Jak může iCloud Passkey vytvořit budoucnost bez hesel

S iCloud Passkey se Apple chystá učinit heslo zastaralým. Konečně.

Hesla jsou obrovský problém. Slabá nebo ukradená hesla stojí za více než 80 % hackerských útokůa lidé jsou ve správě hesel prostě hrozní. Buď je zapomeneme, použijeme jména našich psů nebo dětí, nebo použijeme pro všechno stejné heslo. Správci hesel jako NordPass nebo iCloud Keychain mohou pomoci, ale heslo je stále zásadně nezabezpečené. Přístupové klíče v iCloud Keychain a nový standardní WebAuthn, chcete to opravit, ale mohou někdy skutečně nahradit heslo?

„Pokud to Apple zavede jako standard na svých zařízeních, miliony lidí si na to zvyknou a další tech giganti jako Google budou následovat,“ Christen Costa, CEO společnosti Recenze gadgetu, řekl Lifewire prostřednictvím e-mailu.

Veřejné klíče

Problém s heslem je, že musí být uchováváno v tajnosti, ale také musí být sdíleno. Přístupové klíče iCloud používají tzv Kryptografie veřejného klíče. To se skládá ze dvou klíčů. Veřejný klíč může věci pouze uzamknout, takže je bezpečné ho sdílet; soukromý klíč může zamykat i odemykat data a nikdy neopustí vaše zařízení.

Když se přihlásíte k webu nebo službě pomocí přístupových klíčů iCloud nebo WebAuthn, vygeneruje se nový pár klíčů a veřejný klíč se sdílí se službou a nahradí heslo. Háček je v tom, že k přihlášení budete muset použít jedno ze svých vlastních zařízení, ale v praxi to bude jen zřídka problém a výhody zabezpečení jsou obrovské. A pokud již používáte správce hesel a dvoufaktorové ověřování, pak již používáte zařízení se spuštěnou aplikací správce hesel.

Dalším problémem však je, že pokud se útočníkovi zmocní vaše zařízení a podaří se mu k němu získat přístup, pak jsou všechny sázky pryč. Zařízení iOS a moderní Mac je však velmi obtížné prolomit a ukrást telefon je mnohem větší úsilí než posílat phishingové e-maily.

Přístupové klíče v iCloud Keychain jsou snadné

Použití přístupových klíčů v iCloud Keychain je jednoduché. Když si na webu zaregistrujete nový uživatelský účet, zadáte e-mailovou adresu a váš iPhone vás požádá o potvrzení, že si vytváříte účet. A je to. Nový přístupový klíč je uložen ve vaší klíčence a veřejná část je uložena webem.

Velký rozdíl je v tom, že veřejný klíč je navržen tak, aby byl veřejný. Není třeba to skrývat nebo tajit. Pokud je web hacknut, krádež všech těchto veřejných klíčů je bezpředmětná, protože nic neudělají. Těch masivních porušení hesel, o kterých čtete každých pár týdnů? Budou minulostí.

„Pokud dnes prozkoumáme, jak hesla fungují, nejprve zadáte své heslo, poté je obvykle zamlženo něčím jako hash plus salting a výsledný salted hash se odešle na server,“ říká Garrett Davidson z Apple na WWDC zasedání. volala "Překročit hranice hesel." "Nyní máte kopii tajemství vy i server, i když kopie serveru je zamlžená, a oba jste stejně odpovědní za ochranu tohoto tajemství."

A co váš správce hesel?

Může se zdát, že tato technologie znamená zkázu pro aplikace pro správu hesel, ale není v tom žádný rozdíl. Většina uživatelů již spoléhá na vestavěného správce hesel iCloud.

Nároční uživatelé, typ lidí, kteří mají rádi extra funkce a oddělují svá hesla od svého Apple ID, budou i nadále používat samostatné aplikace.

"Nikdo nechce více konkurentů, ale taková vestavěná řešení nejsou primárním cílem prohlížeče," říká Bezpečnostní expert Nordpass Chad Hammond. „Proto neřeší stejné globální problémy jako správci hesel. Primární funkcí prohlížeče je poskytnout uživateli přístup k informacím a správce hesel je pouze jednou z mnoha funkcí, které nabízí. Ve specializovaných správcích hesel je to hlavní funkce.“

Na druhou stranu může dosah Applu vložit tuto novou technologii ověřování do mnoha rukou, což je výhra pro každého. Bezkontaktní platby existovaly před Apple Pay, ale v USA se rozběhly až poté, co je Apple přidal do iPhonu. Hesla v dohledné době nezmizí, ale konečně máme alternativu, která je ze své podstaty bezpečná, snadno použitelná a nedovolí vám používat jméno vašeho psa. Znovu.