Ne használjon jelszót a felhasználói adatok titkosításához

A jelszó az elmúlt évek legizgalmasabb hitelesítési fejlesztése. Megszüntetik az adathalászatot, eltávolítják a jelszavak terhét, és zökkenőmentes bejelentkezési élményt biztosítanak nyilvános kulcsú titkosítással. Ám egy veszélyes tévhit terjed a fejlesztői közösségekben: ha a jelszó kriptográfiai, akkor biztosan képesek a felhasználói adatokat is titkosítani. Nem képesek – és ha megpróbálják használni őket, az törékeny, megbízhatatlan rendszereket hoz létre, amelyek végleg kizárhatják a felhasználókat saját információiktól. A miértek megértéséhez világosan meg kell vizsgálni, hogy valójában mik a jelszókulcsok, milyen titkosítási igények vannak, és hol tér el a kettő oly módon, ami rendkívül fontos bármely, érzékeny üzleti adatokat kezelő platform számára.

A hitelesítés és a titkosítás alapvetően különböző feladatok

A hitelesítés egy kérdésre ad választ: "Te az vagy, akinek állítod magad?" A titkosítás egészen másra ad választ: "Ezek az adatok olvashatatlanok maradhatnak mindenki számára, kivéve a jogosult feleket?" Ez a két probléma közös kriptográfiai primitíveket tartalmaz, de a mérnöki követelmények élesen eltérnek egymástól. A hitelesítésnek munkamenetenként egyszer kell megtörténnie, elviseli az alkalmi hibákat kecses visszaesésekkel, és nem kell minden alkalommal ugyanazt a kimenetet produkálnia. A titkosítás determinisztikus, reprodukálható kulcshoz való hozzáférést igényel az adatok teljes élettartama alatt – ami évek vagy évtizedek is lehet.

Amikor jelszóval hitelesít, az eszköz kriptográfiai aláírást generál, amely bizonyítja, hogy Ön rendelkezik a fiókjához társított privát kulcsgal. A szerver ellenőrzi ezt az aláírást, és hozzáférést biztosít. A szerver – vagy akár az Ön alkalmazása – soha nem fér hozzá a privát kulcs anyagához. Ez egy funkció, nem pedig korlátozás. A jelszók teljes biztonsági modellje attól függ, hogy a privát kulcs soha nem hagyja el az eszköz biztonságos enklávéját. A titkosítás azonban megköveteli, hogy egy kulcsot használjon az adatok átalakításához, majd később ugyanazt a kulcsot (vagy annak megfelelőjét) használja az átalakítás visszafordításához. Ha nem tud megbízhatóan hozzáférni a kulcshoz, akkor nem tudja megbízhatóan visszafejteni.

Az olyan platformoknak, mint a Mewayz, amelyek érzékeny üzleti információkat – számlákat, bérnyilvántartásokat, CRM-kapcsolatokat, HR-dokumentumokat – 207 modulon keresztül kezelnek, tartós, helyreállítható és következetesen hozzáférhető kulcsokra épülő titkosítási stratégiákra van szükségük. Ezt egy olyan alapra építeni, amelyet kifejezetten a kulcsok hozzáférésének megakadályozására terveztek, építészeti ellentmondás.

Miért ellenállnak a jelszavak titkosítási kulcsként való használatának?

A WebAuthn specifikációt, amely a jelszó alapját képezi, szándékosan olyan megszorításokkal tervezték, amelyek nem teszik lehetővé a titkosítást. E korlátok megértése megmutatja, hogy ez miért nem egy olyan szakadék, amelyet az okos tervezés áthidalhat – ez a tervezés alapvető határa.

Nincs kulcsexportálás: A jelszó regisztrációja során generált privát kulcsokat hardverrel támogatott biztonságos enklávékban (TPM, Secure Enclave vagy ezzel egyenértékű) tárolják. Az operációs rendszer és a böngésző API-k nem biztosítanak mechanizmust a nyers kulcsanyagok kibontására. Megkérheti a kulcsot, hogy írjon alá valamit, de magát a kulcsot nem tudja elolvasni.

Nem determinisztikus kulcsgenerálás: Ha ugyanannak a felhasználónak egy jelszót hoz létre egy másik eszközön, teljesen más kulcspárt hoz létre. Nincs kezdő kifejezés, nincs származtatási útvonal, nincs mód ugyanazon kulcs rekonstrukciójára egy másik eszközön. Minden regisztráció kriptográfiailag független.

Eszközhöz kötött elérhetőség: Még a jelszó-szinkronizálás (iCloud Keychain, Google Password Manager) esetén is az elérhetőség az ökoszisztéma részvételétől függ. Az a felhasználó, aki iPhone-on regisztrál, és később Androidra vált, elveszítheti a hozzáférését. Az a felhasználó, akinek eszköze elveszett, ellopták vagy a gyári beállításokat visszaállította, ugyanezzel a problémával szembesül.

Csak kihívás-válasz: A WebAuthn API megjeleníti a navigator.credentials.get() függvényt, amely aláírt állítást ad vissza, nem nyers kulcsanyagot. Aláírást kap egy szerver által biztosított kihíváson – ez hasznos a személyazonosság bizonyításához, és haszontalan a titkosítási kulcs levezetéséhez.

Nincs algoritmus-rugalmasság: A jelszók általában az ECDSA-t használják a P-256 görbével. Még ha hozzáférne is a kulcshoz, az ECDSA egy aláíró algoritmus

Frequently Asked Questions

Why can't passkeys be used to encrypt user data?

Passkeys are designed exclusively for authentication, not encryption. They rely on public-key cryptography to verify your identity during login, but the private key never leaves your device and isn't accessible to applications. Encryption requires stable, reproducible keys that can consistently decrypt data over time. Passkeys lack this capability by design, making them fundamentally unsuitable for protecting stored user information.

What happens if you try to encrypt data with passkeys anyway?

You risk building a brittle system where users get permanently locked out of their own data. Passkeys can be revoked, rotated, or replaced across devices without warning. If encrypted data is tied to a specific passkey that gets deleted or updated, there is no recovery path. This creates a catastrophic data-loss scenario that no amount of engineering workaround can reliably prevent.

What should developers use instead of passkeys for data encryption?

Developers should use purpose-built encryption solutions such as AES-256 with proper key management, envelope encryption, or established libraries like libsodium. Keep authentication and encryption as separate concerns. Use passkeys for what they excel at — passwordless login — and dedicated encryption keys managed through secure key derivation and storage systems for protecting sensitive user data.

How does Mewayz handle authentication and data security for businesses?

Mewayz provides a 207-module business OS starting at $19/mo that separates authentication from data protection using industry best practices. Rather than misusing passkeys, the platform at app.mewayz.com implements proper encryption layers alongside secure login flows, ensuring businesses can protect customer data reliably without risking the lockout scenarios that come from conflating authentication with encryption.

Related Posts

• HN megjelenítése: Sgai – Célvezérelt többügynök szoftverfejlesztő (GOAL.md → működő kód)
• A telefonok beállítása egy rémálom
• Az örök ígéret: A programozók kiirtására tett kísérletek története
• Osaka: A Kansai repülőtér büszke arra, hogy soha egyetlen csomagot sem veszített el (2024)