Σε ένα πρόσφατο άρθρο του διάσημου τεχνικού εκδότη, στον οποίο τα πλεονεκτήματα του διαχειριστή κωδικών πρόσβασης Bitwarden ήταν εξερχόμενοι, ο συγγραφέας έγραψε τα ακόλουθα (από τη στιγμή που το διαβάσατε, το απόσπασμα θα μπορούσε να διορθωθεί):
“Το PassKeys είναι μια προσπάθεια αντικατάστασης του κωδικού πρόσβασης με ένα κλειδί που δεν χρειάζεται να θυμάστε ή να ανησυχείτε καθόλου. Όταν δημιουργείτε μια ευθύνη για έναν ιστότοπο, ο ιστότοπος εκτοξεύει δύο ώρες κώδικα, ένας από τους οποίους αποθηκεύει στον διακομιστή, ένας από αυτούς αποθηκεύει στη συσκευή σας.
Αυτό το απόσπασμα περιλαμβάνει πολλές λανθασμένες δηλώσεις που εργάζονται ενάντια στις προσπάθειες της συμμαχίας FIDO για δημόσια εκπαίδευση σχετικά με το γιατί τα passkeys είναι ασφαλέστερα από τους κωδικούς πρόσβασης για έλεγχο ταυτότητας με ιστότοπους ή εφαρμογές. (Η Fido Alliance είναι μια κοινοπραξία ηγετών υψηλής τεχνολογίας, συμπεριλαμβανομένων των Microsoft, Google και Apple, η οποία αναπτύσσει και προωθεί το τεχνολογικό πρότυπο PassKey.)
Αυτό το απόσπασμα κάνει ένα πράγμα σωστό: “Το Passy είναι μια προσπάθεια αντικατάστασης του κωδικού πρόσβασης με ένα κλειδί που δεν χρειάζεται να θυμάστε ή να ανησυχείτε”. Αυτό είναι σίγουρα ένα από τα κύπελλα του πρότυπου περασμάτων.
Επίσης: Γιατί ο δρόμος από τους κωδικούς πρόσβασης σε pasque – μακρύ, ανώμαλο και αξίζει – πιθανώς
“Αυτό είναι ένα όραμα, το τελικό αποτέλεσμα θα πρέπει να είναι εντελώς εύκολο”, δήλωσε ο Mitchell Galavan, ο έλεγχος ελέγχου ταυτότητας Google Lead UX, κατά τη διάρκεια μιας πρόσφατης συνέντευξης ZDNET. «[You shouldn’t] Πρέπει ακόμη και να το σκεφτείτε », δήλωσε ο Galavan, ο οποίος επίσης χρησιμεύει ως συμπρόεδρος της ομάδας εργασίας Συμμαχίας U/X Fido, δεν χρειάζεται καν να γνωρίζετε ότι οι επιβάτες εμφανίζονται στη συσκευή σας, αν δεν θέλετε – απλά φτάσετε εκεί που θέλετε να πάτε».
Όταν τα passkeys λειτουργούν, κάτι που δεν συμβαίνει πάντοτε, μπορούν να προσφέρουν σχεδόν αυτόματη εμπειρία σε σύγκριση με τη διαδικασία εργασίας και τον κωδικό πρόσβασης του τυπικού χρήστη. Μερικοί υποστηρικτές των περαστικών επιθυμούν να πουν ότι οι επιβάτες θα γίνουν ο θάνατος των κωδικών πρόσβασης. Ωστόσο, πιο ρεαλιστική, τουλάχιστον κατά την επόμενη δεκαετία, θα σημαίνουν θάνατο μερικοί Κωδικοί πρόσβασης – ίσως πολλοί κωδικοί πρόσβασης. Ας δούμε. Παρ ‘όλα αυτά, η ιδέα της δολοφονίας κωδικών πρόσβασης είναι ένας πολύ άξιος στόχος.
