Obecnie istnieje jeden podstawowy sposób zabezpieczenia dostępu online: nazwa użytkownika i hasło. Jednak nawet jeśli stworzymy długie, skomplikowane i złożone hasło, nadal pozostaje jedna kluczowa słabość tej konfiguracji zabezpieczeń — użytkownik.
Miliony osób padły już ofiarami witryn phishingowych, socjotechniki i innych form ataków, które naruszają hasła. Dlatego Apple chce usunąć hasło i zastąpić je hasłami.
Jak więc hasła Apple rozwiązują problem z hasłem?
Co to jest standard uwierzytelniania internetowego (WebAuthn)?
Ten standard jest publikowany przez World Wide Web Consortium (W3C), organizację zajmującą się tworzeniem protokołów i wytycznych dotyczących długoterminowego tworzenia stron internetowych. Opracowując tę nową technologię uwierzytelniania, grupa ma nadzieję zmniejszyć naszą zależność od haseł jako podstawowego lub jedynego sposobu ochrony naszych danych.
Apple jest również członkiem W3C i wprowadza standard WebAuthn do haseł Apple. Ta funkcja działa również z pękiem kluczy iCloud, więc osoby, które już korzystają z tej usługi, nie muszą migrować swojego systemu.
Implementując interfejs API WebAuthn, twórcy stron internetowych i producenci urządzeń zapewniają uwierzytelnianie, które będzie działać w różnych systemach. Niezależnie od tego, czy korzystasz z systemu Android, iOS, Mac czy Windows, ten system bez hasła powinien działać.
Jak klucze dostępu Apple zapewniają bezpieczeństwo?
Większość z nas w pewnym momencie polegała na nazwie użytkownika i hasłach. Prawdopodobnie nadal to robisz. Ale hasła można łatwo zhakować, zwłaszcza jeśli użytkownik nie ma bezpiecznego hasła lub jest ofiarą socjotechniki.
Tradycyjna kombinacja nazwy użytkownika i hasła oznacza również, że te informacje są przechowywane online. Jeśli więc usługa, z której korzystasz, na przykład Twitch, zostanie zhakowana, atak naraża dane i nie tylko. Jeśli ponownie użyjesz swojej nazwy użytkownika i hasła, co wielu robi, ale odradzamy, Twoje inne konta również są zagrożone.
Uwierzytelnianie dwuetapowe (2FA) został opracowany w celu rozwiązania tego problemu. Dodając kolejną warstwę zabezpieczeń, użytkownicy pomagają zapobiegać nieautoryzowanemu dostępowi do ich kont.
Chociaż ta technologia radykalnie zwiększyła bezpieczeństwo, zwłaszcza przed atakami typu brute force, wielu użytkowników nadal jest ofiarami ataki socjotechniczne. I chociaż zaawansowani technicznie użytkownicy mogą łatwo wykryć ataki, ci, którzy nie są tak zaznajomieni, mogą nie być w stanie wykrywaj oznaki ataków, takich jak oszustwa phishingowe.
Hasła Apple mają na celu rozwiązanie tego problemu poprzez całkowite usunięcie hasła. Logując się do serwisu internetowego, nie musisz już wpisywać swojej nazwy użytkownika i hasła. Zamiast tego wystarczy użyć funkcji zabezpieczeń biometrycznych urządzenia, takich jak FaceID lub TouchID.
Usługa nie ogranicza się tylko do Twojego urządzenia Apple. Możesz używać haseł na swoim komputerze z systemem Windows lub tablecie z systemem Android. Dopóki uzyskujesz dostęp do witryny internetowej, która implementuje interfejs API WebAuthn, możesz korzystać z funkcji biometrycznych urządzenia Apple, aby zalogować się na swoje konto, nawet jeśli uzyskujesz do niego dostęp za pomocą gadżetu innego niż Apple. To tak, jakby używać urządzenia Apple jako uniwersalnego klucza, który może otworzyć dowolne cyfrowe drzwi.
Jak działają klucze Apple?
