Вбесява ли ви запомнянето или създаването на нови пароли? От достъпа ви до вашия компютър, мобилно устройство, банково приложение, данъчна система, вашите различни имейли, до Spotify, Netflix и акаунти в социални мрежи. Всеки път, когато използвате услуга или се абонирате за нова, трябва да създадете нова различна и силна парола.
От доста време е така, но скоро това може да се промени. Ако сте си пожелавали свят без пароли, може би желанието ви ще се сбъдне с паролите.
Терминът стана популярен не толкова назад във времето, през второто тримесечие на 2022 г., когато Google ( през май) и Apple (през юни) обявиха добавянето на поддръжка за passkeys. По-късно Google включи Google Chrome и Android, като каза, че и двете ще поддържат стандарта през октомври 2022 г. А по-скоро, през май 2023 г., беше казано, че поддръжката е разширена до лични акаунти в Google (услуги за вписване).
След тези съобщения със сигурност сте започнали да получавате новини за passkeys. Но, това е спорна тема. Идеята да се отървем от твърде многото пароли в живота звучи много привлекателно, но на каква цена? Те реално решение ли са? Тези и още въпроси ни хрумнаха, затова решихме да се задълбочим в темата. Нека го изследваме заедно.
Какъв е проблемът с традиционните пароли?
Основният проблем сме ние, човешкият фактор. Противно на всички препоръки на експертите по сигурността, милиони потребители следват много небезопасни практики, които водят до много рискове. Те създават много слаби и лесни за отгатване пароли (рождена дата, име на домашен любимец, 12345, „парола“ и т.н.), използват повторно своите пароли, споделят ги, използват една и съща парола за всичките си различни акаунти, никога не ги променят и много често те ги забравят. Освен това много потребители лесно попадат на трикове за социално инженерство и фишинг атаки, предоставяйки своите пароли на престъпници.
Освен това съществуването на автоматизирани инструменти, използвани при атаки с груба сила за разбиване на пароли, и кражбата на бази данни, съдържащи пароли (пробиви в сигурността), също допринасят за твърдението, че паролите не са сигурни (съвети за по-добри пароли).
Какво представляват passkeys?
Passkeys (ключове за достъп) са цифрови идентификационни данни, използвани като форма на удостоверяване за потвърждаване на самоличността на потребителите като условие за предоставяне на достъп до устройство, система, уеб сайт, мрежа или приложение. По-конкретно, passkeys са технология за вписване, която съчетава цифров ключ и допълнителни идентификатори, например ПИН код за заключване на екрана, сканиране на пръстови отпечатъци или лицево разпознаване. Този процес на удостоверяване може да се използва на различни електронни устройства, включително вашия смартфон. Вместо да въвеждате пароли, passkeys могат да бъдат бъдещият начин за потребителите да влизат в уеб сайтове, приложения и т.н. Цифров ключ, който остава в устройството ви и служи за потвърждение, че това сте вие.
Стандартът за пароли се насърчава от World Wide Web Consortium и FIDO Alliance като метод за удостоверяване без парола. Ако откриете, че се наричат WebAuthn или FIDOAuthn, не се бъркайте, те са passkeys. Този последен термин е този, който се използва в маркетинга за насърчаване на стандарта.
FIDO или Fast Identity Online Alliance работи върху стандарти за удостоверяване без парола от известно време. Тази отворена асоциация стартира през февруари 2013 г. с мисията да разработи стандарти за удостоверяване, за да помогне за намаляване на прекомерното разчитане на пароли в света.
Включените разработчици виждат passkeys като решение за липсата на сигурни пароли, които в момента представляват. Освен това, вие (потребителят) няма да трябва да създавате силна парола всеки път, когато получите нова услуга, няма да се налага да я запаметявате и въвеждате всеки път, когато влизате. Други предимства на паролите, които разработчиците споменават са:
- Частни ключове и биометрични данни (като пръстов отпечатък или разпознаване на лице), включени в процеса на удостоверяване на този потребител, не могат да бъдат споделени и това означава повече сигурност и по-малко шансове престъпниците да атакуват и да наранят.
- Предотвратяване на атаки за размяна на SIM карти (sim swap attacks), опасен трик на кибер престъпниците.
- По-голяма сигурност, ако сравните тази, предлагана от еднократни SMS кодове, защото те също могат да бъдат компрометирани от хакери.
- По-силна защита срещу рискове, свързани с пароли, като фишинг атаки.
- Предотвратяване на човешки грешки при въвеждане на пароли или забравянето им.
- Стойностите (дълги поредици от знаци) на passkeys не могат да се използват повторно или да се отгатват.
- Те се съхраняват във вашето устройство, следователно кибер престъпниците не могат да откраднат вашите пароли чрез хакване на базата данни или сървъра на доставчика.
Какви устройства са съвместими с passkeys?
Те не са проектирани да работят на конкретни устройства. Възникна голямо объркване поради съобщението на Apple през юни 2022 г. относно поддръжката на passkeys. Много хора решиха, че стандартът е само за устройства на Apple. Това е грешка. Passkeys са предназначени да се използват на различни платформи и устройства.
Мобилни устройства. Ключовете за достъп могат да бъдат удостоверяването за влизане в акаунтите ви от вашия телефон или таблет.