Ζημιές που προκαλούνται από κωδικούς πρόσβασης
Για τέσσερις δεκαετίες, οι κωδικοί πρόσβασης ήταν μια Αχιλλέα τακούνια τεχνολογίας υπολογιστών. Οι περισσότερες από τις ζημιές που προκλήθηκαν – σύμφωνα με τους συμβιβασμένους λογαριασμούς, την κλοπή των προσωπικών δεδομένων, την εξάντληση των προσωπικών πληροφοριών και την ψηφιακή κλοπή των κεφαλαίων – περιελάμβανε συμβιβασμένους κωδικούς πρόσβασης.
Σε πολλές περιπτώσεις, οι κωδικοί πρόσβασης στερήθηκαν ασυνείδητα από κακόβουλους ηθοποιούς, συχνά χάρη στο phishing (και πρόσφατα, διαβρέιση). Το phishing (e-mail) και το smishing (ανταλλαγή μηνυμάτων κειμένου) είναι ψηφιακές μορφές κοινωνικής μηχανικής, οι οποίες εξαπατούν ασυνήθιστους χρήστες στην εισαγωγή των αναγνωριστικών χρήστη και των κωδικών πρόσβασης σε φανταστικούς, γνήσιους και εγκληματικούς ιστότοπους.
Επίσης: 7 κανόνες για τον κωδικό πρόσβασης των εμπειρογνωμόνων ασφαλείας ζουν το 2025 – ο τελευταίος μπορεί να σας εκπλήξει
Οι κωδικοί πρόσβασης και οι επιβάτες είναι παρόμοιοι σε μια σημαντική στάση: κάθε ένα από αυτά περιλαμβάνει ένα μυστικό. Ωστόσο, η μεγαλύτερη διαφορά μεταξύ των κωδικών πρόσβασης και των επιβατών είναι το πώς επεξεργάζεται αυτό το μυστικό. Με τους κωδικούς πρόσβασης, αυτό το μυστικό είναι ένα κοινό μυστικό.
Με τη βοήθεια των κωδικών πρόσβασης, θα πρέπει πάντα να μοιράζεστε το μυστικό σας με τον χειριστή της ιστοσελίδας ή την εφαρμογή (ο παγκόσμιος -οικογενειακός κυβερνοχώρος στον κόσμο ως “υποτιθέμενη πλευρά”). Το κάνετε αυτό όταν εγκαταστήσετε ή αποθέτετε έναν κωδικό πρόσβασης και το κάνετε στην είσοδο του συστήματος.
Οι Fishera και Smishers εξαρτώνται πλήρως από τη βασική αρχή του γενικού μυστικού. Ο αρχικός στόχος τους είναι να σας κάνουν πάντα να μοιραστείτε μαζί τους ένα μυστικό.
Αντίθετα, με τα passkeys – πόσο απίθανα – το μυστικό δεν χωρίζεται ποτέ με ένα ανησυχητικό κόμμα. Αυτό είναι αλήθεια. Χρησιμοποιώντας το PassKeys, όταν εισάγετε τον ιστότοπο ή την εφαρμογή, ποτέ δεν χρειάζεται να μοιραστείτε το μυστικό για να ολοκληρώσετε τη διαδικασία εισόδου στο σύστημα. Αφού συνηθίσετε να μην μοιράζεστε μυστικά με νομικούς τομείς και εφαρμογές, η πιθανότητα να μοιραστείτε ένα μυστικό με τον Fisher ή τον Smisher έχει γενικά σημαντικά μειωθεί ή εξαλειφθεί.
Αρχή Passica
Το Passy βασίζεται σε μια κρυπτογραφία ανοιχτού κλειδιού, όπου υπάρχουν δύο κλειδιά στο ζευγάρι. Ένα κλειδί είναι διαθέσιμο στο κοινό και μπορεί να χωριστεί σε κάποιον, και το άλλο είναι ιδιωτικό και όχι αρκετά.
Επίσης: Τα καλύτερα κλειδιά ασφαλείας το 2025: εμπειρογνώμονας
Πιθανότατα, όταν το προαναφερθέν άρθρο ανήκε στα “δύο μέρη του κώδικα”, αναφέρθηκε σε ένα δημόσιο και προσωπικό κλειδί, τα οποία αποτελούν το SO -ονομαζόμενο ζευγάρι κρατικών/ιδιωτικών κλειδιά που αποτελούν τη βάση των πενών.
