Jak iCloud Passkey może stworzyć przyszłość bez haseł?

December 02, 2021
WAktualności Ochrona Internetu

Kluczowe dania na wynos

iCloud Passkey eliminuje hasła i sprawia, że logowanie jest znacznie bezpieczniejsze.
WebAuthn to standard przeglądarki umożliwiający uwierzytelnianie bez hasła.
Zarówno WebAuthn, jak i iCloud Passkey używają do tego krypto klucza publicznego.

Pęk kluczy iCloud w postaci, w jakiej pojawia się na macOS — jabłko

Dzięki iCloud Passkey Apple wkrótce sprawi, że hasło stanie się przestarzałe. Wreszcie.

Hasła to ogromny problem. Słabe lub skradzione hasła stoją za ponad 80% włamań hakerskich, a ludzie po prostu kiepsko radzą sobie z zarządzaniem hasłami. Albo o nich zapomnimy, użyjemy imienia naszych psów lub dzieci, albo użyjemy tego samego hasła do wszystkiego. Menedżerowie haseł, tacy jak NordPass lub iCloud Keychain, mogą pomóc, ale hasło nadal jest zasadniczo niepewne. Klucze dostępu w pęku kluczy iCloud oraz nowy standard WebAuthn, chcesz to naprawić, ale czy naprawdę mogą zastąpić hasło?

„Jeśli Apple wdroży to jako standard na swoich urządzeniach, miliony ludzi przyzwyczai się do tego, a inni giganci technologiczni, tacy jak Google, pójdą w ich ślady” – Christen Costa, dyrektor generalny

Przegląd gadżetów, powiedział Lifewire w e-mailu.

Klucze publiczne

Problem z hasłem polega na tym, że należy je zachować w tajemnicy, ale także należy je udostępniać. Klucze dostępu iCloud używają czegoś, co nazywa się Kryptografia klucza publicznego. Składa się z dwóch kluczy. Klucz publiczny może tylko blokować rzeczy, więc można go bezpiecznie udostępniać; klucz prywatny może zarówno blokować, jak i odblokowywać dane i nigdy nie opuszcza urządzenia.

Lista informacji o kluczu dostępu iCloud firmy Apple — jabłko

Gdy rejestrujesz się w witrynie internetowej lub usłudze za pomocą kluczy dostępu iCloud lub WebAuthn, generowana jest nowa para kluczy, a klucz publiczny jest udostępniany usłudze, zastępując hasło. Haczyk polega na tym, że do logowania będziesz musiał użyć jednego z własnych urządzeń, ale w praktyce rzadko będzie to stanowić problem, a korzyści w zakresie bezpieczeństwa są ogromne. A jeśli korzystasz już z menedżera haseł i uwierzytelniania dwuskładnikowego, oznacza to, że korzystasz już z urządzenia z uruchomioną aplikacją do zarządzania hasłami.

Innym problemem jest jednak to, że jeśli atakujący zdobędzie Twoje urządzenie i zdoła uzyskać do niego dostęp, wszystkie zakłady są wyłączone. Jednak urządzenia z systemem iOS i nowoczesne komputery Mac są bardzo trudne do złamania, a kradzież telefonu to dużo więcej wysiłku niż wysyłanie wiadomości phishingowych.

Klucze dostępu w pęku kluczy iCloud są łatwe

Korzystanie z kluczy dostępu w pęku kluczy iCloud jest proste. Podczas zakładania nowego konta użytkownika w witrynie internetowej wprowadzasz adres e-mail, a Twój iPhone poprosi Cię o potwierdzenie tworzenia konta. Otóż to. Nowe hasło jest przechowywane w pęku kluczy, a część publiczna jest przechowywana przez witrynę internetową.

Duża różnica polega na tym, że klucz publiczny ma być publiczny. Nie trzeba go ukrywać ani utrzymywać w tajemnicy. Jeśli witryna zostanie zhakowana, kradzież wszystkich tych kluczy publicznych jest bezcelowa, ponieważ nic nie zrobią. Te masowe naruszenia haseł, o których czytasz co kilka tygodni? Będą już przeszłością.

„Jeśli zbadamy, jak działają hasła dzisiaj, najpierw wpiszesz hasło, a następnie zwykle jest ono zaciemniane przez coś w rodzaju haszowanie plus solenie, a wynikowy solony hasz jest wysyłany na serwer” – mówi Garrett Davidson z Apple podczas sesji WWDC nazywa "Wyjdź poza hasła." "Teraz zarówno ty, jak i serwer macie kopię sekretu, nawet jeśli kopia serwera jest zaciemniona, i oboje jesteście w równym stopniu odpowiedzialni za ochronę tego sekretu."

A co z menedżerem haseł?

Ta technologia może wydawać się oznaczać zagładę dla aplikacji do zarządzania hasłami, ale nie ma to większego znaczenia. Większość użytkowników już polega na wbudowanym menedżerze haseł iCloud.

Zaawansowani użytkownicy, ludzie, którzy lubią dodatkowe funkcje i oddzielają swoje hasła od swojego Apple ID, będą nadal korzystać z samodzielnych aplikacji.

„Jeśli Apple wdroży to jako standard na swoich urządzeniach, miliony ludzi przyzwyczai się do tego, a inni giganci technologiczni, tacy jak Google, pójdą w ich ślady”.

„Nikt nie chce więcej konkurentów, ale takie wbudowane rozwiązania nie są głównym celem przeglądarki”, mówi Ekspert ds. bezpieczeństwa Nordpass Czad Hammond. „Dlatego nie rozwiązują tych samych globalnych problemów, co menedżerowie haseł. Podstawową funkcją przeglądarki jest zapewnienie użytkownikowi dostępu do informacji, a menedżer haseł to tylko jedna z wielu oferowanych przez nią funkcji. W dedykowanych menedżerach haseł jest to główna funkcja”.

Z drugiej strony zasięg Apple może umieścić tę nową technologię uwierzytelniania w wielu rękach, co jest wygraną dla wszystkich. Płatności zbliżeniowe istniały przed Apple Pay, ale w USA pojawiły się dopiero po tym, jak Apple dodał je do iPhone'a. Hasła nie znikną w najbliższym czasie, ale w końcu mamy alternatywę, która jest z natury bezpieczna, łatwa w użyciu i nie pozwala używać imienia psa. Ponownie.