Strona główna
O nas
Open source Aplikacje mobilne Najczęściej zadawane pytania Migracja z Google Photos O PixelUnion
Cennik Blog
Centrum Pomocy
Konto Immich Inne Skontaktuj się z pomocą
Get Started
Privacy

Żegnajcie hasła: PixelUnion obsługuje teraz klucze dostępu

PixelUnion Team
6 min read
#Passkeys #Security #2FA #Authentication #Account Security #Privacy #Password-Free
Żegnajcie hasła: PixelUnion obsługuje teraz klucze dostępu

Hasła to wynalazek z lat 60. XX wieku. Zostały zaprojektowane dla świata, w którym komputery zajmowały całe pomieszczenia i używała ich jedynie garstka naukowców. Dziś przeciętna osoba posiada ponad 100 kont online, a każdego roku w wyniku naruszeń danych ujawniane są miliardy danych logowania. Skromne hasło nigdy nie było przeznaczone do czegoś takiego, i to bardzo widać.

Z przyjemnością ogłaszamy, że PixelUnion obsługuje teraz klucze dostępu: nowoczesny i fundamentalnie bezpieczniejszy sposób logowania. Żadnych haseł do zapamiętania, żadnych kodów SMS do wpisywania i żadnej możliwości kradzieży czegoś, czego nigdy nie posiadałeś.

Czym jest hasło i co jest z nim nie tak?

Zanim wyjaśnimy klucze dostępu, warto zrozumieć, co sprawia, że hasła są tak problematyczne.

Gdy tworzysz hasło na stronie internetowej, ta strona przechowuje jego wersję na swoich serwerach. (Ciekawi Cię, jak dokładnie to działa? Pisaliśmy o tym, jak działa hashowanie haseł w naszym dostawcy tożsamości.) Za każdym razem, gdy się logujesz, Twoje hasło wędruje z Twojego urządzenia na ich serwer, gdzie jest porównywane z zapisaną wersją. Oznacza to, że dwie rzeczy są prawdziwe jednocześnie: Twój sekret musi być udostępniony, i ktoś inny jest odpowiedzialny za jego bezpieczne przechowywanie.

Gdy firmy są atakowane, a dzieje się to nieustannie, te przechowywane hasła mogą wyciec. Nawet gdy firmy przechowują je ostrożnie, zdeterminowani atakujący potrafią złamać słabe hasła. A ponieważ ludzie używają tych samych haseł na różnych stronach, co jest w pełni zrozumiałe, bo kto jest w stanie zapamiętać 100 różnych, naruszenie w jednej firmie może rozprzestrzenić się na dziesiątki innych.

Ataki phishingowe również to wykorzystują. Przekonująca fałszywa strona logowania może nakłonić Cię do wpisania hasła bezpośrednio w ręce atakującego. Nawet nie zdajesz sobie z tego sprawy.

Problem nie polega na tym, że ludzie są niedbali. Problem polega na tym, że technologia jest wadliwa z założenia.

Czym jest klucz dostępu?

Klucz dostępu to zamiennik hasła, który działa w zupełnie inny sposób. A gdy zrozumiesz podstawowy pomysł, jest on naprawdę elegancki.

Zamiast tajnego słowa, które wpisujesz, klucz dostępu to para kluczy kryptograficznych: jeden prywatny (przechowywany tylko na Twoim urządzeniu) i jeden publiczny (udostępniony stronie internetowej). Wyobraź sobie zamek i klucz, z tą różnicą, że nigdy nie oddajesz klucza nikomu. Strona internetowa trzyma zamek, Twoje urządzenie trzyma klucz, a logowanie następuje wtedy, gdy Twoje urządzenie udowadnia, że może otworzyć ten zamek, nigdy nie wysyłając samego klucza.

W praktyce wygląda to tak: odwiedzasz stronę logowania PixelUnion, naciskasz przycisk, a Twój telefon lub laptop prosi Cię o potwierdzenie za pomocą Face ID, Touch ID, Windows Hello lub kodu PIN urządzenia. To wszystko. Żadnego hasła do wpisania, żadnego kodu do odebrania przez SMS.

Kluczy dostępu nie można wyłudzić przez phishing, ponieważ nie ma żadnego sekretu do wykradzenia. Nawet jeśli atakujący nakłoni Cię do odwiedzenia fałszywej strony logowania, Twój klucz dostępu po prostu tam nie zadziała: jest kryptograficznie powiązany z prawdziwą stroną pixelunion.eu.

Co sprawia, że klucze dostępu są lepsze w praktyce:

  • Nic do zapamiętania. Twoje urządzenie w całości zarządza uwierzytelnianiem.
  • Nic do wykradzenia z serwera. Serwer PixelUnion przechowuje tylko Twój klucz publiczny, który sam w sobie jest bezużyteczny dla atakującego.
  • Odporne na phishing z założenia. Twój klucz dostępu będzie działać tylko na prawdziwym pixelunion.eu, a nie na żadnej fałszywej stronie, bez względu na to, jak przekonująco wygląda.
  • Brak problemu z ponownym użyciem. Każdy klucz dostępu jest unikalny dla każdej strony, więc naruszenie gdzie indziej nie może wpłynąć na Twoje konto PixelUnion.

Jak skonfigurować klucz dostępu w PixelUnion?