Ο λόγος για τον οποίο το δημόσιο/ιδιωτικό ζευγάρι των κλειδιών είναι τόσο δροσερός είναι ότι όλα που κρυπτογραφούνται με ένα ανοιχτό κλειδί μπορούν να αποκρυπτογραφηθούν μόνο με ένα ιδιωτικό κλειδί και αντίστροφα. Έτσι, αν σας δώσω ένα δημόσιο μισό από ένα δημόσιο/ιδιωτικό ζευγάρι των κλειδιών και θα κρυπτογραφήσετε κάτι, είμαι ο μόνος που μπορεί να αποκρυπτογραφήσει αυτές τις πληροφορίες, ενώ είμαι ο μόνος που κατέχει ένα ιδιωτικό μισό. Ιδιωτικό κλειδί. Από την άλλη πλευρά, αν χρησιμοποιήσω το προσωπικό μου κλειδί, για να κρυπτογραφήσω κάτι, όποιος έχει ένα ανοιχτό κλειδί μπορεί να το αποκρυπτογραφήσει.
Επίσης: Βιομετρικά κατά των κωδικών: Τι λένε οι δικηγόροι εάν ανησυχείτε για την εύρεση τηλεφωνικών.
Χρησιμοποιώντας το PassKeys, μια συσκευή που χρησιμοποιεί έναν τελικό χρήστη – για παράδειγμα, ένας επιτραπέζιος υπολογιστής ή ένα smartphone είναι αυτός που είναι υπεύθυνος για τη δημιουργία ενός ζευγαριού δημόσιων/ιδιωτικών κλειδιών στο πλαίσιο της αρχικής διαδικασίας εγγραφής κλειδιού. Μετά από αυτό, μοιράζεται ένα ανοιχτό κλειδί – ένα που δεν είναι μυστικό – με έναν ιστότοπο ή μια εφαρμογή στην οποία ο χρήστης θέλει να εισέλθει στο σύστημα. Το ιδιωτικό κλειδί – ένα μυστικό – δεν χωρίζεται ποτέ με αυτό το σφαγμένο πάρτι.
Αυτό είναι όπου σε ένα τεχνικό άρθρο καθυστερεί. Αυτό δεν είναι ένας “ιστότοπος” που εκτοξεύει δύο θραύσματα κώδικα “, διατηρώντας το ένα στο διακομιστή και το άλλο στη συσκευή σας. Αυτή είναι μια συσκευή που εκτοξεύει δύο θραύσματα του κώδικα, διατηρώντας ένα – ένα κλειστό κλειδί – στη συσκευή σας όταν στέλνετε ένα άλλο – ένα ανοιχτό κλειδί – στο πλάι του σκλάβου (” διακομιστής “).
