← Blog

Passkeys v podjetju: Kako se za vedno posloviti od gesel in dvigniti varnost

Uvajanje passkeys v podjetju pomeni konec ere gesel. Spoznajte, kako ta tehnologija, zgrajena na standardu FIDO2, povečuje varnost in poenostavlja prijavo za zaposlene.

VitalIT ekipa··7 min branja·Omrežja & varnost

Utrujeni od nenehnega ponastavljanja pozabljenih gesel, pritožb uporabnikov nad kompleksnimi zahtevami in nenehnega strahu pred phishing napadi? Niste edini. Upravljanje gesel je postalo ena največjih varnostnih in operativnih bolečin za slovenska podjetja ne glede na velikost. Vendar prihaja rešitev, ki obljublja konec te ere. Uvajanje passkeys v podjetju ni več znanstvena fantastika, temveč praktičen in nujen korak k bolj varni in učinkoviti digitalni prihodnosti. Gre za tehnologijo, ki korenito spreminja način prijave v poslovne sisteme in aplikacije.

V tem članku bomo pogledali, kaj točno so passkeys, zakaj so bistveno boljši od kateregakoli gesla, in kar je najpomembneje – kako jih lahko strateško in varno uvedete v vaše poslovno okolje. Osredotočili se bomo na praktične korake, ki jih lahko storijo slovenska mala in srednje velika podjetja, s konkretnimi primeri uporabe v orodjih, kot je Microsoft Entra ID.

Kaj sploh so 'passkeys' in zakaj so boljši od gesel?

Passkey je sodoben standard za prijavo, ki nadomešča gesla. Namesto da si uporabnik izmisli (in si poskuša zapomniti) zapleteno kombinacijo znakov, passkey ustvari edinstven kriptografski par ključev: javnega in zasebnega.

  • Javni ključ se shrani na strežnik aplikacije ali storitve (npr. Microsoft 365, Google Workspace). Ta ključ sam po sebi ni uporaben za prijavo in ni občutljiv podatek.
  • Zasebni ključ ostane varno shranjen na uporabnikovi napravi – telefonu, prenosniku ali specializiranem varnostnem ključu (kot je YubiKey). Ta ključ nikoli ne zapusti naprave.

Ko se uporabnik želi prijaviti, strežnik pošlje »izziv«, ki ga lahko reši samo ustrezen zasebni ključ. Uporabnik preprosto potrdi prijavo z biometrijo (prstni odtis, prepoznava obraza) ali vnosom PIN-kode svoje naprave. Naprava nato digitalno podpiše izziv in ga pošlje nazaj strežniku, ki preveri podpis z javnim ključem. Vse to se zgodi v nekaj sekundah, brez vnašanja gesla.

Ključna prednost je, da passkeys po svoji zasnovi odporni na phishing napade. Ker ni gesla, ki bi ga uporabnik lahko vnesel na lažno spletno stran, ga napadalci ne morejo ukrasti. Poleg tega je vsak passkey vezan na specifično spletno domeno, kar preprečuje njegovo zlorabo na drugih straneh.VitalIT varnostni strokovnjak

Primerjava: Tradicionalna gesla proti Passkeys

Da bi lažje razumeli obseg izboljšav, ki jih prinašajo passkeys v podjetju, si poglejmo neposredno primerjavo ključnih vidikov varnosti in uporabnosti.

KriterijTradicionalna geslaPasskeys (FIDO2)
Varnost pred phishingomZelo ranljiva. Uporabnik lahko geslo vnese na lažno stran.Izjemno visoka. Phishing ni mogoč, ker ni podatka, ki bi ga lahko ukradli.
Uporabniška izkušnjaSlaba. Zapomnitev, redno menjavanje, kompleksnost.Odlična. Hitra prijava z biometrijo ali PIN-om naprave.
Tveganje kraje podatkov s strežnikaVisoko. V primeru vdora lahko napadalci ukradejo zgoščene vrednosti gesel (hashes).Minimalno. Na strežniku so shranjeni le javni ključi, ki so neuporabni brez zasebnih.
Tveganje ponovne uporabeVisoko. Uporabniki pogosto uporabljajo enako geslo za več storitev.Ne obstaja. Vsak passkey je edinstven za posamezno storitev.
Potreba po večfaktorski avtentikaciji (MFA)Nujna kot dodaten varnostni sloj (npr. SMS koda, aplikacija).Passkey je že po naravi večfaktorski (nekaj, kar imaš – naprava; in nekaj, kar si/veš – biometrija/PIN).
UpravljanjeKompleksno. Politike gesel, ponastavitve, izobraževanje uporabnikov.Poenostavljeno. Manj klicev na podporo za ponastavitev gesel, centralizirano upravljanje v okoljih, kot je Entra ID.

