Klucze dostępu (hasła) całkowicie zastępują hasła. Pozwalają przestać wymyślać i zapamiętywać skomplikowane ciągi symboli. Podejście to opiera się na uwierzytelnianiu opartym na urządzeniu, dzięki czemu logowanie jest szybsze i bezpieczniejsze. Według Google ponad 400 milionów kont Google (z 1,5 miliarda od 2018 r.) korzystało z kluczy dostępu od momentu ich wdrożenia, przeprowadzając ponad miliard uwierzytelnień.
Technologia klucza dostępu opiera się na kryptografii klucza publicznego. Podczas rejestracji tworzona jest para kluczy szyfrujących – tajny i publiczny (prywatny i otwarty). Informacje zaszyfrowane przy użyciu klucza publicznego można odszyfrować wyłącznie przy użyciu klucza prywatnego. Klucz prywatny pozostaje na urządzeniu użytkownika, a klucz publiczny zostaje przesłany do usługi. Następnie wymiana informacji pomiędzy serwisem a urządzeniem użytkownika odbywa się za pośrednictwem zaszyfrowanego kanału, gdzie użytkownik może bezpiecznie potwierdzić swoją tożsamość za pomocą czujników biometrycznych swojego urządzenia.
Google twierdzi, że dla większości użytkowników klucze są łatwiejsze w użyciu niż hasła, zauważając, że „od czasu wprowadzenia klucze okazały się szybsze niż hasła, ponieważ wymagają jedynie od użytkowników prostego odblokowania urządzenia za pomocą odcisku palca, skanu twarzy lub kodu PIN”.
Jednak wiele osób napotyka problemy podczas próby użycia kluczy dostępu, pomimo wsparcia technologii firm Microsoft, Apple, Google i zewnętrznych menedżerów logowania, takich jak 1Password i Dashlane. „Frustracja związana z technologią wydaje się raczej normą niż wyjątkiem” – mówi William Brown, bloger pierwszego roku. — Bezradność użytkowników w tych tematach jest oczywista, ale to pionierzy techniczni powinni być zwolennikami przejścia od haseł do kluczy dostępu. Jeśli im się to nie uda, jak sobie poradzą zwykli użytkownicy?”
Menedżer produktu ds. uwierzytelniania i bezpieczeństwa Google, Christian Brand, przekonuje, że „ścieżka przejścia nie zawsze jest łatwa i będziesz mieć całą grupę bardzo głośnych użytkowników, którzy są tak przyzwyczajeni do robienia rzeczy w określony sposób, że uważają, że wszystko, co nowe, jest złe”. Przyznaje, że w najbliższej przyszłości technologia uwierzytelniania bez hasła będzie współistnieć z klasycznymi metodami logowania. „Myślę, że jako branża musimy się jeszcze trochę nauczyć. Próbujemy sobie z tym poradzić, ale czasem też popełniamy błędy – uważa.
Brand wierzy, że coraz trudniejsze korzystanie z potencjalnie niebezpiecznych haseł może zachęcić użytkowników do korzystania z kluczy dostępu. Podaje przykład, w którym użytkownicy logujący się przy użyciu hasła zamiast klucza mogą zostać poproszeni o odczekanie 24 godzin, aż Google przeprowadzi kontrolę bezpieczeństwa, aby upewnić się, że konto nie zostało naruszone.
Google ogłosił, że klucze dostępu wkrótce będą obsługiwane przez program Advanced Protection Program (APP), który chroni konta dziennikarzy, aktywistów, polityków i ludzi biznesu. Użytkownicy aplikacji będą mogli używać kluczy dostępu osobno lub razem z hasłem lub sprzętowym kluczem bezpieczeństwa.
Google rozszerzy także swój program „dodatkowej współpracy”, który polega na udostępnianiu innym platformom alertów o podejrzanej aktywności na koncie Google. Pomoże to lepiej chronić miliardy użytkowników, uniemożliwiając cyberprzestępcom uzyskanie dostępu do punktów wejścia, które mogłyby narazić ich inne konta.