OpenAI i Yubico: klucze sprzętowe zabezpieczają ChatGPT
OpenAI i Yubico ogłosili partnerstwo, które wprowadza klucze sprzętowe do zabezpieczania kont ChatGPT. Program Advanced Account Security zastępuje tradycyjne hasła passkeys i kluczami sprzętowymi, eliminując wektory ataków phishingowych.
TL;DR: OpenAI uruchomiło program Advanced Account Security dla ChatGPT we współpracy z Yubico. Funkcja zastępuje hasła passkeys i kluczami sprzętowymi YubiKey, usuwa odzyskiwanie przez email oraz SMS. Użytkownicy oznaczeni jako „zagrożeni” otrzymają zniżki na sprzętowe tokeny autentykacji.
Czym jest Advanced Account Security od OpenAI?
Advanced Account Security to opcjonalny program ochrony kont ChatGPT, który całkowicie eliminuje logowanie za pomocą haseł. Zamiast tradycyjnych metod uwierzytelniania system wymaga stosowania passkeys albo kluczy sprzętowych kompatybilnych ze standardem FIDO2. Funkcja jest skierowana przede wszystkim do użytkowników narażonych na podwyższone ryzyko ataków cyfrowych – dziennikarzy, aktywistów, badaczy bezpieczeństwa.
Program po aktywacji trwale modyfikuje sposób logowania do konta. Użytkownik traci możliwość powrotu do standardowego uwierzytelniania za pomocą hasła. Ponadto system wyłącza odzyskiwanie konta przez email oraz SMS, co uniemożliwia atakującym przejęcie dostępu poprzez przejęcie skrzynki pocztowej. W zamian OpenAI oferuje odzyskiwanie wyłącznie przez weryfikację tożsamości z użyciem zapasowego klucza sprzętowego.
Jak podaje WIRED, program został zaprojektowany specjalnie dla osób, których konta ChatGPT albo konta w narzędziu Codex mogą być celem ataków phishingowych. OpenAI identyfikuje takie konta na podstawie analizy ryzyka.
Advanced Account Security zastępuje hasła passkeys i kluczami sprzętowymi, usuwając jednocześnie opcje odzyskiwania przez email i SMS. Według WIRED funkcja jest skierowana do użytkowników oznaczonych jako potencjalne cele ataków phishingowych na konta ChatGPT i Codex.
Jak działa partnerstwo OpenAI z Yubico?
Yubico to firma specjalizująca się w sprzętowych tokenach autentykacji, produkująca popularne klucze YubiKey. W ramach partnerstwa z OpenAI obie firmy przygotowały ko-brandowane wersje kluczy sprzętowych, dedykowane użytkownikom ChatGPT. Urządzenia obsługują standardy FIDO2 oraz WebAuthn, zapewniając ochronę przed atakami phishingowymi na poziomie sprzętowym.
Klucze YubiKey działają jako fizyczny token, który użytkownik musi podłączyć do urządzenia podczas logowania. Samo posiadanie klucza nie wystarczy do uwierzytelnienia – system wymaga również potwierdzenia obecności użytkownika poprzez dotknięcie sensora na urządzeniu. Zatem nawet skradziony klucz nie pozwala na dostęp do konta bez fizycznej interakcji.
BetaNews podaje, że ko-brandowane YubiKeys pozwalają użytkownikom na całkowite zablokowanie dostępu do kont ChatGPT. Klucze są oferowane ze zniżką dla użytkowników zakwalifikowanych do programu Advanced Account Security.
OpenAI i Yubico przygotowały ko-brandowane klucze YubiKey obsługujące standardy FIDO2 oraz WebAuthn. Według BetaNews urządzenia pozwalają na całkowite zablokowanie dostępu do kont ChatGPT, a wybrane grupy użytkowników otrzymują na nie zniżki w ramach programu Advanced Account Security.
Jakie metody uwierzytelniania zastępuje nowy system?
