Parolele sunt atât de vechi în lumea digitală încât aproape că ni se par naturale. Ne-am obișnuit să avem o parolă pentru mail, una pentru Facebook, una pentru bancă, una pentru magazinul online de unde comandăm cel mai des și încă vreo câteva zeci pentru servicii pe care nici nu le mai ținem minte. Însă parola nu a fost gândită pentru internetul de astăzi, cu miliarde de utilizatori, baze de date furate și phishing la scară industrială. A fost o soluție simplă pentru o problemă simplă: cum separi utilizatorii care folosesc același calculator? Primele parole moderne au apărut la începutul anilor 60, la MIT, în cadrul sistemului Compatible Time-Sharing System, cunoscut ca CTSS. Ideea era ca mai mulți cercetători să poată folosi același computer mare și scump, fiecare cu fișierele lui, fără să se calce pe picioare. Fernando Corbato, unul dintre oamenii-cheie din proiect, este asociat cu introducerea acestui mecanism. Practic, parola era un mic secret pe care sistemul îl verifica înainte să îți dea acces la propriul spațiu de lucru.
Problema este că această idee, foarte utilă atunci, a fost dusă mai departe aproape neschimbată într-o lume complet diferită. Pe măsură ce calculatoarele s-au conectat între ele și au apărut rețelele, serverele, forumurile, magazinele online și aplicațiile mobile, parola a devenit cheia principală pentru identitatea noastră digitală. Iar când internetul a explodat, a explodat și numărul de parole pe care trebuia să le reținem. La început, sistemele stocau parolele în forme mult mai primitive decât o fac astăzi. UNIX, de exemplu, a avut la început un fișier de parole care a dus la multe discuții aprinse despre securitate. Ulterior au apărut metode precum hashing-ul, salt-ul și fișierele shadow, adică parolele nu mai erau păstrate ca text simplu, ci transformate într-o formă greu de inversat. Dar chiar și cu aceste îmbunătățiri, problema de bază a rămas aceeași: parola este un secret comun. Tu o știi, serviciul o poate verifica, iar dacă cineva o află, poate încerca să se dea drept tine.
Aici apar limitările reale. O parolă bună trebuie să fie lungă, unică și greu de ghicit. Dar utilizatorii normali nu pot ține minte 50 de parole lungi și unice. Așa că oamenii refolosesc parole, aleg variante ușor de memorat sau le modifică minimal: parola2024, parola2025, nume+an, nume+semn de exclamare. Din punctul de vedere al atacatorilor, aceasta este o mină de aur. Dacă o bază de date este spartă și parola ta apare într-un leak, ea poate fi testată automat pe alte site-uri. Așa apar atacurile de tip credential stuffing.
Apoi avem phishing-ul. Primești un mail care pare de la bancă, Google, Microsoft sau curier, dai click pe un link și ajungi pe o pagină care arată aproape identic cu cea reală. Introduci parola, poate și codul primit prin SMS, iar atacatorul le folosește imediat pe site-ul real. De aici și slăbiciunea codurilor prin SMS: ele par sigure, dar pot fi interceptate prin SIM swap, redirecționări, malware sau pot fi pur și simplu păcălite prin phishing. Din acest motiv, tot mai multe companii încearcă să reducă dependența de parole și de coduri de unică folosință trimise prin SMS.
Passkey-urile vin ca o soluție mai modernă. Pe scurt, un passkey înlocuiește parola cu o pereche de chei criptografice. Cheia publică ajunge la serviciul unde îți faci cont, iar cheia privată rămâne la tine, pe telefon, laptop, tabletă, într-un password manager sau pe o cheie hardware. Când vrei să te autentifici, site-ul trimite o provocare criptografică, iar dispozitivul tău o semnează cu cheia privată. Cheia privată nu părăsește dispozitivul sau managerul în care este stocată. Asta schimbă fundamental lucrurile. Dacă serverul unui site este spart, atacatorii nu găsesc o parolă pe care să o refolosească. Găsesc, cel mult, cheia publică, care nu le permite să se autentifice în locul tău. Dacă ajungi pe un site fals, browserul și sistemul de operare știu că passkey-ul este legat de domeniul real, nu de copia făcută de atacator. Cu alte cuvinte, nu ai ce „tasta” pe un site fals. Nu există o parolă pe care să o dai mai departe din greșeală.