Κωδικοί πρόσβασης κατά του Pasque με την πρώτη ματιά
Σύνθημα |
Παθητικός |
|
Βασίζεται σε ένα γενικό μυστικό, που μεταγράφεται εύκολα από τα εμπλεκόμενα μέρη, γεγονός που το καθιστά ευάλωτο σε ανοικτούς ηθοποιούς. |
Βασίζεται σε ένα μυστικό που παραμένει στον χρήστη και ποτέ δεν ανταλλάσσει, εξαιρώντας πρακτικά τις πιθανότητες ανίχνευσης απειλών απειλών. |
|
Μια ομάδα χαρακτήρων που επιλέγονται από τον χρήστη, μερικές φορές χρησιμοποιώντας ένα εργαλείο (Dispatcher Password), το οποίο βρίσκεται υπό τον έλεγχο του χρήστη. |
Το αντίστοιχο ζεύγος συστηματικών και ιδιωτικών κρυπτογραφικών κλειδιών. |
|
Ο χρήστης επιλέγει τον τρόπο διατήρησης ενός μυστικού (μνήμη, κολλώδη σημείωση, διαχειριστής κωδικού πρόσβασης κ.λπ.). |
Το μυστικό (ένα κλειστό κλειδί από το προσωπικό ενός ιδιωτικού ζεύγους πλήκτρων) αποθηκεύεται αυτόματα με κάποιο ασφαλή τρόπο, όταν ακόμη και ο χρήστης δεν μπορεί εύκολα να το θυμάται ή να το μοιραστεί. |
|
Η εισαγωγή αναγνωριστικών και κωδικών πρόσβασης χρήστη είναι μια ευρέως διαδεδομένη εμπειρία χρήστη, η οποία είναι ευρέως κατανοητή και υποστηριζόμενη. |
Η εμπειρία του χρήστη μπορεί να διαφέρει σε μεγάλο βαθμό από μια εφαρμογή σε μια άλλη που μπορεί να συγχέει. Δεν υποστηρίζεται ακόμη από πολλούς ιστότοπους και εφαρμογές. |
|
Το ίδιο μυστικό μπορεί να χρησιμοποιηθεί σε διάφορους ιστότοπους και εφαρμογές (αυτός, βασίζεται στις πλευρές). |
Το μυστικό είναι μοναδικό και συγκεκριμένο για το αξιόπιστο μέρος. Ο χρήστης δεν έχει κανέναν τρόπο να το επαναλάβει. |
|
Τα πρότυπα de -phactor για τις εφαρμογές κωδικού πρόσβασης και πολλαπλών παραγόντων είναι σχετικά αρχαία και πλήρη. |
Το πρότυπο υπό την καθοδήγηση μιας κοινοπραξίας είναι μια ελλιπής εργασία. Το οικοσύστημα passkey εξακολουθεί να περιλαμβάνεται σε ορισμένα τεχνολογικά κενά. |
|
Οι χρήστες είναι ευάλωτοι στην αποκατάσταση των λογιστικών δεδομένων, εάν οι ιστοσελίδες και οι εφαρμογές υποστηρίζουν τα αναγνωριστικά και τους κωδικούς πρόσβασης χρήστη (τι κάνουν οι περισσότεροι ιστότοποι). |
Πράγματι, θα εκπληρώσει την υπόσχεσή του μόνο μετά την εξάλειψη των κωδικών πρόσβασης, κάτι που είναι απίθανο στο προβλέψιμο μέλλον. |
Η διαφορά μεταξύ τους είναι εξαιρετικά σημαντική, διότι αν το κόμμα της βασιζόμενης δημιούργησε ένα δημόσιο/ιδιωτικό ζευγάρι των κλειδιών, τότε το νόημα έγκειται στο γεγονός ότι η ανησυχητική πλευρά ήταν κάποια στιγμή στην κατοχή ενός πλήρους ζευγαριού, πράγμα που σημαίνει ότι είχε ένα μυστικό. Μία από τις βασικές αρχές του προτύπου PassKey είναι ότι η βασιζόμενη στα κόμματα δεν έρχεται ποτέ σε επαφή με μυστικά.
Πώς οι μαγικοί επιβάτες τους
Αφού το κόμμα υποτίθεται ότι λαμβάνει ένα ανοιχτό κλειδί από τη συσκευή του χρήστη, διατηρεί το δημόσιο κλειδί έτσι ώστε να μπορεί να αποσυρθεί όταν ο χρήστης επιστρέφει στο σύστημα. Όταν ο χρήστης επιστρέψει για να εισαγάγει το σύστημα, το τμήμα ORITT χρησιμοποιεί το ανοιχτό κλειδί του χρήστη (αυτό που διατηρούσε στο προηγούμενο βήμα) για να κρυπτογραφήσει μια σχετικά τυχαιοποιημένη γραμμή πληροφοριών γνωστή ως “έργο”. Αυτό στέλνει αυτήν την κλήση πίσω στον χρήστη. Αφού λάβει την εργασία, ο χρήστης βασίζεται στο κατάλληλο κλειστό κλειδί για να αποκρυπτογραφήσει το μήνυμα. Στη συνέχεια, θα κλείσει τη γραμμή και θα το στέλνει πίσω στο πλάι του βασισμένου, το οποίο στη συνέχεια χρησιμοποιεί το ανοιχτό κλειδί για να το αποκρυπτογραφήσει για να δει αν αντιστοιχεί στην τυχαία γραμμή, η οποία αρχικά αποστέλλεται στον χρήστη. Εάν υπάρχει σύμπτωση, ο χρήστης έχει πιστοποιηθεί για να χρησιμοποιήσει τον ιστότοπο ή την εφαρμογή μιας ανησυχητικής παρτίδας.