Program Advanced Account Security eliminuje cztery tradycyjne metody logowania i odzyskiwania kont:
- Hasła tekstowe – podstawowa metoda uwierzytelniania podatna na ataki brute-force oraz credential stuffing
- Kody SMS – jednorazowe kody wysyłane na telefon, podatne na ataki SIM-swapping oraz przechwycenie
- Odzyskiwanie przez email – mechanizm resetowania hasła poprzez link wysyłany na skrzynkę pocztową
- Aplikacje uwierzytelniające TOTP – kody jednorazowe generowane przez aplikacje mobilne
Zamiast wymienionych metod system oferuje dwie opcje:
- Passkeys – klucze kryptograficzne przechowywane lokalnie na urządzeniu użytkownika (telefon, komputer)
- Klucze sprzętowe YubiKey – fizyczne tokeny podłączane przez USB albo NFC
Poniższa tabela zestawia cechy obu metod:
| Cecha | Passkeys | YubiKey |
|---|---|---|
| Nośnik | Urządzenie użytkownika | Osobny token sprzętowy |
| Phishing-proof | Tak | Tak |
| Wymaga sprzętu | Nie | Tak |
| Koszt | Darmowe | Od ok. 150 zł |
| Odzyskiwanie po utracie | Przez inne urządzenie | Przez zapasowy klucz |
Winbuzzer potwierdza, że po włączeniu Advanced Account Security OpenAI usuwa opcje odzyskiwania konta przez email oraz SMS.
Kto może skorzystać z nowych zabezpieczeń?
Funkcja Advanced Account Security jest dostępna jako opcja opt-in dla wszystkich użytkowników ChatGPT. Jednakże OpenAI szczególnie poleca ją osobom narażonym na ataki ze względu na swoją działalność. CryptoSec podaje, że zaostrzenie polityki bezpieczeństwa jest skierowane do osób narażonych na podwyższone ryzyko cyfrowych ataków.
Do grup docelowych należą między innymi: dziennikarze śledczy, pracownicy organizacji pozarządowych, badacze bezpieczeństwa, aktywisci praw człowieka, pracownicy korporacji obsługujący poufne dane. OpenAI identyfikuje konta podwyższonego ryzyka na podstawie analizy wzorców logowania oraz sygnałów o potencjalnych atakach.
Bitcoinworld.in wskazuje, że program adresuje rosnące zagrożenie atakami phishingowymi wymierzonymi w użytkowników chatbotów na całym świecie.
Advanced Account Security jest opcjonalną funkcją opt-in dostępną dla wszystkich użytkowników ChatGPT, ale OpenAI szczególnie zaleca ją osobom o podwyższonym ryzyku ataków. CryptoSec potwierdza, że zaostrzenie polityki bezpieczeństwa jest skierowane do użytkowników narażonych na zwiększone ryzyko cyfrowych ataków.
Więcej o bezpieczeństwie w ekosystemie OpenAI można przeczytać w artykule o Filtr prywatności OpenAI. Z kolei informacje o najnowszych aktualizacjach modeli znajdziesz w tekście GPT-5.3 i GPT-5.4 w ChatGPT – Centrum Pomocy OpenAI.
Dlaczego OpenAI eliminuje odzyskiwanie kont przez email i SMS?
OpenAI całkowicie usunęło opcje odzyskiwania konta przez email oraz SMS po włączeniu Advanced Account Security. Według Winbuzzer funkcja usuwa te mechanizmy, ponieważ stanowią one najsłabsze ogniwo bezpieczeństwa – atakujący mogą przejąć skrzynkę pocztową albo przeprowadzić atak SIM-swapping, aby zresetować hasło. System pozostawia jedynie odzyskiwanie przez zapasowy klucz sprzętowy.
Decyzja o usunięciu tradycyjnych ścieżek odzyskiwania wynika z analizy rzeczywistych wektorów ataków. Phishing pozostaje dominującą metodą przejmowania kont. Co więcej, odzyskiwanie przez email tworzy błędne koło – zabezpieczenie konta zależy wtedy od bezpieczeństwa skrzynki pocztowej. SMS z kolei jest podatny na przechwycenie przez ataki SS7 oraz SIM-swapping.
