top of page

OpenAI i Yubico łączą siły. Nowy poziom zabezpieczeń kont użytkowników ChatGPT

  • 4 maj
  • 3 minut(y) czytania

W ostatnim czasie OpenAI ogłosiło współpracę z Yubico, której efektem są dedykowane klucze sprzętowe YubiKey dla użytkowników ChatGPT. To wyraźna zmiana podejścia do ochrony kont i odpowiedź na bardzo konkretny problem, który od lat pozostaje największą słabością systemów logowania.

Zamiast rozwijać kolejne warianty haseł i kodów SMS, postawiono na model, który praktycznie eliminuje możliwość skutecznego phishingu. To ważny moment, bo dotyczy narzędzia, które dla wielu osób i firm stało się codziennym środowiskiem pracy.


Na czym polega zmiana

Klucze działają jako element logowania odporny na phishing, oparty na standardach FIDO. Ważne jest to, że mówimy o fizycznym urządzeniu, które użytkownik posiada i które jest wymagane przy logowaniu.

Równolegle OpenAI udostępniło tryb Advanced Account Security w ChatGPT. W tym modelu konto może być zabezpieczone w sposób znacznie bardziej restrykcyjny niż dotychczas. W praktyce oznacza to odejście od klasycznego logowania opartego na haśle i kodzie jednorazowym na rzecz silniejszych metod uwierzytelniania.

Z punktu widzenia użytkownika zmiana jest prosta do opisania. Zamiast wpisywać hasło i kod z aplikacji, potwierdza on dostęp przy użyciu fizycznego klucza. To drobna różnica w procesie logowania, ale ogromna różnica w poziomie bezpieczeństwa.


Dlaczego właśnie teraz

Nie chodzi o to, że dotychczasowe zabezpieczenia były całkowicie nieskuteczne. Problem polega na tym, że ataki przestały koncentrować się na systemach, a zaczęły na ludziach.

Phishing nie polega dziś na łamaniu haseł. Polega na przekonaniu użytkownika, żeby sam je podał. W podobny sposób działają ataki wykorzystujące fałszywe strony logowania lub podszywanie się pod dział IT.

W takim scenariuszu nawet:

  • silne hasło

  • uwierzytelnianie dwuskładnikowe z użyciem aplikacji

  • aplikacje generujące kody

mogą zostać ominięte, jeśli użytkownik wpisze dane na fałszywej stronie lub zatwierdzi dostęp, który wydaje się prawdziwy.

Rozwiązanie zastosowane przez OpenAI i Yubico eliminuje ten problem na poziomie mechanizmu logowania. Klucz sprzętowy działa tylko w kontekście prawdziwej domeny. Jeśli użytkownik trafi na fałszywą stronę, logowanie po prostu się nie powiedzie.

To fundamentalna różnica względem klasycznych metod. Tam użytkownik może zostać oszukany. Tutaj system nie pozwala na wykonanie błędnej operacji.


Co to zmienia

Dla osoby korzystającej z ChatGPT zmiana może wydawać się niewielka. W rzeczywistości oznacza dużo większą kontrolę nad własnym kontem.

ChatGPT przestał być tylko narzędziem do zadawania pytań. W wielu przypadkach przechowuje:

  • fragmenty dokumentów

  • pomysły biznesowe

  • dane klientów

  • analizy i strategie

Przejęcie takiego konta to nie tylko problem techniczny. To dostęp do wiedzy i kontekstu użytkownika.

Dzięki wykorzystaniu kluczy sprzętowych znika kilka najczęstszych scenariuszy ataku:

  • podszywanie się pod stronę logowania

  • przechwycenie kodu SMS

  • wyłudzenie kodu z aplikacji

  • manipulacja użytkownikiem przez fałszywe komunikaty

Użytkownik nie musi analizować, czy strona jest prawdziwa. Klucz Yubikey robi to za niego.

Z drugiej strony pojawia się nowa odpowiedzialność. Klucz fizyczny trzeba przechowywać i mieć do niego dostęp. Dlatego wymagane jest posiadanie więcej niż jednego urządzenia jako backupu.



Dlaczego to podejście jest skuteczne

Najważniejszy element tego rozwiązania to powiązanie logowania z fizycznym urządzeniem i konkretną usługą.

Klucz YubiKey nie przechowuje hasła w klasyczny sposób. Wykorzystuje kryptografię, która działa tylko w relacji z prawidłową stroną internetową. To sprawia, że atakujący nie jest w stanie przechwycić danych i wykorzystać ich gdzie indziej.

Z punktu widzenia użytkownika oznacza to prostszy proces. Zamiast pamiętać hasła i przepisywać kody, wystarczy użyć klucza.

Z punktu widzenia bezpieczeństwa oznacza to eliminację całej klasy ataków.

To podejście ma jeszcze jedną zaletę. Nie opiera się na zachowaniu użytkownika. Nawet jeśli ktoś się pomyli, system nie pozwoli na wykonanie ryzykownej operacji.


Wnioski

Współpraca OpenAI i Yubico pokazuje bardzo konkretny kierunek rozwoju bezpieczeństwa. Logowanie oparte na hasłach powoli traci rację bytu w środowiskach, gdzie dane mają wartość.


Najważniejsze wnioski są proste:

  • phishing nadal jest największym zagrożeniem

  • klasyczne MFA nie zawsze wystarcza

  • rozwiązania sprzętowe skutecznie eliminują wiele scenariuszy ataku

  • narzędzia AI stają się zasobem, który trzeba chronić tak samo jak systemy firmowe



Zmiana, którą wprowadziło OpenAI, nie jest rewolucją technologiczną. Jest raczej konsekwentnym krokiem w stronę modelu, który ogranicza możliwość popełnienia błędu przez użytkownika.

A to właśnie błędy użytkowników są dziś najczęstszą przyczyną incydentów bezpieczeństwa.

 
 
logo eprinus

Kontakt: ​biuro@eprinus.com

tel. +48 22 299 18 95

​Pomoc techniczna: support@eprinus.com

tel. +48 22 299 18 95

Biuro: 

Budynek Warsaw UNIT, XII piętro

Rondo Daszyńskiego 1, 00-843 Warszawa

 

Obserwuj nas

  • LinkedIn
  • Facebook
  • X

ePrinus Sp. z o.o.
NIP: 5213647828

REGON: 146647903

KRS 0000459188
e-Doręczenia AE:PL-92432-86550-IVJJR-33

Adres rejestrowy:

ul. Ursynowska 72, 02-605 Warszawa

bottom of page