Pokaždé, když se přihlásíme k účtu nebo odemkneme zařízení, musíme prokázat, že jsme oprávněni k němu přistupovat. Historicky měl tento důkaz podobu hesla: tajného řetězce, který si musíme zapamatovat nebo uložit do správce hesel.
Přístupový klíč se od hesla liší tím, že váže přístup k něčemu, co fyzicky vlastníte — ke kryptografickému tokenu uloženému ve vašem telefonu, notebooku nebo bezpečnostním klíči — spolu s biometrickým faktorem, například otiskem prstu nebo skenem obličeje.
Běžný způsob, jak tento rozdíl popsat, je:
- Heslo = něco, co znáte
- Přístupový klíč = něco, co máte + kdo jste
Ačkoli vám obě metody umožňují přístup, způsoby, jakými tohoto cíle dosahují, se liší a mohou výrazně ovlivnit bezpečnost i použitelnost.
Co je přístupový klíč?
Přístupový klíč je jako heslo, které žije ve vašem zařízení a které mohou účty, ke kterým se přihlašujete, ověřit pomocí kryptografie. Přístupové klíče jsou založené na standardu FIDO2 (definovaném aliancí FIDO(nové okno)) a rozhraní API WebAuthn.
Funguje to takto:
Když je vytvořen přístupový klíč, váš správce hesel vygeneruje spárovanou sadu kryptografických klíčů: veřejný klíč a soukromý klíč.
- Veřejný klíč je sdílen se službou, u které se registrujete.
- Soukromý klíč zůstává ve vašem správci hesel nebo zařízení a nikdy je neopustí.
Během pokusu o přihlášení služba vydá náhodnou výzvu. Vaše zařízení použije soukromý klíč ve vašem zařízení k podepsání této výzvy, čímž vytvoří odpověď, kterou mohl vygenerovat pouze odpovídající soukromý klíč. Služba poté ověří podpis pomocí dříve uloženého veřejného klíče a potvrdí, že jste oprávněným držitelem účtu.
Protože soukromý klíč nikdy neopustí vaše zařízení, phishingový web vás nemůže přimět, abyste jej vydali, což činí přístupové klíče ze své podstaty odolnými vůči phishingu.
Přečtěte si více o přístupových klíčích
Srovnání bezpečnosti: přístupový klíč vs. heslo
To, zda používáte heslo nebo přístupový klíč, závisí na různých faktorech. Ne každý web nabízí přístupové klíče jako možnost. U webů, které je nabízejí, však existuje několik důvodů, proč zvážit přechod.
Přístupové klíče jsou považovány za bezpečnější než hesla, protože tajný klíč nikdy neopustí vaše zařízení. I když vás někdo oklame falešným webem, zachytí síťový provoz nebo se pokusí o útok hrubou silou, nemůže získat soukromý klíč — ten zůstává uvnitř vašeho telefonu, počítače nebo hardwarového bezpečnostního klíče. Pokud zařízení chráníte pomocí PINu, otisku prstu nebo jiné formy dvoufázového ověření (2FA) a máte spolehlivou metodu obnovení, poskytuje vám přístupový klíč silnější a vůči phishingu odolnější zabezpečení než běžné heslo.
| Funkce | Přístupové klíče | Hesla |
| Metoda ověření | Kryptografie s veřejným klíčem (soukromý klíč uložený v zařízení) | Tajný řetězec zapamatovaný uživatelem |
| Odolnost vůči phishingu | Vysoká | Nízká |
| Možnosti obnovení | Záloha zařízení, proces obnovení účtu | Reset prostřednictvím e-mailu, bezpečnostní otázky |
| Uživatelská zkušenost | Biometrie nebo PIN | Psaní nebo automatické vyplňování |
| Kompatibilita | Rostoucí | Univerzální podpora |
| Zranitelnost při opětovném použití | Vždy jedinečný pro každý web | Běžný problém |
Použitelnost přístupového klíče a uživatelská zkušenost
Kromě bezpečnostních výhod používání přístupového klíče existují i další přínosy:
- Přístupové klíče zrychlují přihlašování, protože proces ověření je omezen na jedno klepnutí nebo pohled, čímž odstraňují nutnost ručního zadávání hesel nebo resetování zapomenutých hesel.
- Mnoho správců hesel dokáže bezpečně synchronizovat přístupové klíče mezi vašimi zařízeními. Díky tomu lze přístupový klíč vytvořený na chytrém telefonu použít na notebooku, tabletu nebo jiném telefonu bez nutnosti nové registrace. Proton Pass funguje na jakékoli platformě nebo zařízení, takže můžete přístupové klíče používat na jakémkoli webu, který je podporuje.
Nevýhody a okrajové případy přístupových klíčů
Ačkoli přístupové klíče nabízejí silné zabezpečení a bezproblémové přihlašování, nepředstavují univerzální řešení. Stále existují situace, kdy může používání přístupového klíče přinášet potíže.
Ztráta zařízení a obnovení
Pokud se zařízení, na kterém je váš přístupový klíč uložen, ztratí, je odcizeno nebo poškozeno, budete se muset při opětovném získání přístupu spolehnout na záložní mechanismy. Obnovení přístupového klíče často vyžaduje sekundární zařízení nebo obnovovací frázi, takže pokud nemáte dobře navržený proces obnovení, riskujete ztrátu přístupu ke svým účtům.
