Hasło – od jakiegoś czasu jest to pierwsza linia zabezpieczeń naszych różnych form kont, ale patrząc wstecz, jak ogólnie bezpieczne są hasła?
Nasze hasła to kombinacja imion zwierząt domowych, ważnych dat, kluczowych wydarzeń, imion itd., czyli informacji, które można poskładać w całość na podstawie naszej obecności w mediach społecznościowych.
Ponadto konieczność posiadania wielu haseł do różnych kont, aby uniknąć narażenia na szwank w przypadku wycieku, sprawiła, że utrzymanie haseł stało się jeszcze trudniejsze.
Źródło obrazu: blog.google
Początek końca hasła – zgodnie z tytułem a Wpis na blogu Google. Od jakiegoś czasu toczą się rozmowy i wysiłki, aby zakończyć erę haseł, a czołowe firmy, takie jak Google, Apple i Microsoft, przodują w wycofywaniu tej wielowiekowej technologii i zastępowaniu jej kluczem dostępu.
W tym artykule omówimy, czym są klucze dostępu, w czym są lepsze, a także pokażemy krok po kroku, jak skonfigurować hasło na koncie Google.
Spis treści:
Co to są klucze dostępu?
Klucze to nowy sposób uwierzytelniania użytkowników, bezpieczniejszy i lepszy niż tradycyjne hasła. Klucze eliminują użycie haseł i nazw użytkowników, usuwając starą metodę uwierzytelniania, która jest podatna na włamania, phishing i naruszenia bezpieczeństwa danych oraz inne związane z nimi zagrożenia bezpieczeństwa, i zastępują je bezpieczniejszymi sposobami.
W przeciwieństwie do powszechnie stosowanych metod uwierzytelniania za pomocą hasła, klucze eliminują proces zapamiętywania hasła, ponieważ jest ono pozbawione hasła. Klucze dostępu dotyczą używania kodu PIN, wzorów lub czujników biometrycznych, takich jak odcisk palca lub rozpoznawanie twarzy, w celu weryfikacji Twojej tożsamości przed uzyskaniem dostępu do konta. Dlatego, aby móc korzystać z kluczy, użytkownicy muszą mieć urządzenia obsługujące tę technologię.
Pomimo porad ekspertów ds. bezpieczeństwa dotyczących stosowania silnych haseł i posiadania unikalnych haseł do każdego konta użytkownika, użytkownicy nadal używają słabych haseł i używają jednego hasła do wielu platform, co jeszcze bardziej zwiększa luki w systemie haseł.
Stąd rozwój kluczy dostępu przez konsorcjum World Wide Web Consortium (W3C) i FIDO Alliance, stowarzyszenie, które przoduje w ograniczaniu zależności od haseł.
Stosowanie kluczy dostępu zostało opracowane ze względu na luki w zabezpieczeniach, które zostały wykorzystane w istniejącej technologii haseł. Z powodu tych wad zaczęto stosować uwierzytelnianie dwuskładnikowe, które ma służyć jako druga warstwa bezpieczeństwa i identyfikacji, zanim użytkownik uzyska dostęp do swojego konta, a także zaobserwowaliśmy szerokie zastosowanie menedżerów haseł, aby pomóc użytkownikom śledź kilka haseł, które mają na kilku kontach.
Jak działają klucze dostępu?
Wykorzystanie klucza dostępu w internetowym interfejsie API WebAuthn do uwierzytelniania. Uwierzytelnianie internetowe wykorzystuje klucz publiczny i prywatny, zwany kryptografią klucza publicznego, aby upewnić się, że użytkownik jest właściwym właścicielem konta.
W przeciwieństwie do tradycyjnych haseł, każda osoba znająca Twoje hasło może zalogować się i uzyskać dostęp do Twojego konta z dowolnego miejsca. Klucz dostępu wykorzystuje rygorystyczne środki zapewniające, że jesteś tym, kim jesteś.
Hasło składa się z dwóch kluczy, publicznego i prywatnego. Obydwa klucze są niezbędne, ponieważ współpracują ze sobą w sposób przypominający układankę, aby odblokować i zweryfikować tożsamość użytkownika. Klucz publiczny jest i może być przechowywany w dowolnej witrynie internetowej lub aplikacji, dla której tworzysz hasło, podczas gdy klucz prywatny, jak sama nazwa wskazuje, jest bezpiecznie przechowywany i można uzyskać do niego dostęp tylko z urządzenia, które jest używane podczas tworzenia hasła.
