Hogyan teremthet jelszómentes jövőt az iCloud Passkey?

December 02, 2021
Ban benHírek Internet Biztonság

Kulcs elvitelek

Az iCloud Passkey megszünteti a jelszavakat, és sokkal biztonságosabbá teszi a bejelentkezést.
A WebAuthn egy böngészőszabvány a jelszó nélküli hitelesítéshez.
A WebAuthn és az iCloud Passkey is nyilvános kulcsú titkosítást használ a művelet végrehajtásához.

iCloud Keychain, ahogyan a macOS-en megjelenik — alma

Az iCloud Passkey segítségével az Apple elavulttá teszi a jelszót. Végül.

A jelszavak óriási problémát jelentenek. Gyenge vagy ellopott jelszavak a feltörések több mint 80%-a mögött állnak, és az emberek egyszerűen rosszul kezelik a jelszavakat. Vagy elfelejtjük őket, használjuk kutyáink vagy gyerekeink nevét, vagy mindenhez ugyanazt a jelszót használjuk. A jelszókezelők, például a NordPass vagy az iCloud Keychain segíthetnek, de a jelszó még mindig alapvetően nem biztonságos. Jelszavak az iCloud Keychainben, és a új szabványos WebAuthn, szeretné ezt kijavítani, de valóban lecserélhetik valaha a jelszót?

"Ha az Apple ezt alapfelszereltségként bevezeti az eszközein, emberek milliói hozzászoknak majd, és más technológiai óriások, például a Google is követni fogják a példáját" - mondta Christen Costa, a vállalat vezérigazgatója.

Gadget Review, mondta a Lifewire-nek e-mailben.

Nyilvános kulcsok

A jelszóval az a probléma, hogy titokban kell tartani, de meg is kell osztani. Az iCloud-kulcsok az úgynevezett Nyilvános kulcsú kriptográfia. Ez két kulcsból áll. A nyilvános kulcs csak zárolni tudja a dolgokat, így biztonságos a megosztása; a privát kulcs zárolhatja és feloldhatja az adatokat, és soha nem hagyja el az eszközt.

Az Apple iCloud Passkey információinak listája — alma

Amikor iCloud Passkeys vagy WebAuthn használatával regisztrál egy webhelyre vagy szolgáltatásra, a rendszer egy új kulcspárt generál, és a nyilvános kulcsot a jelszó helyett megosztja a szolgáltatással. A bökkenő az, hogy a bejelentkezéshez saját eszközét kell használnia, de a gyakorlatban ez ritkán jelent problémát, és a biztonsági előnyök óriásiak. És ha már jelszókezelőt és kétfaktoros hitelesítést használ, akkor már olyan eszközön van, amelyen a jelszókezelő alkalmazás fut.

Egy másik probléma azonban az, hogy ha egy támadó megfogja az eszközt, és sikerül hozzáférnie, akkor minden fogadás megszűnik. Az iOS és a modern Mac eszközöket azonban nagyon nehéz feltörni, és a telefon ellopása sokkal nagyobb erőfeszítés, mint az adathalász e-mailek küldése.

Az iCloud kulcstartóban található jelszavak egyszerűek

A jelszavak használata az iCloud Keychainben egyszerű. Amikor új felhasználói fiókot regisztrál egy webhelyen, meg kell adnia egy e-mail címet, és iPhone-ja meg fogja kérni, hogy erősítse meg a fiók létrehozását. Ez az. Az új jelszót a kulcstartó, a nyilvános részt pedig a webhely tárolja.

A nagy különbség az, hogy a nyilvános kulcsot nyilvánosnak tervezték. Nem kell elrejteni vagy titokban tartani. Ha a webhelyet feltörik, értelmetlen ellopni ezeket a nyilvános kulcsokat, mert nem tesznek semmit. Azok a hatalmas jelszósértések, amelyekről néhány hetente olvas? A múlté lesznek.

"Ha megvizsgáljuk, hogyan működnek ma a jelszavak, először beírod a jelszavadat, majd általában elhomályosítják valamivel, mint pl. kivonatolás plusz sózás, és az eredményül kapott sózott hash elküldésre kerül a szerverre” – mondja Garrett Davidson, az Apple-től a WWDC munkamenetben. "Lépjen túl a jelszavakon." "Most mind Önnek, mind a szervernek van egy másolata a titokról, még akkor is, ha a szerver másolata el van homályosítva, és mindketten egyformán felelősek a titok védelméért."

Mi a helyzet a jelszókezelővel?

Úgy tűnhet, hogy ez a technológia végzetet jelent a jelszókezelő alkalmazások számára, de ez nem sok különbséget jelent. A legtöbb felhasználó már a beépített iCloud jelszókezelőre támaszkodik.

A nagy teljesítményű felhasználók, akik szeretik az extra funkciókat, és leválasztják jelszavaikat az Apple ID-jükről, továbbra is önálló alkalmazásokat fognak használni.

"Ha az Apple ezt alapfelszereltségként bevezeti eszközein, emberek milliói hozzászoknak majd, és más technológiai óriások, például a Google is követni fogják a példáját."

"Senki sem akar több versenytársat, de az ilyen beépített megoldások nem az elsődleges szempont a böngészőben" - mondja Nordpass biztonsági szakértő Chad Hammond. „Ezért nem oldják meg ugyanazokat a globális problémákat, mint a jelszókezelők. A böngésző elsődleges funkciója, hogy a felhasználó hozzáférést biztosítson az információkhoz, a jelszókezelő pedig csak egy a sok szolgáltatás közül. A dedikált jelszókezelőkben ez a fő funkció."

Másrészt az Apple hatóköre sok kézbe adhatja ezt az új hitelesítési technológiát, ami mindenki számára előnyös. Az érintés nélküli fizetés az Apple Pay előtt is létezett, de csak azután terjedt el az Egyesült Államokban, hogy az Apple hozzáadta az iPhone-hoz. A jelszavak nem tűnnek el egyhamar, de végre van egy alternatíva, amely eredendően biztonságos, könnyen használható, és nem teszi lehetővé a kutyája nevének használatát. Újra.