná hesla nebo volí snadno uhodnutelná – případně obojí. Ale hackeři to ví a rádi toho využívají. Naproti tomu přihlašování bez hesel se ověřuje pomocí atributů, které jsou vrozené a je těžší je ukrást (např. biometrie). Nikdo přeci neuhodne náš otisk palce. Pravděpodobně některou z nových metod již používáte. Například pro přístup do smartphonu – nejčastěji zmíněný otisk prstu nebo prokázání se obličejem. Jistě uznáte, že je to lepší volba, než pořád zadávat heslo nebo malovat gesto. Tyto mechanismy fungují lokálně v telefonu a nevyžadují, aby citlivé biometrické údaje byly ukládány na server pro kontrolu přihlášení.
To poukazuje na fakt, že všechny technologické stavební kameny jsou připravené a mohou je používat už nejen technofilové, ale i běžní uživatelé. Navíc mají v zádech poměrně silnou podporu technologických lídrů a jejich platforem, fungují napříč různými hlavními poskytovateli a uživatelé se s nimi již seznamují. Bude však ještě chvíli trvat, než se nová podoba stane samozřejmostí. Brání tomu dvě věci. Jednou z nich je to, že i když hesla jsou všeobecně opovrhovaná, jsou také desetiletí vžitá a absurdně všudypřítomná. Proto není snadné se zbavit návyků budovaných dekády. Ale je čas to změnit. Musíme projít bolestivým detoxem. I proto aliance, jako je např. FIDO (kterou podporuje řada technologických hráčů), pracují na edukaci uživatelů.
Druhá překážka je ještě složitější. I když technologie pracují, jak mají, většina moderních způsobů funguje pouze na novějších zařízeních a vyžaduje vlastnictví smartphonu a alespoň jednoho dalšího nového zařízení. Mnoho lidí po celém světě přitom vlastní maximálně jedno moderní zařízení – a mnohdy ani to ne. Pro ně je to oříšek. Leč často nemohou upgradovat, protože jim to finanční situace prostě nedovolí.
A zatímco implementace možnosti přestat používat hesla jsou stále více standardizovány, možnosti obnovení účtu bez hesel nikoliv. V případě obnovení hesel si je lze nechat resetovat, nebo obnovit po zadání odpovědi na bezpečnostní otázku či zadáním speciálního PINu. V moderním způsobu je nutné použít právě druhé zařízení, kde jedno zařízení, které jste dříve ověřili, může označit jiné jako důvěryhodné.
Tlak na svět bez hesel sílí
Mezitím společnosti Apple, Google a Microsoft jsou dále, a proto se rozhodly svůj závazek světa bez hesel splnit. Z toho důvodu podpořily nový otevřený standard vytvořený aliancí FIDO a konsorciem World Wide Web Consortium. Jeho cílem je povzbudit dodavatele technologií, aby spotřebitelům čím dál tím více, respektive prioritně nabízeli možnosti přihlašování bez hesel. Příkladem jsou zmíněné společnosti.
Google tak plánuje do roku 2023 umožnit uživatelům přihlašovat se k aplikacím a webovým stránkám v telefonu pouhým odemknutím jejich zařízení (na počítači budou mít možnost schvalovat přihlášení prostřednictvím vyskakovacího okna na telefonu). Toto řešení již společnost Apple implementovala ve své nedávno uvedené nové verzi iOS. Passkey totiž eliminuje používání hesel a umožňuje uživatelům používat biometrickou identifikaci, jako je Touch ID a Face ID, pro přihlášení ke svým online účtům. I společnost Microsoft již testuje, kam až může zajít v případě zavržení uživatelských hesel pro přístup do operačního systému a svých služeb. Usilovně tak mimo jiné pracuje na zlepšení svého aktuálního řešení Microsoft Authenticator, který už nyní nabízí možnost rozhodnout se a zapnout ověřování bez hesla.
V březnu letošního roku potom aliance FIDO přestavila svůj koncept, který nabízí přihlašování bez hesla napříč platformami. Díky tomu by se navíc měla odstranit nutnost vlastnit alespoň dvě moderní zařízení. Současné ekosystémy tří zmíněných firem již koncept splňují, a tak by měla postupně padnout druhá zmíněna překážka a vše by se mělo ještě více zjednodušit. Například prostřednictvím vytvořené jednotné autentifikační cloudové služby je možné se přihlásit k počítači se systémem Windows pomocí iPhonu. A to je důvod, proč se společnosti Apple, Google a Microsoft zavázaly implementovat zmíněný standard passkey do svých platforem. A jak praxe dokazuje, společnost díky tomu umožnila dát uživatelům právo volby, respektive možnost zcela zahodit hesla ke službám.
Změna přijde postupně
Vymizení hesel se neodehraje najednou – globálně – spíše postupně, počínaje finančními službami a region po regionu. Jakmile hesla přestanou podporovat první významné subjekty, ostatní budou velmi rychle následovat. Každý z nás by jistě uvítal toto ulehčení a zbavení se nutnosti zadávat přístupové údaje. Dokonce by nastavené kroky měly vést k tomu, že bychom si nemuseli pamatovat ani uživatelská jména. Stačilo by zavítat na web, kliknout na tlačítko a přihlásit se pomocí dotykového ID. Jak to vypadá, můžete vidět na obrázku níže.
Autentizace bez hesel je tu
Přechod na svět bez hesel pomůže zajistit, aby uživatelům nebyly kradeny či zjišťovány jejich přihlašovací údaje (např. hrubou silou). Dokonce by se neměli obávat ani phishingu a jiných pokusů o vylákání hesel. Navíc si je nebudou muset pamatovat či hledat v notýsku, a tím zažívat zbytečné stresy v případě přihlášení. Jak je vidno, vybrané ekosystémy (především hlavního proudu) udělaly krok správným směrem, nyní je čas na změnu myšlení uživatelů.