Mezery v adopci
Některé weby a aplikace ještě neimplementovaly standardy WebAuthn/FIDO2, na kterých jsou přístupové klíče založeny. I mezi těmi, které je implementovaly, může být podpora přístupových klíčů omezená na určité ekosystémy nebo operační systémy.
Omezení staršího hardwaru
Starší zařízení, jako jsou starší chytré telefony, notebooky bez biometrických senzorů nebo prohlížeče bez podpory WebAuthn, nemohou generovat ani ukládat přístupové klíče.
Kdy stále potřebuji heslo?
Kromě toho, že je heslo nastaveno jako záložní možnost, existují situace, kdy je tradiční heslo nezbytné jako vaše primární metoda přístupu.
1. Weby bez podpory přístupových klíčů
Dokud nebude používání přístupových klíčů široce rozšířené, možná se budete muset u některých webů stále spoléhat na hesla. V takovém případě můžete pro zvýšení bezpečnosti nastavit metody 2FA, například OTP.
2. Situace s veřejným nebo sdíleným počítačem
Pokud nepoužíváte vlastní zařízení, zadání hesla (ideálně v kombinaci s 2FA) umožní dočasný přístup bez zanechání trvalých přihlašovacích údajů.
3. Firemní zásady a požadavky na soulad s předpisy
Firemní směrnice, včetně státních nebo finančních standardů, mohou vyžadovat vícefaktorové instalace, které stále zahrnují i heslo, nebo mohou z auditních důvodů nařizovat pravidelnou rotaci hesel. Kromě toho firemní řešení jednotného přihlášení (SSO) někdy integrují přístupové klíče pouze jako volitelný faktor, přičemž hesla zůstávají primárním přihlašovacím údajem.
Jak zavést přístupové klíče
Přechod na přístupové klíče je poměrně jednoduchý.
- Aktivujte podporu přístupových klíčů ve svém operačním systému
- Stáhněte si správce hesel
- Zvolte správce hesel, který podporuje ukládání přístupových klíčů, například Proton Pass.
- Přidejte přístupové klíče do svého správce hesel
- Importujte existující přístupové klíče nebo vytvářejte nové přímo z aplikace.
- Zaregistrujte přístupové klíče v podporovaných službách
- Když se registrujete nebo přihlašujete na webu, který nabízí možnost „Přihlásit se pomocí přístupového klíče“, vyberte tuto možnost.
- Nastavte metodu obnovení
- Aktivujte sekundární zařízení pro uložení kopie přístupového klíče a poznamenejte si případnou obnovovací frázi, kterou služba poskytne.
Často kladené otázky
Mohu používat přístupový klíč, i když nemám správce hesel?
Ano, můžete. Většina moderních operačních systémů ukládá přístupové klíče lokálně (iCloud Keychain na zařízeních Apple, Google Password Manager v Androidu, Windows Hello ve Windows). Specializovaný správce hesel může zjednodušit synchronizaci mezi zařízeními a poskytnout další vrstvu zálohy, ale pro používání přístupových klíčů není nezbytný.
Mohu používat přístupové klíče na starších zařízeních?
Přístupové klíče vyžadují, aby operační systém a prohlížeč podporovaly standardy WebAuthn/FIDO2. Moderní platformy (iOS 15+, Android 14+, novější macOS, Windows 10 1903+ a aktuální Chrome/Edge/Firefox/Safari) fungují bez dalšího nastavování. Starší telefony, starší prohlížeče nebo zařízení s verzemi staršími než iOS 15/Android 13 tuto podporu nemají, takže na nich přístupový klíč používat nelze.
Jaký je rozdíl mezi přístupovým klíčem a fyzickým tokenem?
Přístupový klíč je přihlašovací údaj uložený v zařízení nebo ve správci hesel a bezpečně synchronizovaný mezi vašimi zařízeními. Fyzický token (například YubiKey) je samostatný hardwarový klíč, který musíte vložit do zařízení. Fyzický token neukládá soukromý klíč v hostitelském zařízení, což přináší izolaci, ale vyžaduje, abyste token nosili s sebou a spravovali zálohy. Obě možnosti poskytují ověření bez hesla a odolné vůči phishingu, ale přístupové klíče upřednostňují pohodlí a synchronizaci, zatímco fyzické tokeny upřednostňují hardwarovou izolaci.
Mohu používat přístupový klíč na svém počítači s Windows?
Ano, moderní verze Windows 10/11 podporují přístupové klíče prostřednictvím Windows Hello. Po aktivaci možnosti „Přihlášení bez hesla“ v Nastavení se můžete registrovat a ověřovat pomocí otisku prstu, rozpoznání obličeje nebo PINu, který odemyká soukromý klíč uložený v modulu důvěryhodné platformy (TPM). TPM je malý čip odolný proti neoprávněné manipulaci, zabudovaný ve většině moderních stolních počítačů, notebooků a některých tabletů. Jeho účelem je poskytovat hardwarový kořen důvěry pro bezpečnostně kritické operace.
Co se stane, když ztratím telefon?
Pokud je ve vašem telefonu jediná kopie přístupového klíče, budete k obnovení přístupu potřebovat předem nakonfigurovanou záložní metodu. Obvykle jde o jiné zařízení, správce hesel nebo obnovovací frázi poskytnutou službou. Bez zálohy budete muset postupovat podle procesu obnovení účtu dané služby.