Konfiguracja zajmuje około minuty:

  1. Zaloguj się na swoje konto PixelUnion.
  2. Przejdź do ustawień bezpieczeństwa swojego konta.
  3. Wybierz Dodaj klucz dostępu.
  4. Postępuj zgodnie z instrukcjami na swoim urządzeniu: Twój telefon, laptop lub klucz bezpieczeństwa poprowadzi Cię przez cały proces.

Po skonfigurowaniu możesz używać klucza dostępu do logowania się z dowolnego kompatybilnego urządzenia. Klucz dostępu można synchronizować za pośrednictwem iCloud Keychain (na urządzeniach Apple), Google Password Manager (na Androidzie/Chrome) lub Windows Hello, w zależności od Twojej konfiguracji.

Jeśli używasz menedżera haseł, takiego jak 1Password lub Bitwarden, te aplikacje również obsługują klucze dostępu i działają doskonale na wielu platformach.

Czym jest weryfikacja dwuetapowa i dlaczego powinieneś jej używać?

Klucze dostępu to ogromny krok naprzód. Ale skoro mowa o bezpieczeństwie kont, warto wspomnieć o jeszcze jednej warstwie ochrony: weryfikacji dwuetapowej, czyli 2FA.

Idea stojąca za 2FA jest prosta: aby się zalogować, musisz udowodnić dwie oddzielne rzeczy. Zazwyczaj oznacza to coś, co wiesz (swoje hasło), i coś, co masz (np. swój telefon). Nawet jeśli atakujący zna Twoje hasło, nie może się zalogować bez Twojego drugiego czynnika.

Wyobraź to sobie jak drzwi wejściowe z zamkiem i zasuwką. Jeden zamek można sforsować; dwa jest znacznie trudniejsze.

Rodzaje 2FA, od najsłabszego do najsilniejszego:

  • Kody SMS: kod wysyłany na Twój telefon w wiadomości tekstowej. Lepsze niż nic, ale podatne na ataki SIM swapping, gdzie atakujący przekonuje Twojego operatora do przeniesienia Twojego numeru na jego urządzenie.
  • Aplikacje uwierzytelniające: aplikacje takie jak Aegis (open-source, Android), Raivo (iOS) lub Google/Microsoft Authenticator generują kody czasowe na Twoim urządzeniu. Znacznie bezpieczniejsze niż SMS.
  • Sprzętowe klucze bezpieczeństwa: fizyczne klucze USB lub NFC, takie jak YubiKey, które podłączasz lub przykładasz. Niezwykle bezpieczne, używane przez osoby i organizacje wysokiego ryzyka.
  • Klucze dostępu: jak opisano powyżej, stanowią złoty standard: odporne na phishing, powiązane z urządzeniem i bezproblemowe.

Nawet jeśli nie jesteś jeszcze gotowy na przejście na klucze dostępu, aktywuj aplikację uwierzytelniającą jako drugi czynnik. Zajmuje to pięć minut i sprawia, że Twoje konto staje się dramatycznie trudniejsze do przejęcia.

Dlaczego jest to szczególnie ważne w przypadku Twoich zdjęć

Twoje konto PixelUnion zawiera niektóre z Twoich najbardziej osobistych danych: zdjęcia rodzinne, wspomnienia, prywatne chwile. W przeciwieństwie do konta w mediach społecznościowych, gdzie konsekwencją naruszenia mogą być żenujące posty, skompromitowane konto do przechowywania zdjęć może ujawnić głęboko intymne obrazy.

To nie jest hipoteza. Konta iCloud były atakowane właśnie dlatego, że ludzie przechowują tam intymne zdjęcia. Przechowywanie zdjęć jest celem o wysokiej wartości.

W PixelUnion zawsze traktowaliśmy bezpieczeństwo poważnie: przechowujemy Twoje dane na europejskich serwerach, pod europejskim prawem, z dala od inwigilacji Big Tech i zasięgu prawnego USA. Ale techniczne gwarancje prywatności to tylko część historii. Bezpieczeństwo logowania Twojego konta to drzwi wejściowe, i zasługuje na taką samą troskę.

Co powinieneś zrobić dzisiaj

Zachęcamy każdego użytkownika PixelUnion do podjęcia dwóch kroków:

  1. Skonfiguruj klucz dostępu. Jest szybszy, bezpieczniejszy i nigdy więcej nie będziesz musiał pamiętać hasła do PixelUnion. Zaloguj się i dodaj go teraz →
  2. Włącz 2FA. Jeśli z jakiegokolwiek powodu wolisz nadal używać hasła, dodaj aplikację uwierzytelniającą jako drugą warstwę ochrony. Opcję znajdziesz w Ustawienia konta > Bezpieczeństwo.

Dziesięć minut, które na to poświęcisz dzisiaj, może uchronić Cię przed sytuacją, z którą naprawdę nie chcesz się mierzyć.

W PixelUnion wierzymy, że zachowanie prywatności Twoich wspomnień wymaga czegoś więcej niż tylko serwera zgodnego z RODO. Wymaga przemyślanego bezpieczeństwa na każdej warstwie: od miejsca przechowywania Twoich zdjęć po sposób ochrony Twojego konta. Klucze dostępu to kolejny krok w tym kierunku.

Zabezpiecz swoje konto już dziś →