Reklama
Hasła mają kluczowe znaczenie dla bezpieczeństwa w Internecie. Ale przy tak wielu usługach, zarówno online, jak i offline, śledzenie haseł jest trudne. Systemy logowania bez hasła zaczynają startować, usuwając wymóg wprowadzania hasła przy każdym logowaniu do usługi.
Ale jeśli nie używasz hasła, jak zabezpieczyć swoje konto? Co to są loginy bez hasła i czy są bezpieczne?
Co to jest logowanie bez hasła?
Loginy bez hasła to systemy uwierzytelniania, które wykorzystują alternatywy do hasła, aby umożliwić dostęp do konta. Na przykład zamiast hasła otrzymasz powiadomienie e-mail, które działa jak token logowania. Alternatywnie może pojawić się wyskakujące okienko na smartfonie, umożliwiające kontrolę dostępu do konta.
W tym celu logowanie bez hasła często wykorzystuje wcześniej istniejącą formę uwierzytelnienia, aby zagwarantować twoją tożsamość.
Możliwe, że już logowałeś się bez hasła przy użyciu konta Gmail. Zamiast wpisywać hasło przy każdym logowaniu, Google może wysłać monit bezpośrednio na telefon. Monit pokazuje czas i lokalizację próby logowania, z opcją zatwierdzenia lub odmowy logowania.
Jak działa logowanie bez hasła?
Po zalogowaniu się na stronie musisz podać hasło, aby odblokować konto. Hasło jest znane tylko tobie i stronie, dzięki czemu twoje konto jest bezpieczne. Ufasz, że witryna będzie chronić Twoje hasło, przechowywać je bezpiecznie i że sama witryna nie jest zagrożona.
Ponadto zdecydowanie używasz silnych, unikalnych haseł dla każdej witryny i usługi, ponieważ jest to najbezpieczniejsza praktyka.
Jednak to drugie stało się trudne. Utworzenie silnego hasła jednorazowego użytku dla każdej witryny spowodowało, że użytkownicy tworzą łatwe do zapamiętania, ale straszne hasła. Nawet jeśli stworzysz bezpieczne hasło, rzut oka na liczbę naruszeń danych w każdym miesiącu może podważyć twoje wysiłki.
Dzięki uwierzytelnianiu bez hasła nie musisz ufać witrynie hasłem. Zamiast wpisywać hasło za każdym razem, logowania bez hasła używają kilku różnych metod uwierzytelniania.
Uwierzytelnianie bez hasła za pomocą wiadomości e-mail
Najpopularniejszym systemem logowania bez hasła jest obecnie e-mail. Wielu użytkowników uzna, że logowanie za pomocą wiadomości e-mail bez hasła jest najbardziej znanym systemem, działającym podobnie do resetowania hasła.
Podczas próby logowania podajesz adres e-mail. Usługa wysyła bezpieczną wiadomość e-mail na adres powiązany z kontem, a wiadomość zawiera bezpieczny, jednorazowy magiczny link umożliwiający wejście na konto usługi. Magiczny link zawiera unikalny token logowania weryfikowany przez usługę, zamieniający go na token sprawdzania długoterminowości.
Istnieją inne warianty w systemie e-mail. Na przykład w przypadku istniejącego konta usługa może wysłać użytkownikowi jednorazowy kod klucza DKIM powiązany z danymi konta. Użytkownik otrzymuje kod DKIM i wprowadza go na stronie. Witryna weryfikuje kod w oparciu o istniejące dane użytkownika i kończy proces logowania.
Logowanie bez hasła za pomocą wiadomości SMS
W tym przypadku użytkownik wprowadza prawidłowy numer telefonu. Usługa wysyła jednorazowy kod na numer telefonu. Użytkownik może następnie zalogować się do usługi. Alternatywnie, niektóre usługi oferują „wywołanie robo-call” użytkownika, gdzie usługa zamiany tekstu na mowę odczyta kod bezpośrednio.
Bezpieczeństwo SMS-ów jest jednak badane. Zdecydowana większość z nas nie ma się czym martwić. Ale kilka osób o wysokiej wartości (szczególnie tych z dużą ilością kryptowalut) doświadczyło ataków hakerskich na SMS-y. Sprawdź dokładnie co atak polegający na zamianie kart SIM i sposób ochrony przed nim Co to jest zamiana karty SIM? 5 porad, jak się chronić przed tym oszustwemWraz ze wzrostem dostępu do kont mobilnych i 2FA dla bezpieczeństwa, zamiana kart SIM stanowi rosnące zagrożenie bezpieczeństwa. Oto jak to zatrzymać. Czytaj więcej .
Biometryczne logowanie bez hasła
Niektóre metody logowania bez hasła używają usług skanowania biometrycznego do uwierzytelnienia tożsamości. Usługi uwierzytelniania biometrycznego są dostępne na większej liczbie urządzeń niż kiedykolwiek. (Powinieneś przejdź do usługi biometrycznej dla swojego smartfona?)
Chodzi o to, że gdy chcesz uzyskać dostęp do strony, na smartfonie pojawia się monit. Odblokowujesz smartfona za pomocą preferowanego systemu biometrycznego, a odblokowanie działa jako weryfikacja Twojej tożsamości.