Po aktywacji Advanced Account Security OpenAI trwale usuwa odzyskiwanie konta przez email i SMS, oferując wyłącznie odzyskiwanie przez zapasowy klucz sprzętowy. Winbuzzer potwierdza, że eliminacja tych mechanizmów ma na celu usunięcie najsłabszych ogniw w łańcuchu uwierzytelniania.
Wwwhatsnew podkreśla, że po utracie klucza sprzętowego odzyskanie dostępu jest niemożliwe – nawet pracownicy OpenAI nie mogą zresetować zabezpieczeń. To świadoma decyzja projektowa.
Ile kosztują klucze YubiKey i kto otrzymuje zniżki?
Klucze YubiKey są dostępne w różnych wersjach cenowych, od podstawowych modeli USB-A po zaawansowane z kluczem NFC. Wwwhatsnew podaje, że OpenAI oferuje zniżki na ko-brandowane klucze dla użytkowników zakwalifikowanych do programu Advanced Account Security jako osoby o podwyższonym ryzyku ataków. Standardowe ceny YubiKey zaczynają się od około 150 zł.
Partnerstwo z Yubico obejmuje specjalnie oznaczone wersje kluczy z logo ChatGPT. Zatem użytkownicy otrzymują nie tylko funkcjonalne urządzenie, ale też produkt identyfikujący ich przynależność do ekosystemu OpenAI. Klucze obsługują standardy FIDO2 oraz WebAuthn.
OpenAI oferuje zniżki na ko-brandowane klucze YubiKey dla użytkowników oznaczonych jako zagrożeni w ramach Advanced Account Security. Według Wwwhatsnew urządzenia są dostępne w specjalnych wersjach z logo ChatGPT, a standardowe ceny YubiKey zaczynają się od około 150 zł.
Pierwszy klucz jest głównym urządzeniem logowania. Z kolei drugi klucz służy jako zapasowy – bez niego odzyskanie dostępu po utracie głównego klucza jest niemożliwe.
Jakie są konsekwencje utraty klucza sprzętowego?
Utrata wszystkich zarejestrowanych kluczy sprzętowych oznacza trwałą utratę dostępu do konta ChatGPT. Wwwhatsnew wyraźnie zaznacza, że nawet Sam Altman nie może odzyskać takiego konta – system nie posiada żadnych backdoorów ani obejść bezpieczeństwa. Dlatego OpenAI zaleca rejestrację co najmniej dwóch kluczy.
Brak tradycyjnych metod odzyskiwania to świadoma decyzja architektoniczna. Każdy dodatkowy kanał odzyskiwania tworzyłby nowy wektor ataku. Mimo to takie podejście wymaga od użytkowników odpowiedzialnego zarządzania fizycznymi tokenami.
Oto kluczowe zasady postępowania z kluczami YubiKey w programie Advanced Account Security:
- Zarejestruj co najmniej dwa klucze sprzętowe na koncie ChatGPT
- Przechowuj zapasowy klucz w bezpiecznym miejscu oddzielonym od głównego
- Nie noś obu kluczy jednocześnie – minimalizuje to ryzyko jednoczesnej utraty
- Sprawdź kompatybilność urządzenia z portami USB przed zakupem
- Rozważ model z NFC jako zapasowy – działa z telefonami komórkowymi
- Rejestruj klucze na zaufanych urządzeniach z aktualnym oprogramowaniem
- Unikaj korzystania z kluczy na publicznych komputerach bez zaufania
- Wymień klucz natychmiast po zauważeniu fizycznych uszkodzeń
Po utracie wszystkich zarejestrowanych kluczy sprzętowych odzyskanie dostępu do konta ChatGPT jest trwale niemożliwe. Wwwhatsnew potwierdza, że system nie posiada backdoorów – nawet pracownicy OpenAI nie mogą zresetować zabezpieczeń konta chronionego przez Advanced Account Security.
Jak standardy FIDO2 i WebAuthn chronią przed phishingiem?
Standardy FIDO2 oraz WebAuthn wbudowują ochronę przed phishingiem bezpośrednio w protokół uwierzytelniania. Klucz sprzętowy weryfikuje domenę strony przed wysłaniem odpowiedzi kryptograficznej. Zatem próba logowania na sfałszowanej stronie kończy się odrzuceniem – klucz po prostu nie uwierzytelni się na niewłaściwej domenie.