Načrtovanje uvedbe passkeys v podjetju: Praktični koraki

Prehod na prihodnost brez gesel zahteva strateški pristop. Slep skok v neznano lahko povzroči zmedo med zaposlenimi in ustvari varnostne luknje. Priporočamo postopno uvedbo v štirih fazah.

Faza 1: Analiza in načrtovanje

Pred tehnično implementacijo je ključno razumeti trenutno stanje in si zastaviti jasne cilje.

  1. Inventura aplikacij: Identificirajte ključne poslovne aplikacije (znotraj in zunaj Microsoft 365 ekosistema). Katere med njimi že podpirajo standard FIDO2 oz. prijavo s passkeys? Za katere boste morali ohraniti obstoječe metode prijave?
  2. Ocena uporabnikov in naprav: Ali imajo vsi zaposleni službene pametne telefone (iOS, Android)? Kakšna je politika glede uporabe osebnih naprav (BYOD)? Ali obstajajo delovna mesta (npr. v proizvodnji, skladišču), kjer so v uporabi skupni računalniki?
  3. Določitev pilotne skupine: Izberite manjšo, tehnično bolj podkovano skupino uporabnikov (npr. IT oddelek, razvojniki), s katero boste testirali postopek uvedbe, zbirali povratne informacije in odpravili morebitne težave.
  4. Zastavitev politike: Določite pravila za uporabo. Ali boste dovolili shranjevanje passkeys na osebnih napravah? Boste za določene vloge zahtevali uporabo namenskih FIDO2 varnostnih ključev (npr. YubiKey)? Kaj je postopek v primeru izgube naprave?

Faza 2: Tehnična implementacija (primer: Microsoft Entra Passkey)

Če vaše podjetje uporablja Microsoft 365, je Microsoft Entra ID (prej Azure Active Directory) vaše centralno vozlišče za upravljanje identitet. Omogočanje passkeys je relativno preprost proces.

  • Omogočanje metode preverjanja pristnosti: V skrbniškem centru Microsoft Entra pod »Protection« > »Authentication methods« omogočite metodo »FIDO2 security key«.
  • Konfiguracija politike: Določite, na katere uporabnike ali skupine se politika nanaša. Na začetku jo omejite na vašo pilotno skupino.
  • Nastavitve za passkeys: Entra ID omogoča napredne nastavitve, kot je »attestation enforcement«, s katero lahko omejite uporabo samo na določene, preverjene modele varnostnih ključev.
  • Registracija uporabnikov: Uporabniki morajo sami registrirati svoje naprave ali varnostne ključe. To storijo na strani myaccount.microsoft.com pod varnostnimi informacijami. Proces je enostaven in voden.
Zagotovite celovito kibernetsko varnostUvajanje passkeys je pomemben del sodobne varnostne strategije. Naša ekipa vam lahko pomaga pri načrtovanju in implementaciji celovitih varnostnih rešitev, prilagojenih vašemu podjetju.

Faza 3: Komunikacija in usposabljanje zaposlenih

Tehnologija je le polovica zgodbe. Uspeh uvedbe je odvisen od tega, kako jo bodo sprejeli zaposleni. Ne podcenjujte moči dobre komunikacije.

  • Pojasnite »zakaj«: Predstavite prednosti za zaposlene – lažja in hitrejša prijava, ni več potrebe po pomnjenju gesel.
  • Pripravite jasna navodila: Ustvarite kratka, vizualna navodila (PDF, video) za postopek registracije passkey-a na različnih napravah (računalnik z Windows Hello, pametni telefon).
  • Organizirajte delavnice: Za pilotno skupino in kasneje za vse zaposlene organizirajte kratke predstavitve v živo ali na daljavo, kjer demonstrirate postopek in odgovorite na vprašanja.
  • Poudarite postopke za obnovitev: Jasno komunicirajte, kaj naj zaposleni storijo, če izgubijo telefon ali se jim pokvari prenosnik. To zmanjšuje strah pred novo tehnologijo.