Klucz prywatny nie jest dostępny i nie jest przechowywany na żadnej platformie opartej na chmurze, co utrudnia złamanie zabezpieczeń, co sprawia, że hasło jest bezpieczniejsze. Krótko mówiąc, chcesz zalogować się na swoje konto Google za pomocą hasła.
Pamiętaj, że Twoje hasło składa się z dwóch kluczy. Google wysyła zaszyfrowane wyzwanie na Twoje urządzenie; pamiętaj, Google ma teraz Twój klucz publiczny.
Gdy Twoje urządzenie otrzyma zaszyfrowane wyzwanie, konieczne będzie odblokowanie telefonu za pomocą kodu PIN, wzoru lub identyfikatora twarzy, który następnie podpisuje wyzwanie Twoim kluczem prywatnym i przesyła podpisane wyzwanie z powrotem do Google.
Następnie Google weryfikuje to za pomocą kopii klucza publicznego. Jeśli oba klucze są zgodne, zaszyfrowane wyzwanie zostanie odszyfrowane, a Google będzie wiedzieć, że to Ty. Przyglądając się uważnie, hasło działa podobnie do 2FA, ale lepiej.
Dlaczego klucze dostępu są lepsze?
Lepsze i silniejsze niż hasła
Passkey wykorzystuje kryptografię klucza publicznego, co stanowi bezpieczniejszy sposób uwierzytelniania użytkownika. Są bardziej odporne na phishing i inne formy ataków w porównaniu z uwierzytelnianiem opartym na hasłach. Twój klucz prywatny nigdy nie jest udostępniany w chmurze, dzięki czemu tylko Ty masz dostęp do swojego konta.
Wygodny
W przeciwieństwie do haseł, które wymagają, aby zawsze je pamiętać aż do wielkich liter i kropek. Dzięki Passkey możesz polegać na czujniku biometrycznym w celu potwierdzenia Twojej tożsamości, który obsługuje wysyłanie i uwierzytelnianie Twojej tożsamości i sprawia, że w końcu nie musisz zapomnieć hasła.
Możliwość zerowego naruszenia
Chociaż do weryfikacji Twojej tożsamości potrzebujesz zarówno klucza publicznego, jak i prywatnego i wiesz, że Twój klucz publiczny jest przechowywany publicznie w chmurze witryny, w przypadku naruszenia klucza publicznego nie można odwrócić, aby uzyskać dostęp do Twojego klucza prywatnego, co sprawia, że Twoje konto jest nadal nieprzeniknione.
Lepsze wrażenia użytkowników
Jak wspomniano, klucz dostępu pomaga wyeliminować potrzebę ciągłego zapamiętywania wszystkich haseł i eliminuje ryzyko zapomnienia hasła i utraty dostępu do konta, dzięki czemu uwierzytelnianie jest bardziej przyjazne dla użytkownika i bezproblemowe.
Konfigurowanie klucza dostępu na koncie Google
Google ogłosił wdrożenie Passkey podczas Światowego Dnia Haseł w 2022 roku. Obecnie użytkownicy mają możliwość włączenia opcji hasła, która zastąpi dotychczasowe uwierzytelnianie oparte na haśle. W tej sekcji przejrzymy przewodnik krok po kroku dotyczący aktywacji klucza dostępu na istniejącym koncie Google.
Wreszcie aktywowałeś klucz dostępu i nie potrzebujesz hasła.
Aktywuj hasło na urządzeniu mobilnym (Android)
Czy hasło jest martwe?
W tym momencie przyjęcie tej nowej technologii, podobnie jak każdej innej, będzie wymagało czasu. Dlatego na razie nadal będziemy oczekiwać, że hasła będą powszechnie stosowane przez większość, ale w miarę jak coraz więcej firm będzie podążać za trendem bezhasłowym i stosowaniem klucza dostępu. Hasła mogą w końcu zostać wycofane.
Wniosek
Klucze dostępu są technologią mile widzianą, przy czym klucz publiczny jest zamkiem i jest publicznie dostępny, ale może zostać odblokowany tylko przez osobę posiadającą odpowiedni klucz (klucz prywatny), co jest utrzymywane w tajemnicy. Na dłuższą metę korzyści wynikające z rezygnacji z hasła przy użyciu kluczy dostępu przeważą nad wadami.
Wraz ze wzrostem stosowania kluczy dostępu przez firmy jako środka uwierzytelniania, więcej osób zdecyduje się na nie, gdy korzyści zostaną w pełni poznane.
Następnie możesz także przeczytać o tym, jak wdrożyć uwierzytelnianie Passkeys/FIDO w swoich aplikacjach.