Паролі тривалий час були основою безпеки наших облікових записів, але чи є вони насправді настільки надійними, як нам здається?
Наші паролі часто складаються з імен домашніх улюбленців, знаменних дат, важливих подій, імен, і ця інформація може бути легко отримана з нашої активності в соціальних мережах.
До того ж, потреба використовувати різні паролі для численних облікових записів, щоб уникнути ризику зламу у випадку витоку, робить процес управління паролями ще складнішим.
Джерело зображення: blog.google
“Початок кінця паролів” – так звучить заголовок статті у блозі Google. Вже певний час точаться дискусії та вживаються заходи для поступової відмови від ери паролів. Провідні технологічні гіганти, такі як Google, Apple та Microsoft, активно просувають відмову від цієї застарілої технології на користь ключів доступу.
У цій статті ми розглянемо, що саме являють собою ключі доступу, чому вони є кращою альтернативою, а також надамо покрокові інструкції щодо налаштування ключа доступу в обліковому записі Google.
Що таке ключі доступу?
Ключі доступу – це інноваційний спосіб ідентифікації користувача, що є надійнішим і зручнішим за традиційні паролі. Вони скасовують необхідність використання паролів та імен користувачів, замінюючи застарілі методи автентифікації, вразливі до хакерських атак, фішингу та витоків даних, на більш безпечні альтернативи.
На відміну від паролів, ключі доступу усувають необхідність запам’ятовування складних комбінацій, оскільки вони не потребують введення пароля. Замість цього, ключі доступу використовують PIN-коди, графічні ключі або біометричні дані, такі як відбитки пальців або розпізнавання обличчя, для підтвердження вашої ідентичності перед наданням доступу до облікового запису. Таким чином, для використання ключів доступу потрібні пристрої, що підтримують цю технологію.
Незважаючи на рекомендації фахівців з безпеки щодо створення надійних паролів та використання унікальних паролів для кожного облікового запису, користувачі часто використовують слабкі паролі або один і той самий пароль на кількох платформах, що робить систему паролів ще більш вразливою.
Саме тому розробка ключів доступу Консорціумом Всесвітньої павутини (W3C) та Альянсом FIDO, організацією, що активно працює над зменшенням залежності від паролів, стала важливим кроком вперед.
Використання ключів доступу було ініційовано через виявлені недоліки в безпеці існуючих парольних технологій. Ці недоліки призвели до запровадження двофакторної автентифікації (2FA), яка служить додатковим рівнем захисту перед тим, як користувач отримає доступ до свого облікового запису. Крім того, з’явилися менеджери паролів, що допомагають користувачам відстежувати велику кількість паролів для різних облікових записів.
Як працюють ключі доступу?
Ключі доступу функціонують на основі API веб-автентифікації WebAuthn. WebAuthn використовує відкритий та закритий ключі, застосовуючи криптографію з відкритим ключем, щоб гарантувати, що користувач є саме тим, за кого себе видає.
На відміну від традиційних паролів, які дозволяють будь-кому, хто їх знає, отримати доступ до вашого облікового запису з будь-якого місця, ключі доступу використовують надійні методи для підтвердження вашої ідентичності.
Ключ доступу складається з двох ключів – відкритого та закритого. Обидва ключі є критично важливими, оскільки вони взаємодіють, як частини головоломки, для розблокування та підтвердження особи користувача. Відкритий ключ може зберігатися на будь-якому веб-сайті чи в програмі, для якої ви створюєте ключ доступу, тоді як закритий ключ, як випливає з його назви, зберігається в безпечному місці і доступний лише з пристрою, на якому був створений ключ.
Закритий ключ не є загальнодоступним і зберігається на будь-якій хмарній платформі, що значно ускладнює його компрометацію. Це робить ключі доступу значно безпечнішими. Наприклад, припустимо, ви хочете увійти до свого облікового запису Google, використовуючи ключ доступу.
Важливо пам’ятати, що ключ доступу складається з двох ключів. Google надсилає зашифрований запит на ваш пристрій. Пам’ятайте, що Google вже має ваш відкритий ключ.
Після отримання зашифрованого запиту, вам потрібно буде розблокувати свій телефон за допомогою PIN-коду, графічного ключа або розпізнавання обличчя. Це ініціює підписання запиту вашим закритим ключем і надсилання підписаного запиту назад у Google.
Потім Google перевіряє підпис, використовуючи копію відкритого ключа. Якщо обидва ключі збігаються, зашифрований запит розшифровується, і Google підтверджує, що саме ви є власником облікового запису. Таким чином, ключ доступу працює аналогічно до 2FA, але є більш надійним та зручним.
Чому ключі доступу кращі?
Кращі та надійніші за паролі
Ключі доступу використовують криптографію з відкритим ключем, що є більш безпечним методом автентифікації. Вони є стійкішими до фішингу та інших видів атак, порівняно з парольною автентифікацією. Ваш закритий ключ ніколи не передається в хмару, тому лише ви маєте доступ до свого облікового запису.
Зручні
На відміну від паролів, які потрібно постійно пам’ятати, включаючи великі літери та спеціальні символи, ключі доступу дозволяють вам використовувати біометричні дані для підтвердження своєї ідентичності, спрощуючи процес автентифікації та позбавляючи вас від необхідності запам’ятовувати паролі.
Можливість нульового зламу
Для підтвердження вашої ідентичності потрібні як відкритий, так і закритий ключ. Навіть якщо ваш відкритий ключ зберігається у відкритому доступі в хмарі веб-сайту, його неможливо використати для отримання доступу до вашого закритого ключа. Це робить ваш обліковий запис практично невразливим для злому.
Покращений досвід користувача
Як вже згадувалося, ключі доступу позбавляють від необхідності запам’ятовувати паролі та ризику втратити доступ до свого облікового запису через забутий пароль. Це робить процес автентифікації більш зручним та легким.
Налаштування ключа доступу в обліковому записі Google
Google оголосив про впровадження ключів доступу під час Всесвітнього дня паролів у 2022 році. Наразі користувачі мають можливість увімкнути функцію ключів доступу для заміни автентифікації на основі паролів. У цьому розділі ми надамо покрокову інструкцію щодо активації ключа доступу у вашому обліковому записі Google.
Тепер ваш ключ доступу активовано, і ви можете забути про паролі.
Активація ключа доступу на мобільному пристрої (Android)
Чи паролі відмирають?
Впровадження цієї нової технології, як і будь-якої іншої, потребує певного часу. Наразі ми очікуємо, що паролі все ще будуть широко використовуватися більшістю користувачів. Однак, все більше компаній переходять на безпарольну автентифікацію та використання ключів доступу. Згодом паролі можуть зникнути з ужитку.
Висновок
Ключі доступу є перспективною технологією. Відкритий ключ – це свого роду “замок”, який є загальнодоступним, але відкрити його може лише особа, яка має відповідний “ключ” (закритий ключ), який зберігається в секреті. У перспективі переваги безпарольного використання ключів доступу переважатимуть їх недоліки.
У міру того, як дедалі більше компаній почнуть впроваджувати ключі доступу як спосіб автентифікації, все більше людей переходитимуть на їх використання, повністю усвідомлюючи їх переваги.
Ви також можете ознайомитися з інформацією про те, як застосувати автентифікацію за допомогою ключів доступу/FIDO у ваших програмах.