Mobilni

Objašnjeni pristupni ključevi: Apple, Google i Microsoft konačno imaju jednostavan način za izbacivanje lozinki

Ova priča je dio WWDC 2022CNET-ova potpuna pokrivenost sa Appleove godišnje konferencije programera i o njoj.

Šta se dešava

Apple i Google ove godine ažuriraju svoj softver telefona i web pretraživače tehnologijom zvanom pristupni ključevi dizajnirani da budu laki za korištenje i sigurniji od lozinki.

Zašto je važno

Lozinke su dugo bile mučene s problemima, ali tehnološki divovi su sarađivali kako bi dizajnirali praktičnu alternativu koja smanjuje ranjivosti i rizike od hakovanja.

Sa iOS 16 će biti objavljen u ponedjeljakApple je predstavio podršku za pristupne ključeve, novu tehnologiju za prijavu koja obećava da će biti sigurnija od lozinki u zaštiti pristupa web stranicama i e-pošti.

Apple je demonstrirao pristupne ključeve na svojoj Worldwide Developers Conference u junu i rekli su da će doći iOS 16 i MacOS Ventura ove jeseni. Dolaze i na Googleov Android i na web pretraživače.

Lozinke su isto tako jednostavne — možda i lakše — za korištenje nego lozinke. Oni zamjenjuju mnoštvo pritisaka na tipke potrebnih za lozinke biometrijskom provjerom na našim telefonima ili kompjuterima. Oni također zaustavljaju phishing napade i uklanjaju komplikacije dvofaktorske autentifikacije, poput SMS kodova, koji pojačavaju slabosti sistema lozinki.

Nakon što postavite pristupni ključ za web lokaciju ili aplikaciju, on se pohranjuje na telefonu ili ličnom računaru koji ste koristili za postavljanje. Usluge poput Appleovog iCloud Keychain-a ili Googleovog Chrome upravitelja lozinki mogu sinkronizirati pristupne ključeve na svim vašim uređajima. Desetine tehnoloških kompanija razvile su otvorene standarde iza pristupnih ključeva u grupi pod nazivom FIDO Alliance, koja je najavila pristupne ključeve u maju.

“Sada je vrijeme da ih usvojite”, rekao je Garrett Davidson, inženjer tehnologije autentikacije u Appleu u WWDC govoru o pristupnim ključevima. “Sa pristupnim ključevima, ne samo da je korisničko iskustvo bolje nego sa lozinkama, već čitave kategorije sigurnosti – poput slabih i ponovno korištenih vjerodajnica, curenja vjerodajnica i phishing – jednostavno više nisu moguće.”

Morat ćete potrošiti malo vremena na krivulju učenja prije nego pristupni ključevi ispune svoj potencijal. Također ćete morati odlučiti da li je Apple, Microsoft ili Google najbolja opcija za vas.

Evo pogleda na tehnologiju.

Šta je pristupni ključ?

To je nova vrsta akreditiva za prijavu koji se sastoji od malo digitalnih podataka koje vaš računar ili telefon koristi prilikom prijavljivanja na server. Odobravate svaku upotrebu tih podataka korakom provjere autentičnosti, kao što je provjera otiska prsta, prepoznavanje lica, PIN kod ili obrazac prevlačenja za prijavu koji je poznat vlasnicima Android telefona.

Evo kvake: moraćete da imate telefon ili računar sa sobom da biste koristili pristupne ključeve. Ne možete se prijaviti na račun zaštićen lozinkom sa prijateljevog računara bez vlastitog uređaja.

Zaporke su sinhronizirane i napravljene sigurnosne kopije. Ako nabavite novi Android telefon ili iPhone, Google i Apple mogu vratiti vaše pristupne ključeve. Sa end-to-end enkripcijom, Google i Apple ne mogu vidjeti niti mijenjati pristupne ključeve. Apple je dizajnirao svoj sistem kako bi osigurao pristupne ključeve čak i ako napadač ili Appleov zaposlenik kompromituje vaš iCloud nalog.

Kako funkcionira postavljanje lozinke?

Prilično je jednostavno. Koristite svoj otisak prsta, lice ili neki drugi mehanizam za provjeru autentičnosti pristupnog ključa kada vas web stranica ili aplikacija zatraži da ga postavite. To je to.

Kako da koristim pristupni ključ za prijavu?

Kada koristite telefon, opcija provjere autentičnosti lozinke će se pojaviti kada se pokušate prijaviti na aplikaciju. Dodirnite tu opciju, koristite tehniku ​​provjere autentičnosti koju ste odabrali i spremni ste.

Za web stranice, trebali biste vidjeti opciju lozinke pored polja korisničkog imena. Nakon toga, proces je isti.

Kada imate pristupni ključ na svom telefonu, možete ga koristiti da olakšate prijavu na drugi uređaj u blizini, kao što je laptop. Nakon što se prijavite, ta web stranica može ponuditi kreiranje nove lozinke povezane s novim uređajem.

Šta ako se trebam prijaviti na web stranicu dok koristim tuđi računar?

Možete koristiti pristupni ključ pohranjen na vašem telefonu da se prijavite na drugi obližnji uređaj, kao što je laptop koji posuđujete. Ekran za prijavu na pozajmljenom laptopu će imati opciju da prikaže QR kod koji možete skenirati svojim telefonom. Koristit ćete Bluetooth kako biste bili sigurni da su vaš telefon i računar u blizini, a zatim vam omogućiti da koristite provjeru otiska prsta ili identifikaciju lica na svom telefonu. Vaš telefon će tada komunicirati sa računarom preko sigurne veze kako bi dovršio proces autentifikacije.