Pentru utilizator, experiența este mai simplă decât pare. În loc să scrii o parolă și apoi să cauți un cod SMS, apeși pe autentificare, confirmi cu amprentă, Face ID, Windows Hello, PIN-ul telefonului sau cheia hardware și gata. Biometria nu este parola în sine și nu pleacă spre site. Ea doar deblochează accesul la cheia privată de pe dispozitivul tău. Passkey-urile pot fi stocate în mai multe feluri. Varianta cea mai comodă este cea sincronizată prin ecosistemul pe care îl folosești deja: iCloud Keychain pentru Apple, Google Password Manager pentru Android/Chrome, Microsoft Password Manager/Windows Hello pentru Windows și Edge sau un manager dedicat precum 1Password, Bitwarden, Dashlane și altele. Avantajul este clar: dacă îți schimbi telefonul sau laptopul, passkey-urile pot fi restaurate pe noul dispozitiv, de obicei printr-un mecanism criptat. Există și varianta mai strictă: passkey-uri legate de un singur dispozitiv sau de o cheie hardware, cum ar fi un YubiKey. În cazul acesta, securitatea este sporită pentru că respectiva cheie privată nu este sincronizată în cloud și nu poate fi copiată ușor. Dezavantajul este că poate deveni incomod. Dacă pierzi cheia hardware și nu ai o metodă de recuperare, poți pierde accesul la serviciul asociat. De aceea, pentru conturile importante, e bine să ai măcar două metode de acces: de exemplu un passkey pe telefon și unul pe o cheie hardware ținută acasă.
Sunt passkey-urile perfecte? Nu. Dacă dispozitivul tău este infectat cu un infostealer/malware sau dacă cineva îți poate debloca telefonul, passkey-urile pot fi compromise. De asemenea, ecosistemele încă nu sunt complet uniforme. Unele site-uri folosesc passkey-ul ca înlocuitor total pentru parolă, altele îl folosesc doar ca metodă de autentificare suplimentară. În plus, recuperarea conturilor rămâne complicată.
Totuși, direcția este clară. Google, Apple, Microsoft, Meta, Amazon, GitHub, PayPal și multe alte servicii au introdus deja suport pentru passkeys. Standardele FIDO2 și WebAuthn sunt integrate în browsere și sisteme de operare moderne, iar cercetătorii de securitate recomandă tot mai des autentificarea prin passkeys. Nu vom scăpa peste noapte de parole, pentru că internetul este mare, vechi și plin de servicii construite în epoci diferite. Dar vom vedea tot mai des opțiunea „Sign in with passkey”.
Pentru utilizatorul obișnuit, recomandarea este simplă: activează passkey-uri pe conturile importante atunci când ai opțiunea, păstrează un password manager bun pentru site-urile care încă folosesc parole, nu te baza pe SMS ca metodă principală de autentificare în doi pași și ai grijă la metodele de recuperare. Passkey-ul nu este magie, dar este un pas important spre o lume în care nu mai trebuie să inventăm, memorăm, refolosim și resetăm parole la nesfârșit. Parola a fost o soluție bună pentru calculatoarele partajate din anii 60. Pentru internetul de astăzi, a devenit o soluție obosită, peticită cu SMS-uri, coduri, reguli complicate și frustrări. Passkey-urile nu elimină toate riscurile, dar mută securitatea din zona „ține minte un secret și speră să nu îl fure nimeni” în zona criptografiei moderne, unde utilizatorul are mai puține lucruri pe care poate să le facă greșit. Iar pentru majoritatea oamenilor, asta este exact ce trebuie.
