Пароль – деякий час це був перший рівень безпеки для наших різних форм облікових записів, але, оглядаючись на минулий час, наскільки надійними є паролі загалом?
Наші паролі — це комбінація імен домашніх тварин, важливих дат, ключових подій, імен тощо, ця інформація може бути зібрана з нашої соціальної присутності.
Крім того, необхідність мати кілька паролів для наших різних облікових записів, щоб уникнути зламу в разі витоку, ще більше ускладнює підтримку паролів.
Джерело зображення: blog.google
Початок кінця пароля – як заголовок a Повідомлення в блозі Google. Вже деякий час ведуться переговори та зусилля, спрямовані на поступову відмову від ери паролів, і провідні компанії, такі як Google, Apple і Microsoft, очолюють поступове припинення цієї вікової технології та заміну її на ключ доступу.
У цій статті ми розглянемо, що таке ключі доступу, чим вони кращі, а також крок за кроком розглянемо, як налаштувати ключ доступу в обліковому записі Google.
Що таке ключі доступу?
Ключі доступу – це новий спосіб автентифікації користувача, який безпечніший і кращий, ніж традиційні паролі. Ключі доступу усувають використання паролів та імен користувачів, скасовуючи старий метод автентифікації, який сприйнятливий до хакерів, фішингу та витоку даних, серед інших пов’язаних із ними загроз безпеці, і замінюють їх більш безпечними засобами.
На відміну від широко використовуваних паролів для автентифікації, ключі доступу усувають процес запам’ятовування пароля, оскільки він не вимагає пароля. Ключі доступу стосуються використання PIN-коду, шаблонів або біометричних датчиків, таких як відбиток пальця або розпізнавання обличчя, для підтвердження вашої особи перед отриманням доступу до вашого облікового запису. Отже, щоб використовувати ключі доступу, користувачі повинні мати пристрої, які підтримують цю технологію.
Незважаючи на поради експертів із безпеки щодо використання надійних паролів і наявності унікальних паролів для кожного облікового запису користувача, користувачі все ще використовують слабкі паролі та використовують один пароль для кількох платформ, що ще більше збільшує вразливість системи паролів.
Отже, розробка ключів доступу Консорціумом всесвітньої павутини (W3C) і Альянсом FIDO, асоціацією, яка була в авангарді зменшення використання паролів.
Використання ключів доступу було розроблено через недоліки безпеки, які були використані в існуючій технології паролів. Через ці недоліки ми стали свідками впровадження двофакторної автентифікації, яка має служити другим рівнем безпеки та ідентифікації перед тим, як користувач отримає доступ до свого облікового запису, а також спостерігаємо широке впровадження менеджерів паролів, щоб допомогти користувачам відстежувати кілька паролів, які вони мають у кількох облікових записах.
Як працюють ключі доступу?
Використання ключа доступу в API веб-автентифікації WebAuthn. Веб-автентифікація використовує відкритий і закритий ключ, відомий як криптографія з відкритим ключем, щоб переконатися, що користувач є правильним власником облікового запису.
На відміну від традиційних паролів, кожен, хто має ваш пароль, може увійти в систему та отримати доступ до вашого облікового запису з будь-якого місця. Ключ доступу використовує суворі засоби забезпечення того, хто ви є.
Ключ доступу складається з двох ключів, відкритого та закритого. Обидва ключі важливі, оскільки вони працюють разом, подібно до головоломки, щоб розблокувати та підтвердити особу користувача. Відкритий ключ є і може зберігатися на будь-якому веб-сайті чи в програмі, для якої ви створюєте ключ доступу, тоді як закритий ключ, як випливає з назви, зберігається безпечно та доступний лише з пристрою, який використовується під час створення ключа доступу.
Приватний ключ недоступний і зберігається на будь-якій хмарній платформі, що ускладнює його зламати, що робить ключ доступу більш безпечним. Простіше кажучи, ви хочете увійти у свій обліковий запис Google за допомогою ключа доступу.
Пам’ятайте, що ваш ключ доступу складається з двох ключів. Google надсилає зашифрований виклик на ваш пристрій; пам’ятайте, Google тепер має ваш відкритий ключ.
Коли ваш пристрій отримує зашифроване завдання, вам потрібно буде розблокувати телефон за допомогою PIN-коду, шаблону чи ідентифікатора обличчя, який потім підписує виклик вашим закритим ключем і пересилає підписаний виклик назад у Google.
Потім Google перевіряє це за допомогою копії відкритого ключа. Якщо обидва ключі збігаються, зашифрований виклик розшифровується, і Google дізнається, що це ви. При уважному розгляді ключ доступу працює подібно до 2FA, але краще.
Чому ключі доступу кращі?
Кращий і надійніший за паролі
Ключ доступу використовує криптографію з відкритим ключем, більш безпечний спосіб автентифікації користувача. Вони більш стійкі до фішингу та інших форм атак порівняно з автентифікацією на основі пароля. Ваш закритий ключ ніколи не передається в хмару, тому тільки ви можете отримати доступ до свого облікового запису.
зручно
На відміну від паролів, які вимагають завжди запам’ятовувати їх аж до великих літер і крапок. Завдяки Passkey ви можете покладатися на біометричний датчик для підтвердження вашої особи, який обробляє надсилання та автентифікацію вашої особи та позбавляє вас від необхідності забувати свій пароль.
Можливе нульове порушення
Незважаючи на те, що вам потрібні як відкритий, так і закритий ключ, щоб підтвердити вашу особу та знати, що ваш відкритий ключ зберігається у відкритому доступі в хмарі веб-сайту, у разі порушення відкритого ключа не можна змінити інженерію, щоб отримати доступ до вашого закритого ключа, залишаючи ваш обліковий запис непроникним.
Покращений досвід користувачів
Ключ доступу, як уже згадувалося, допомагає позбутися від необхідності постійно запам’ятовувати всі ваші паролі та усуває ризик забути пароль і втратити доступ до свого облікового запису, роблячи автентифікацію більш зручною та легкою.
Налаштування ключа доступу до вашого облікового запису Google
Google оголосив про впровадження ключа доступу під час Всесвітнього дня пароля в 2022 році. Наразі користувачі мають доступ, щоб увімкнути опцію ключа доступу для заміни автентифікації на основі пароля. У цьому розділі ми розглянемо покрокову інструкцію з активації ключа доступу у вашому наявному обліковому записі Google.
Нарешті, у вас активований ключ доступу, і ви без пароля.
Активація ключа доступу на мобільному пристрої (Android)
Пароль не працює?
На цьому етапі впровадження цієї нової технології, як і будь-якої іншої, потребуватиме часу. Отже, поки що ми все ще очікуємо, що паролі будуть широко використовуватися більшістю, але все більше компаній переходять на безпарольну тенденцію та використання ключа доступу. Згодом паролі можуть бути припинені.
Висновок
Ключі доступу є бажаною технологією, причому відкритий ключ є замком і є загальнодоступним, але його може розблокувати лише особа, яка має правильний ключ (приватний ключ), який зберігається в секреті. У довгостроковій перспективі переваги безпарольного використання ключів доступу переважать його недоліки.
Зі збільшенням кількості компаній, які використовують ключі доступу як засіб автентифікації, більше людей переходитимуть на нього, коли вони повністю зрозуміють переваги.
Далі ви також можете прочитати про те, як застосувати автентифікацію за допомогою ключів доступу/FIDO у своїх програмах.