Passkey este un termen inventat de Apple ca alternativă la parolă. După cum sugerează și numele, în loc de un „cuvânt” în această tehnologie, securitatea utilizatorului este asigurată de chei criptografice.
În teorie, cheia de acces rezolvă într-adevăr aproape toate problemele asociate cu lipsa de încredere a parolelor și vulnerabilitatea acestora la hackeri.
În același timp, tehnologia nu este dificil de stăpânit (s-ar putea să aveți nevoie doar de un dongle USB – și nici asta s-ar putea să nu fie necesar).
Singura problemă este nivelul scăzut al distribuției sale: până acum, codurile de acces sunt susținute de o sută și jumătate de site-uri și servicii (aproape toți giganții Internetului se numără printre ele) și limitează introducerea produsului la o abordare selectivă.
Update24 explică în detaliu de ce codurile de acces sunt mai bune decât parolele, cum sunt structurate toate etapele de lucru cu acestea și de ce atacatorii nu pot trece prin această tehnologie.
Să începem cu ceea ce este evident: ce e în neregulă cu parolele?
Probabil că tu însuți știi: principala problemă este că parolele sunt furate, spionate, găsite în scurgeri de informații și apoi folosite pentru a sparge conturile de utilizator.
Șansele de succes pentru un atacator cresc semnificativ dacă utilizatorul creează parole slabe și, de asemenea, folosește aceeași autentificare și parolă în diferite servicii.
Serviciile, de regulă, nu verifică dacă parola introdusă de utilizator este prezentă în scurgerile de informații deja cunoscute. Și, în principiu, ei nu pot ști dacă această parolă a fost folosită în altă parte.
Dar multe companii încearcă să rezolve problema parolelor slabe, venind cu propriile reguli pentru crearea acestora.
Acestea variază foarte mult de la un site la altul și uneori se dovedesc a fi atât de absurde încât nu interferează decât cu utilizarea parolelor puternice.
- Site-urile pot limita lungimea maximă permisă a parolei. Uneori sunt doar 8-10 caractere.
- Se întâmplă ca atunci când se înregistrează, site-urile să taie în mod arbitrar o parolă care este prea lungă (în opinia lor) și să nu informeze utilizatorul despre aceasta. Iar atunci când vă autentificați, ei refuză să o accepte pe cea originală (un caz care implică tăierea unei parole a dus la prăbușirea PayPal).
- Site-urile pot necesita anumite caractere speciale sau litere pentru a fi utilizate în cazuri diferite. Și astfel complică amintirea frazelor de acces lungi, pe care unii oameni preferă să le folosească ca înlocuitor adecvat pentru parolele puternice obișnuite.
- Din când în când, site-urile obligă utilizatorii să-și schimbe parola. Și o refolosesc pe cea vechi, actualizându-o doar puțin. De exemplu, ei adaugă încă o cifră: deci Parola!1 se transformă în Parolă!11 .
Utilizatorii, la rândul lor, nu au idee cum le gestionează parolele un anumit serviciu.
Și numai după următoarea scurgere de informații se dovedește că parolele au fost stocate în text clar sau indexate folosind algoritmi slabi – prin urmare, o parte semnificativă a parolelor slabe pot fi recuperate pur și simplu încercând cele mai probabile opțiuni.
Passky poate fi o alternativă mai de încredere
Cheia de acces este o formă de autentificare fără parolă care utilizează criptografia asimetrică.
În loc de parolă, în timpul înregistrării este creată o pereche de chei: cea privată rămâne pe dispozitivul utilizatorului (autentificator), iar cea publică este transferată în serviciu pentru stocare. Acestea sunt apoi folosite pentru a autentifica utilizatorul atunci când se conectează la cont.
Acestea sunt avantajele Passki.
- Protecție împotriva scurgerilor. Chiar dacă serviciul în care v-ați înregistrat folosind o cheie de acces este piratat, atacatorul va primi doar cheia publică. Recuperarea cheii private de pe aceasta nu este doar o sarcină imposibilă în conformitate cu standardele actuale, ci și inutilă. Pentru că fiecare cont generează propria sa pereche de chei.
- Protecție împotriva phishingului. La înregistrarea pe site, adresa inițială este înregistrată în permis. Când vă conectați la contul dvs., această adresă este verificată. Deoarece site-ul de phishing va avea unul diferit, atacatorul nu va putea face nimic.
- Conectați-vă fără a specifica o autentificare. La crearea unui permis, nu numai cheia privată este scrisă în ea, ci și adresa site-ului, precum și datele de conectare ale utilizatorului specificate în timpul înregistrării.
- Autentificare cu doi factori. Pentru că utilizatorul trebuie să aibă la dispoziție un dispozitiv cu chei criptografice, fie el un telefon sau o cheie USB. Al doilea factor ar putea fi factorul biometric (telefonul trebuie deblocat cu o amprentă sau scanarea feței) sau factorul de cunoștințe (introduceți codul PIN pentru cheia USB). Adică, deblocarea unui telefon folosind o parolă combină doi factori de autentificare simultan: factorul de proprietate și factorul de cunoaștere.
Acum, Apple, Google și Microsoft au integrat suportul pentru cheile de acces în sistemele lor de operare și promovează în mod activ tehnologia în rândul utilizatorilor.
Dar până acum, foarte puține site-uri și servicii de Internet acceptă autentificarea utilizatorilor folosind cheia de acces.
Pe site-ul de specialitate passkeys.directory au numărat doar aproximativ o sută și jumătate.
Dar există deja multe companii mari acolo: Apple, Google, Microsoft, Amazon, eBay, GitHub, Nintendo, PlayStation, Roblox, Bolt, Uber, Binance, Link (Stripe), PayPal, Revolut, WhatsApp, X (Twitter), Yahoo !, VK și Yandex.
