Kluczowe dania na wynos
- iCloud Passkey eliminuje hasła i sprawia, że logowanie jest znacznie bezpieczniejsze.
- WebAuthn to standard przeglądarki umożliwiający uwierzytelnianie bez hasła.
- Zarówno WebAuthn, jak i iCloud Passkey używają do tego krypto klucza publicznego.
Dzięki iCloud Passkey Apple sprawi, że hasło stanie się przestarzałe. Wreszcie.
Hasła to ogromny problem. Słabe lub skradzione hasła są odpowiedzialne za ponad 80% naruszeń włamań, a ludzie po prostu nie potrafią zarządzać hasłami. Albo o nich zapomnimy, użyjemy imienia naszych psów lub dzieci, albo użyjemy tego samego hasła do wszystkiego. Menedżerowie haseł, tacy jak NordPass lub iCloud Keychain, mogą pomóc, ale hasło nadal jest zasadniczo niepewne. Klucze dostępu w pęku kluczy iCloud i nowy standard WebAuthn chcą to naprawić, ale czy naprawdę mogą zastąpić hasło?
„Jeśli Apple wdroży to jako standard na swoich urządzeniach, miliony ludzi przyzwyczai się do tego, a inni giganci technologiczni, tacy jak Google, pójdą w ich ślady” – powiedział Lifewire Christen Costa, dyrektor generalny Gadget Review.
Klucze publiczne
Problem z hasłem polega na tym, że musi być trzymane w tajemnicy, ale także musi być udostępniane. Klucze dostępu iCloud używają czegoś, co nazywa się kryptografią klucza publicznego. Składa się z dwóch kluczy. Klucz publiczny może tylko blokować rzeczy, więc można go bezpiecznie udostępniać; klucz prywatny może zarówno blokować, jak i odblokowywać dane i nigdy nie opuszcza urządzenia.
Gdy rejestrujesz się w witrynie lub usłudze przy użyciu kluczy dostępu iCloud lub WebAuthn, generowana jest nowa para kluczy, a klucz publiczny jest udostępniany usłudze, zastępując hasło. Haczyk polega na tym, że do logowania będziesz musiał użyć jednego z własnych urządzeń, ale w praktyce rzadko będzie to stanowić problem, a korzyści w zakresie bezpieczeństwa są ogromne. A jeśli korzystasz już z menedżera haseł i uwierzytelniania dwuskładnikowego, oznacza to, że korzystasz już z urządzenia z uruchomioną aplikacją do zarządzania hasłami.
Inny problem polega jednak na tym, że jeśli atakujący zdobędzie Twoje urządzenie i zdoła uzyskać do niego dostęp, wszystkie zakłady są odrzucane. Jednak urządzenia z systemem iOS i nowoczesnymi komputerami Mac są bardzo trudne do złamania, a kradzież telefonu wymaga dużo więcej wysiłku niż wysyłanie wiadomości phishingowych.
Klucze dostępu w pęku kluczy iCloud są łatwe
Korzystanie z kluczy dostępu w pęku kluczy iCloud jest proste. Podczas rejestracji nowego konta użytkownika w witrynie internetowej wprowadzasz adres e-mail, a Twój iPhone poprosi Cię o potwierdzenie tworzenia konta. Otóż to. Nowe hasło jest przechowywane w pęku kluczy, a część publiczna jest przechowywana przez witrynę internetową.
Duża różnica polega na tym, że klucz publiczny ma być publiczny. Nie trzeba go ukrywać ani utrzymywać w tajemnicy. Jeśli strona zostanie zhakowana, kradzież wszystkich tych kluczy publicznych jest bezcelowa, ponieważ nic nie zrobią. Te masowe naruszenia haseł, o których czytasz co kilka tygodni? Będą już przeszłością.
„Jeśli zbadamy, jak działają hasła dzisiaj, najpierw wpiszesz hasło, a następnie zwykle jest ono zaciemniane przez coś takiego jak haszowanie i solenie, a wynikowy solony hasz jest wysyłany na serwer”, mówi Garrett Davidson z Apple w WWDC sesja o nazwie „Wyjdź poza hasła”. „Teraz zarówno ty, jak i serwer macie kopię sekretu, nawet jeśli kopia serwera jest zaciemniona, i obaj jesteście w równym stopniu odpowiedzialni za ochronę tego sekretu."
Co z Twoim menedżerem haseł?
Ta technologia może wydawać się oznaczać zagładę dla aplikacji do zarządzania hasłami, ale nie ma to większego znaczenia. Większość użytkowników już polega na wbudowanym menedżerze haseł iCloud.
Zaawansowani użytkownicy, ludzie, którzy lubią dodatkowe funkcje i oddzielają swoje hasła od swojego Apple ID, będą nadal korzystać z samodzielnych aplikacji.
Jeśli Apple wdroży to standardowo na swoich urządzeniach, miliony ludzi przyzwyczai się do tego, a inni giganci technologiczni, tacy jak Google, pójdą w ich ślady.
„Nikt nie chce więcej konkurentów, ale takie wbudowane rozwiązania nie są głównym celem przeglądarki”, mówi ekspert ds. bezpieczeństwa Nordpass, Chad Hammond. „Dlatego nie rozwiązują one tych samych globalnych problemów, co menedżery haseł. Podstawową funkcją przeglądarki jest zapewnienie użytkownikowi dostępu do informacji, a menedżer haseł to tylko jedna z wielu oferowanych przez nią funkcji. W dedykowanych menedżerach haseł, to główna funkcja."
Z drugiej strony zasięg Apple może umieścić tę nową technologię uwierzytelniania w wielu rękach, co jest wygraną dla wszystkich. Płatności zbliżeniowe istniały przed Apple Pay, ale w USA pojawiły się dopiero po tym, jak Apple dodał je do iPhone'a. Hasła nie znikną w najbliższym czasie, ale w końcu mamy alternatywę, która jest z natury bezpieczna, łatwa w użyciu i nie pozwala używać imienia psa. Znowu.