Jednak oprócz Apple Face ID (dla urządzeń w tym i wyprodukowanych po iPhone X, iPad Pro trzeciej generacji i iPoda Touch siódmej generacji) skanowanie biometryczne urządzeń mobilnych nie jest całkowicie bezpieczne.
Inni producenci sprzętu do skanowania twarzy nie są tak zaawansowani i oszukani przy użyciu zdjęcia, podczas gdy głowica drukowana i pomalowana w 3D musi oszukać Apple Face ID. W innych sprawach, skanery linii papilarnych umożliwiają częściowe rozpoznanie 5 sposobów, w jakie hakerzy omijają skanery linii papilarnych (jak się chronić)Myślisz, że czytnik linii papilarnych sprawia, że Twoje urządzenie jest bezpieczne? Pomyśl jeszcze raz! Oto 5 sposobów na włamanie skanerów linii papilarnych. Czytaj więcej aby odblokować urządzenie.
W tej chwili biometryczny system logowania bez hasła prawdopodobnie nie jest najlepszą opcją. W przyszłości może jednak stać się najlepszą opcją.
Klucz fizyczny Logowanie bez hasła
Fizyczne klucze bezpieczeństwa oferują kolejną opcję uwierzytelniania bez hasła. Fizyczny klucz bezpieczeństwa to specjalny klucz bezpieczeństwa USB. Gdy chcesz uzyskać dostęp do konta, podłącz swój klucz bezpieczeństwa do komputera. Usługa online sprawdza poprawność konta za pomocą klucza bezpieczeństwa, eliminując potrzebę hasła.
Najważniejsze przykłady fizycznego klucza bezpieczeństwa to seria Titan Google i seria Yubikey Yubico.
Czy logowanie bez hasła jest podobne do uwierzytelniania dwuskładnikowego?
Tak i nie.
Tak, logowanie bez hasła jest podobne do uwierzytelniania dwuskładnikowego (2FA), ponieważ uzyskujesz dostęp do konta przy użyciu alternatywnej metody uwierzytelniania. 2FA polega na zabezpieczeniu konta przy użyciu dwóch oddzielnych czynników, zwykle hasła i oddzielnego urządzenia.
Nie, to nie to samo, ponieważ chociaż używasz oddzielnego urządzenia do uwierzytelnienia swojego konta, nadal jest to tylko jeden czynnik.
Czy logowanie bez hasła jest bezpieczniejsze?
Coś, co powstrzymuje użytkowników przed tworzeniem okropnych haseł, jest dobre, prawda? Loginy bez hasła usuwają kolejny punkt awarii dla użytkownika końcowego. W chwili obecnej logowanie bez hasła nie jest powszechne. Korzysta z nich kilka głównych usług, takich jak Gmail (jak wspomniano powyżej) i Slack Magic Links.
Największym pozytywem dla właścicieli witryn i moderatorów jest nagły brak konieczności radzenia sobie z hasłami użytkowników. Nieszyfrowane hasła przechowywane w pliku czystego tekstu są koszmarami; dla hakera to marzenie. Użytkownicy, którzy rzadko uzyskują dostęp do usługi, nie będą musieli przechodzić przez sztywne hasło „zresetuj hasło”.
Logowanie bez hasła może również pomóc użytkownikom szybko zalogować się do usługi. I odwrotnie, jeśli regularnie wylogowujesz się z usługi, konieczność ponownej autoryzacji przez e-mail lub SMS może stać się irytująca, w zależności od czasu.
Na razie użyj Menedżera haseł
Logowanie bez hasła zajmie trochę czasu, aby stać się głównym nurtem. Piłka jednak się toczy. Większość głównych przeglądarek (wszystkie oprócz Safari) obsługują takie czy inne hasła bez logowania. W lutym 2019 r. Google ogłosiło również, że urządzenia z Androidem 7 (czyli Androidem Nougat) lub nowszym również otrzymają wsparcie logowania bez hasła.
Oznacza to obsługę logowania bez hasła dla prawie 50 procent wszystkich urządzeń z Androidem. Standardy logowania bez hasła, takie jak FIDO2 i WebAuthn, będą nadal otrzymywać aktualizacje, dodatkowo zabezpieczając metodę uwierzytelniania.
W chwili pisania tego hasła nadal potrzebujesz hasła. Potrzebujesz silnego, jednorazowego hasła. Pamiętając o tym, dlaczego nie rozważyć użycia menedżera haseł Najlepsi menedżerowie haseł na każdą okazjęMasz problemy z zapamiętaniem coraz bardziej skomplikowanych haseł? Czas polegać na jednym z tych bezpłatnych lub płatnych menedżerów haseł! Czytaj więcej ?
Gavin jest starszym pisarzem dla MUO. Jest także redaktorem i menedżerem SEO dla siostrzanej strony MakeUseOf, Blocks Decoded. Ma BA (z wyróżnieniem) współczesne pisanie z cyfrowymi praktykami artystycznymi zdobytymi na wzgórzach Devon, a także ponad dekadę doświadczenia zawodowego w pisaniu. Lubi dużo herbaty.