BetaNews potwierdza, że ko-brandowane YubiKeys wykorzystują te standardy do całkowitego zablokowania dostępu do kont ChatGPT. W przeciwieństwie do haseł, klucze sprzętowe nie mogą zostać wykradzione przez stronę phishingową, ponieważ nigdy nie opuszczają fizycznego urządzenia.
Standardy FIDO2 oraz WebAuthn wbudowują ochronę anty-phishingową w protokół – klucz sprzętowy weryfikuje domenę przed uwierzytelnieniem. BetaNews potwierdza, że ko-brandowane YubiKeys wykorzystują te protokoły do całkowitego zablokowania kont ChatGPT przed nieautoryzowanym dostępem.
Więcej o standardach bezpieczeństwa w branży technologicznej znajdziesz w artykule o Google Cloud wprowadza dwa nowe chipy AI, by konkurować z Nvidią. Z kolei informacje o innych inicjatywach OpenAI dostępne są w tekście OpenAI aktualizuje swoje Agents SDK, aby pomóc przedsiębiorstwom budować bezpieczniejsze, bardziej wydajne agenty.
Często zadawane pytania
Czy mogę wyłączyć Advanced Account Security po jego aktywacji?
Nie. TechCrunch potwierdza, że po włączeniu Advanced Account Security użytkownik traci możliwość powrotu do standardowego logowania hasłem – zmiana jest nieodwracalna. Zawsze rejestruj co najmniej dwa klucze sprzętowe przed aktywacją.
Czy passkeys są równie bezpieczne jak klucze sprzętowe YubiKey?
Passkeys chronią przed phishingiem na poziomie kryptograficznym, ale są przechowywane na urządzeniu, które może zostać skompromitowane. Firstpost podaje, że klucze sprzętowe stanowią oddzielny token fizyczny – stanowią wyższy poziom zabezpieczeń.
Jakie konkretne modele YubiKey obsługują program OpenAI?
Yubico oferuje ko-brandowane wersje kluczy obsługujące FIDO2 oraz WebAuthn. BetaNews wskazuje, że urządzenia są dostępne w wariantach USB-A oraz USB-C z opcją NFC, a użytkownicy zakwalifikowani jako zagrożeni otrzymują na nie zniżki.
Czy program chroni również konwersacje z poprzednich sesji ChatGPT?
Tak. ALM Corp potwierdza, że Advanced Account Security skraca czas trwania sesji i wymaga ponownego uwierzytelnienia, co ogranicza dostęp do historii konwersacji po wygaśnięciu sesji. Zawsze wylogowuj się z ChatGPT na współdzielonych urządzeniach.
Podsumowanie
Program Advanced Account Security od OpenAI wprowadza radykalną zmianę w podejściu do bezpieczeństwa kont ChatGPT. Eliminacja haseł, kodów SMS oraz odzyskiwania przez email tworzy system odporny na dominujące wektory ataków phishingowych. Partnerstwo z Yubico dostarcza sprzętowe narzędzie realizujące ten cel.
Główne wnioski z wprowadzenia nowych zabezpieczeń:
- Advanced Account Security całkowicie eliminuje hasła i odzyskiwanie przez email oraz SMS
- Utrata wszystkich kluczy sprzętowych oznacza trwałą utratę dostępu do konta
- Ko-brandowane YubiKey obsługują standardy FIDO2 oraz WebAuthn
- Funkcja jest opcjonalna, ale OpenAI zaleca ją osobom o podwyższonym ryzyku ataków
- System nie posiada backdoorów – nawet pracownicy OpenAI nie mogą odzyskać konta
Jeśli należysz do grupy podwyższonego ryzyka, rozważ aktywację Advanced Account Security i zakup dwóch kluczy YubiKey. Więcej o ekosystemie OpenAI przeczytasz w artykułach OpenAI udostępnia GPT-5.5, przybliżając firmę do AI 'super aplikacji’ oraz Cirrus Labs dołącza do OpenAI.