Faza 4: Nadzor, podpora in širitev

Po uspešno zaključeni pilotni fazi je čas za širitev na celotno podjetje. Spremljajte poročila o prijavah v Microsoft Entra ID, da vidite, koliko uporabnikov dejansko uporablja prijavo brez gesel. Bodite pripravljeni na nudenje podpore uporabnikom, ki bodo naleteli na težave, in postopoma razširite politiko uporabe passkeys na vse zaposlene in, kjer je to mogoče, na vse aplikacije.

Prihodnost je brez gesel (passwordless): FIDO2 in širši ekosistem

Pomembno je razumeti, da passkeys niso Applova, Googlova ali Microsoftova iznajdba. So rezultat dela FIDO Alliance (Fast Identity Online), industrijskega združenja, katerega cilj je ustvariti odprte in interoperabilne standarde za avtentikacijo. To pomeni, da bo passkey, ki ga ustvarite na iPhonu, deloval za prijavo na Windows računalniku in obratno (prek Bluetootha ali QR kode). Ta interoperabilnost je ključna za dolgoročni uspeh koncepta brez gesel.

Podpora tehnologiji raste iz dneva v dan. Poleg operacijskih sistemov jo v svoje storitve integrira vedno več spletnih strani in aplikacij, od ponudnikov socialnih omrežij do bančnih platform. Z uvedbo passkeys v podjetju ne rešujete le trenutnega problema z gesli, temveč svoje podjetje postavljate na pravo stran tehnološkega razvoja in ga pripravljate na prihodnost.

Kaj se zgodi, če zaposleni izgubi napravo s passkey-em (npr. telefon)?
To ni varnostna katastrofa. Prvič, naprava je zaščitena z PIN-om ali biometrijo. Drugič, IT administrator lahko prekliče passkey za to napravo v sistemu (npr. Microsoft Entra ID). Uporabnik lahko za dostop uporabi drug registriran passkey (npr. na prenosniku ali varnostnem ključu) ali pa mu IT dodeli začasno geslo za dostop (Temporary Access Pass), da lahko registrira novo napravo.
Ali so passkeys varni, če mi nekdo ukrade telefon in pozna mojo PIN kodo?
PIN kode naprave so šibka točka vsakega sistema. Zato je priporočljivo uporabljati biometrijo (prstni odtis, obraz), kjer je to mogoče. V poslovnih okoljih lahko IT oddelki z orodji za upravljanje mobilnih naprav (MDM) uveljavijo politike za kompleksnost PIN kod in samodejni zaklep/izbris naprave v primeru več napačnih poskusov.
Ali moram za vsako storitev ustvariti nov passkey?
Da, in to je prednost. Vsak passkey je unikaten za kombinacijo uporabniškega računa in spletne strani/aplikacije. Zaradi sinhronizacije (npr. prek iCloud Keychain, Google Password Manager ali Microsoftovega računa) pa se vam ni treba ukvarjati z vsakim posebej. Ko ustvarite passkey na eni napravi, postane samodejno na voljo na drugih vaših napravah znotraj istega ekosistema.
Ali moramo takoj opustiti vsa gesla in MFA aplikacije?
Ne. Prehod bo postopen. Gesla bodo še nekaj časa obstajala kot rezervna metoda in za dostop do starejših aplikacij, ki ne podpirajo passkeys. Dobra strategija je, da najprej omogočite passkeys kot primarno in najlažjo metodo prijave, hkrati pa ohranite obstoječe metode kot rezervne.
Kaj je razlika med passkey-em na telefonu in FIDO2 varnostnim ključem (npr. YubiKey)?
Funkcionalno sta si zelo podobna, saj oba temeljita na standardu FIDO2. Passkey na telefonu ali računalniku (»platform authenticator«) uporablja vgrajeno varnostno strojno opremo naprave. Fizični varnostni ključ (»roaming authenticator«) je ločena, namenska naprava, ki jo lahko prenašate med računalniki in je pogosto odpornejša na zlorabe. Za uporabnike z najvišjimi varnostnimi zahtevami (npr. sistemski administratorji, vodstvo) je uporaba fizičnih FIDO2 ključev zelo priporočljiva.
#passkeys#kibernetska varnost#brez gesel#FIDO2#Microsoft Entra ID#IT za podjetja