Zašto su pristupni ključevi sigurniji od lozinki?

Pristupni ključevi koriste vremenski testiranu sigurnosnu osnovu koja se zove kriptografija javnog ključa za operaciju prijave. To je ista tehnologija koja štiti broj vaše kreditne kartice kada ga unesete na web stranicu. Ljepota sistema je u tome što web stranica samo mora bazirati svoj zapis lozinke na vašem javnom ključu, podacima koji su dizajnirani da budu otvoreno vidljivi. Privatni ključ koji se koristi za postavljanje lozinke pohranjuje se samo na vašem vlastitom uređaju. Ne postoji baza podataka o lozinkama koju haker može ukrasti.

Još jedna velika prednost je što pristupni ključevi blokiraju pokušaje krađe identiteta. “Lozinke su suštinski povezane sa web lokacijom ili aplikacijom za koju su postavljeni, tako da korisnici nikada ne mogu biti prevareni da koriste svoj pristupni ključ na pogrešnoj web stranici”, rekao je Ricky Mondello, koji nadgleda tehnologiju autentifikacije u Appleu, u WWDC videu.

Korištenje pristupnih ključeva zahtijeva da imate svoj uređaj pri ruci i da možete da ga otključate, kombinacija koja nudi zaštitu dvofaktorske autentifikacije, ali s manje problema od SMS kodova. A sa pristupnim ključevima, niko ne može njuškati preko ramena i gledati kako upisujete lozinku.

Kada ću vidjeti pristupne ključeve?

Pristupni ključevi počinju da se pojavljuju ove godine.

Na svojoj Worldwide Developers Conference, Apple je rekao da će donijeti pristupne ključeve za iOS 16 i MacOS Ventura. Google će donijeti podršku za pristupni ključ za Android softver do kraja 2022. godine za testiranje programera, rekao je vođa Google autentikacije Mark Risher u maju. Podrška za pristupni ključ bi trebala stići u Chrome i Chrome OS u isto vrijeme. Microsoft planira podršku za Windows 2022.

Neke web stranice i aplikacije će biti željne ažurirati svoj softver za prijavu kako bi koristile pristupne ključeve kako bi mogle iskoristiti prednosti sigurnosti. Drugi će se kretati sporije. Čak i ako se pristupni ključevi brzo uhvate, nemojte očekivati ​​da će lozinke nestati.

Hoće li web stranice i aplikacije zahtijevati da koristim pristupne ključeve?

Malo je vjerovatno da ćete biti prisiljeni koristiti pristupne ključeve dok je tehnologija nova i nepoznata. Web lokacije i aplikacije koje već koristite će vjerovatno dodati podršku za pristupni ključ uz postojeće metode lozinke.

Osoba koristi telefon da skenira QR kod kako bi omogućila prijavu putem lozinke na obližnjem računaru

Kada se prijavite za novu uslugu, pristupni ključevi mogu biti predstavljeni kao preferirana opcija. Na kraju, oni mogu postati jedina opcija.

Hoće li me pristupni ključevi zaključati u Apple ili Google ekosisteme?

Ne baš. Iako su pristupni ključevi usidreni za tehnološki paket jedne kompanije, moći ćete premostiti, recimo, Appleov svijet i koristiti pristupne ključeve s Microsoftovim ili Googleovim.

“Korisnici se mogu prijaviti na Google Chrome pretraživač koji radi na Microsoft Windows-u, koristeći pristupni ključ na Apple uređaju”, rekao je Vasu Jakkal, Microsoftov lider u oblasti sigurnosti i tehnologije identiteta, u majskom blogu.

Zagovornici pristupnih ključeva također rade na tehnologiji kako bi omogućili ljudima da migriraju svoje pristupne ključeve s jedne tehnološke domene na drugu, rekli su Apple i Google.

Kako su menadžeri lozinki uključeni u pristupne ključeve?

Menadžeri lozinki igraju sve važniju ulogu u generiranju, skladištenju i sinhronizaciji lozinki. Ali pristupni ključevi će vjerovatno biti usidreni za vaš telefon ili lični računar, a ne za vaš menadžer lozinki, barem u očima tehnoloških divova kao što su Google i Apple.

To bi se ipak moglo promijeniti.

„Očekujemo prirodnu evoluciju do arhitekture koja omogućava menadžerima pristupnih ključeva trećih strana da se uključe i za prenosivost među ekosistemima“, rekao je Risher iz Google-a.

On predviđa da će pristupni ključevi evoluirati kako bi se smanjile barijere između ekosistema i da bi se prilagodili trećim stranama za upravljanje pristupnim ključevima. “Ovo je bila tema za diskusiju još od ranog razvoja ove industrije.”

Zaista, menadžer lozinki Dashlane testira podršku za pristupne ključeve i planira da je objavi u narednim sedmicama. „Korisnici mogu pohraniti svoje pristupne ključeve za više lokacija i imati koristi od istih pogodnosti i sigurnosti koje već imaju sa svojim lozinkama“, navodi kompanija u blogu od 31. avgusta.

Proizvođač 1Password AgileBits se upravo pridružio FIDO alijansi, a DashLane, Bitwarden i LastPass su već članovi.

Leave a Reply

Your email address will not be published.