Zamiast przechowywać nazwę użytkownika i hasło razem online, klucze Apple użyj szyfrowania asymetrycznego. Według Strona wsparcia bezpieczeństwa haseł Apple:
Podczas rejestracji konta system operacyjny tworzy unikalną parę kluczy kryptograficznych w celu powiązania z kontem aplikacji lub witryny internetowej. Klucze te są generowane przez urządzenie w sposób bezpieczny i niepowtarzalny dla każdego konta.
Jeden z tych kluczy jest publiczny i przechowywany na serwerze. Ten klucz publiczny nie jest tajemnicą. Drugi klucz jest prywatny i jest potrzebny do zalogowania się. Serwer nigdy nie dowiaduje się, czym jest klucz prywatny. Na urządzeniach Apple z dostępnym Touch ID lub Face ID można ich użyć do autoryzacji użycia hasła, które następnie uwierzytelnia użytkownika w aplikacji lub witrynie. Żadne wspólne hasło nie jest przesyłane, a serwer nie musi chronić klucza publicznego.
Kiedy używasz nazwy użytkownika i hasła, serwer przechowuje blokadę (Twoja nazwa użytkownika) i klucz (Twoje hasło). Aby otworzyć zamek, pokazujesz serwerowi, że masz podobny klucz, a on otwiera ci drzwi.
Jednak dzięki kluczom dostępu Apple serwer nigdy nie będzie posiadał klucza. Zamiast tego przekazuje ci zamek, a sam go odblokowujesz. A ponieważ serwer przekaże Ci blokadę tylko wtedy, gdy fizycznie ją posiada (tj. Twoje dane są faktycznie przechowywane na jego serwerze), ataki phishingowe staną się nieskuteczne, ponieważ nie mają zamka (tzn. nie mogą poprosić o klucz, ponieważ klucze Apple zwolnią go tylko wtedy, gdy dostarczą ważny Zamek).
W tym systemie tylko ważny podmiot może poprosić o hasło, dzięki czemu użytkownicy są mniej skłonni do padania ofiarą oszustw typu phishing i innych ataków socjotechnicznych. Jest to również o wiele wygodniejsze, ponieważ użytkownicy nie muszą już pamiętać niezliczonych danych logowania. Wszystko, czego potrzebują, to zalogowanie się do swojego Apple ID chronionego przez 2FA.
Kolejny przykład systemu bez hasła
Chociaż Apple może być pierwszą firmą, która skutecznie wkomponowała się w system operacyjny smartfona, nie jest to pierwsza firma, która wdraża systemy bez haseł. Jeśli masz konto Microsoft, prawdopodobnie spotkałeś się z tą technologią.
Jeśli skonfigurowałeś logowanie bez hasła za pomocą konta Microsoft, możesz zalogować się do niego za pomocą aplikacji Microsoft Authenticator — nie jest wymagana nazwa użytkownika i hasło. Chociaż jest on dostępny głównie w przeglądarce Microsoft Edge, możesz również użyć Windows Hello lub zabezpieczenia klucz do korzystania z aplikacji Microsoft Authenticator do logowania się na konto Microsoft w innych przeglądarkach, takich jak Google Chrom.
Pożegnanie się z hasłami?
Chociaż nazwy użytkowników i hasła chroniły użytkowników przez większą część 60 lat, mogą być zbliżają się do końca życia dzięki lepszym systemom bezpieczeństwa gdzie indziej, które są łatwiejsze w użyciu także. W miarę jak rejestrujemy się w coraz większej liczbie usług, pomysł zapamiętywania dziesiątek, jeśli nie setek, kombinacji nazwy użytkownika i hasła może być zniechęcający.
Hakerzy również stają się coraz bardziej wyrafinowani, co pozwala im na szwank danych nawet przy zwiększonym bezpieczeństwie. I chociaż uwierzytelnianie wieloskładnikowe nieco zwiększyło bezpieczeństwo tradycyjnych poświadczeń logowania, nadal pozostawia użytkownika jako znaczną lukę w zabezpieczeniach.
Dzięki kluczom dostępu możemy przejść od nazwy użytkownika i haseł do bezpieczniejszej przyszłości. A ponieważ nowe technologie, takie jak obliczenia kwantowe, są opracowywane i wprowadzane na rynek, tradycyjna kombinacja nazwy użytkownika i hasła może stać się przestarzała z dnia na dzień.