У цій статті пояснюються основні відмінності між паролями та ключами доступу
https://www.macrumors.com/
BigTech переходять на нову passkey-технологію для веб-сайтів, метод входу в систему без пароля, який є більш безпечним та зручним. У програмній доповіді WWDC віце-президент Apple з інтернет-технологій Дарін Адлер назвав ключі доступу «обліковими даними наступного покоління, більш безпечними, простими у використанні та спрямованими на те, щоб назавжди замінити паролі». Насправді, це досить хороше резюме, і воно навіть не перебільшене.
Паролі являють собою загрозу безпеці, таку як фішинг, злом та крадіжку особистих даних. Вони також доставляють незручності користувачам, яким доводиться пам’ятати кілька штук. Ключі доступу, вони ж passkeys, зменшують кількість порушень безпеки даних та інших уразливостей.
Що таке passkey?
Passkey – це новий тип облікових даних для входу, який усуває необхідність використання паролів. Замість введення пароля тепер потрібна біометрична автентифікація.
Ключі доступу базуються на WebAuthentication або WebAuthn-стандарті. Він використовує криптографічний принцип, який називається криптографією з відкритим ключем, для захисту ваших облікових записів. Це та сама ідея, яка використовується для наскрізного шифрування в iMessage, Signal та інших додатках для безпечного спілкування.
Замість пароля для облікового запису пристрій створить унікальну пару математично пов’язаних ключів: відкритий ключ і закритий ключ. Відкритий ключ зберігається на сервері і дозволяє веб-сайту або додатку підтвердити ваш обліковий запис, якщо у вас є відповідний закритий ключ. Хитрість полягає в тому, що закритий ключ ніколи не буде відомий серверу. Ваш пристрій може виконувати всю автентифікацію, не розкриваючи його. Це витончена технологія із серйозною реалізацією безпеки.
Хоча ключі доступу можуть здатися складними (і криптографія, що лежить в їх основі, дійсно складна), на практиці вони зроблять реєстрацію нових облікових записів набагато простіше. Думайте про це як про цифрову ключ-картку.
Як працює passkey
Після прив’язування облікових записів при вході в систему на пристрій Bluetooth відправляється push-повідомлення. Користувач повинен розблокувати свій пристрій за допомогою методу біометричної аутентифікації, такого як відбиток пальця або ID Face, щоб створити ключ, пов’язаний з входом в систему.
Google Chrome та Apple iCloud Keychain синхронізують ключі доступу на кількох пристроях через хмару. Щоб використовувати passkey-технологію, користувачам необхідно налаштувати її на своєму пристрої перед використанням.
ЧИТАЙТЕ ТАКОЖ: ТОП-10 книг про фінанси та товарно-грошові відносини на зимові канікули
Що таке пароль?
Пароль — це рядок символів, який ідентифікує користувача під час входу до системи та використовується разом із ім’ям користувача. Паролі повинні бути унікальними та відомими лише користувачеві. Довжина пароля може бути різною і включати спеціальні символи, літери та цифри.
Однією з найбільших проблем із паролями є запам’ятовування кількох паролів та неможливість їх повторного використання. Проблеми з безпекою можуть виникнути через те, що зловмисники можуть отримати доступ до кількох облікових записів з одним паролем.
Багато хто використовують менеджери паролів, які створюють один майстер-пароль (або ключ), щоб отримати потрібний пароль з бази даних для автентифікації входу на веб-сайт або у додаток. Потім менеджер паролів заповнює форму для входу в обліковий запис, позбавляючи необхідності запам’ятовувати кілька паролів. Але варто пам’ятати, що такий спосіб може не забезпечити повну безпеку, якщо майстер-пароль буде розкритий.
Чому ключі доступу безпечніші, ніж паролі
Хоча паролі є стандартом для входу в систему, вони більше не вважаються найкращим варіантом, як мінімум, через необхідність запам’ятовувати кілька різних і складних паролів. Кібератаки та витік даних також роблять паролі вразливими. Фішингові афери обманом змушують людей ділитися своїми паролями на шахрайських сайтах.
Ключі доступу безпечніші паролів, оскільки зловмисникам потрібно буде мати доступ до пристрою та відбиток пальця, Face ID або PIN-коду, щоб розблокувати його. Хакери також повинні бути в межах досяжності Bluetooth пристрою, щоб використати його. Крім того, біометрична автентифікація не дозволить злодіям отримати доступ до інформації, якщо хтось втратить свій гаджет.
Чому компанії використовують безпарольну автентифікацію?
Passkey-технологія безпечніша, ніж паролі, і компаніям простіше використовувати її для запобігання зломам. Apple, Google і Microsoft об’єдналися з Альянсом FIDO та Консорціумом World Wide Web, щоб гарантувати, що ключі доступу працюватимуть на кількох платформах.
За даними FIDO Alliance, аутентифікація лише за допомогою пароля становить загрозу безпеці, а також ускладнює життя споживачам. Ті, хто повторно використовує паролі, наражаються на більший ризик витоку інформації та крадіжки особистих даних. Навіть із двофакторною автентифікацією та менеджерами паролів паролі, як і раніше, легко вкрасти. W3C та Альянс FIDO об’єднали зусилля, щоб зробити процес входу простішим та безпечнішим.
PayPal, член-засновник FIDO Alliance, є однією з перших компаній, що надають фінансові послуги, яка зробила passkey для своїх користувачів. Тепер їм не потрібно запам’ятовувати свій пароль, що дозволяє з більшою легкістю розплачуватися під час онлайн-покупок. Згідно з недавнім опитуванням споживачів у США, 44% відмовилися від онлайн-покупки, тому що забули пароль.
Passkey виглядає настільки безпечною системою, наскільки це можливо. Вектори атаки завжди будуть, і хакери, націлені на конкретних людей, швидше за все, рано чи пізно зможуть їх зламати, але для звичайних користувачів ця система має вирішити три найбільші проблеми: слабкі паролі, витік даних та фішинг.
ЧИТАЙТЕ ТАКОЖ: Технології голосових платежів: можливості, проблеми та майбутні тенденції