Компютри. Можете да използвате пароли за влизане в операционните системи на настолни компютри и лаптопи. Включени са MacOS, Windows и Linux системи. Стандартът работи и за достъп до акаунти и онлайн услуги чрез уеб браузъри на компютри. Можете да използвате едно устройство като вашия телефон, за да влезете в компютъра си, а по-късно вашия компютър, за да влезете в определен акаунт.
Мрежови устройства. Модемите и рутерите могат да предотвратят достъпа на неоторизирани потребители до Wi-Fi мрежи, като ги защитават чрез използване на passkeys. На този етап IoT или Интернет на нещата устройства, като интелигентни домакински уреди и други, също могат да бъдат защитени чрез прилагане на този стандарт.
Игрови конзоли. Платформи като PlayStation Network, Steam и Xbox Live трябва да осигурят акаунти за онлайн игри на много потребители. Passkeys също трябва да работят в този случай.
Софтуерни приложения. Всяко настолно софтуерно приложение, но особено тези, които работят с потребителски акаунти и чувствителни данни, могат да намерят полезен инструмент в лицето на passkeys. Стандартът може да бъде внедрен в софтуер за криптиране за защита на криптирани данни.
Онлайн услуги. Сигурността на имейл акаунтите е от съществено значение за защита на информацията на потребителите срещу неоторизиран достъп. Всички платформи за социални медии, които познавате, биха могли да използват стандарта, за да добавят допълнителен слой сигурност към необходимия процес на удостоверяване на потребителя. Облачните услуги и финансовите услуги със сигурност биха могли да се заинтересуват от използването на стандарта в своите финансови приложения и платформи за онлайн банкиране.
Други услуги за удостоверяване. Passkeys могат да бъдат част от методите за многофакторно удостоверяване за подобряване на сигурността.
Как работят паролите?
Досега passkeys звучат като решение за повечето от настоящите ни кибер кошмари, нали? Но очевидният въпрос е как? Как работят тези ключове за достъп и какви са всичките им предимства? Да преминем към това.
Тук ще цитираме Уикипедия: „Те (passkeys) често се съхраняват от операционната система или уеб браузъра и се синхронизират между устройства от една и съща еко система, използвайки облака, но те също могат да бъдат ограничени до едно устройство, като физически ключ за сигурност . Те обикновено са защитени чрез притежание (на устройството или на ключа за сигурност) и често използват биометрични данни като допълнителен фактор за сигурност, нито един от които не изисква от потребителя да запомни парола.
За нас е необходимо по-ясно обяснение, така че нека се опитаме да разбием процеса.
Passkeys разчитат на използването на стандарта WebAuthn или WebAuthentication, който използва криптография с публичен ключ за защита на вашите акаунти. Работи чрез използването на публични и частни ключове, вместо традиционните пароли. Публичният ключ е публично споделен, което означава, че приложението или уеб сайтът, в който искате да влезете, може да види този ключ и да го съхрани. От друга страна, частният ключ трябва винаги да се пази в безопасност и в тайна, тъй като той се използва за дешифриране на данните, които се криптират с публичния ключ. Тук имате голяма разлика в сравнение с традиционните пароли, личният ключ никога не се споделя с приложението или сайта, в който искате да влезете, и следователно не се съхранява на техните сървъри.
Ключовете за достъп се съхраняват директно на компютъра или телефона на потребителя. Вашето устройство е ключът! Те са два свързани асиметрични криптографски ключа. И двата са произволни и много дълги низове от знаци. Те са много различни помежду си, но единият може да дешифрира съобщенията, криптирани от другия. По този начин те правят възможна проверката и удостоверяването на потребителите. Частният ключ остава във вашето устройство, по-специално в мениджър на пароли, поддържащ passkeys или доставчици на passkeys. Той винаги остава във вашето устройство, защото е важно да го запазите поверителен и защитен. Той е защитен или заключен от мениджъра на пароли чрез паролата, ПИН кода или биометричните данни на вашето устройство. Публичният ключ се съхранява на уеб сайта, в който влизате. Може да се споделя, без да се компрометира вашата сигурност.
Посещавате уеб сайт и започвате да влизате. След това уеб сайтът изпраща голямо и произволно число като предизвикателство за влизане. Потребителят отключва хранилището с passkeys и съхранения частен ключ чрез ПИН, парола или биометрични данни на устройството. Частният ключ ще изгради криптографски подпис въз основа на произволното число. Уеб сайтът ще провери легитимността на този подпис с помощта на публичния ключ. В положителен случай потребителят ще бъде удостоверен като легитимен, така че той или тя ще има достъп до уеб сайта.
Ще трябва само да отключите вашето устройство и да го използвате като ключ, без да добавяте допълнителна парола за използване на различни услуги.
Заключение
Все още се решават различни аспекти, свързани с passkeys. Във въздуха се носят въпроси, идващи от експерти по сигурността. Обикновено имаме повече от едно устройство, трябва ли да създаваме различни passkeys на всяко устройство, което използваме? Какво би се случило, ако хакер открадне мобилния ни телефон с нашите пароли в него? Рискът от кражба или загуба на телефона е много голям. Твърди се, че passkeys могат да бъдат архивирани в облака, но това безопасно ли е?
Тъй като открихме много интересни въпроси, ще посветим друга статия, за да ги проучим. Ако passkeys са бъдещето, както казват много ентусиасти, трябва да сме абсолютно сигурни, че могат да гарантират нашата сигурност. Да се отървем от паролите звучи добре, но трябва да знаем на каква цена, преди да отпразнуваме пристигането на passkeys. Не пропускайте следващата ни статия по темата!