Επίσης: Γιατί ο πολυπαραγοντικός έλεγχος ταυτότητας είναι απολύτως απαραίτητο το 2025
Έτσι, ο ισχυρισμός ότι “Όταν επιστρέψετε στον ιστότοπο, ο ιστότοπος ελέγχει τον κωδικό που έχει αποθηκεύσει για τη συσκευή σας και αν είναι εκεί, σας καταγράφει”, δεν αντιστοιχεί επίσης στην πραγματικότητα. Πρώτον, ο ιστότοπος δεν έσωσε ποτέ τίποτα στη συσκευή σας. Δεύτερον, ο ιστότοπος δεν μπορεί να πάρει συνέντευξη από τη συσκευή σας για την ύπαρξη οποιουδήποτε από τα κλειδιά.
Λοιπόν, πώς σταματάει αυτό το phishing; Πρώτον, αφού ο χρήστης καταχωρήσει τον Paski με μια πλευρά που εργάζεται, από εκείνη τη στιγμή δεν πρέπει ποτέ να ζητήσει το αναγνωριστικό χρήστη ή τον κωδικό πρόσβασής του με αυτήν την υποτιθέμενη πλευρά. Εάν ο χρήστης λαμβάνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου ή κείμενο (smaling) με έναν σύνδεσμο που τους παραδίδει σε έναν ιστότοπο, ο οποίος, με τη σειρά του, ζητά το αναγνωριστικό χρήστη και τον κωδικό πρόσβασης, ο χρήστης πρέπει να υποθέσει ότι ο ιστότοπος είναι ψεύτικος. Στο τέλος, ζητά να δημιουργήσει πληροφορίες.
Επιπλέον, για παράδειγμα, ότι ο κακόβουλος ιστότοπος έλαβε με κάποιο τρόπο το δημόσιο κλειδί σας και σας προσέφερε την ευκαιρία να εισαγάγετε το σύστημα με το κλειδί σας. Μπορείτε να φτάσετε μέχρι τώρα αυτόν τον έλεγχο ταυτότητας με έναν κακό ιστότοπο. Αλλά ακόμα κι αν πήγατε μέχρι τώρα, ποτέ δεν θα είχατε μοιραστεί πραγματικά λογιστικά δεδομένα με κακόβουλους ηθοποιούς, ώστε να μπορούν να επαναλάβουν να διεισδύσουν στους λογαριασμούς σας.
Επίσης: Πώς μπορεί η ζωή σας να απλοποιήσει χωρίς κωδικούς πρόσβασης
Ο Passy πρέπει να προχωρήσει πολύ πριν συνειδητοποιήσουν τις δυνατότητές τους. Ορισμένες από τις τρέχουσες υλοποιήσεις είναι τόσο ανήσυχοι ώστε αυτό να καθυστερήσει την υιοθέτησή τους. Αλλά η αποδοχή των περασμάτων είναι ακριβώς αυτό που χρειάζεται για να μειωθεί τελικά το μακροπρόθεσμο εγκληματικό έγκλημα που βασανίζει το Διαδίκτυο. Για να ελέγξει αυτή την υιοθεσία, είναι πολύ σημαντικό να βεβαιωθείτε ότι όταν κάποιος λέει την ιστορία του passkey, λέγεται σίγουρα.
Μείνετε μπροστά στα νέα σχετικά με την ασφάλεια Τεχνολογία σήμεραΠαραδίδεται στο γραμματοκιβώτιό σας κάθε πρωί.
