Ključni podaci za van
- iCloud Passkey uklanja lozinke i čini prijavu sigurnijom.
- WebAuthn je standard preglednika za autentifikaciju bez lozinke.
- I WebAuthn i iCloud Passkey koriste kripto javni ključ za obavljanje posla.
S iCloud pristupnim ključem, Apple će lozinku učiniti zastarjelom. Konačno.
Lozinke su veliki problem. Slabe ili ukradene lozinke stoje iza više od 80% hakerskih provala, a ljudi su užasni u upravljanju lozinkama. Ili ih zaboravimo, koristimo imena naših pasa ili djece ili koristimo istu lozinku za sve. Upravljači lozinkama kao što su NordPass ili iCloud Keychain mogu pomoći, ali lozinka je još uvijek fundamentalno nesigurna. Zaporke u iCloud Keychain-u i novi standardni WebAuthn žele to popraviti, ali mogu li ikada doista zamijeniti lozinku?
"Ako Apple ovo uvede kao standard na svojim uređajima, milijuni ljudi će se naviknuti na to, a drugi tehnološki divovi poput Googlea će slijediti primjer," Christen Costa, glavni izvršni direktor Gadget Review, rekao je za Lifewire putem e-pošte.
Javni ključevi
Problem s lozinkom je što je treba držati u tajnosti, ali je također treba dijeliti. Zaporke za iCloud koriste nešto što se zove kriptografija javnog ključa. Ovo se sastoji od dva ključa. Javni ključ može samo zaključati stvari, tako da je sigurno dijeliti; privatni ključ može i zaključati i otključati podatke i nikada ne napušta vaš uređaj.
Kada se prijavite na web mjesto ili uslugu koristeći iCloud Passkeys ili WebAuthn, generira se novi par ključeva, a javni ključ se dijeli s uslugom, umjesto lozinke. Kvaka je u tome što ćete za prijavu morati upotrijebiti jedan od svojih uređaja, ali u praksi će to rijetko biti problem, a sigurnosne prednosti su ogromne. A ako već koristite upravitelj zaporki i dvofaktorsku autentifikaciju, tada ste već na uređaju na kojem je pokrenuta vaša aplikacija za upravljanje zaporkama.
Još jedan problem je, međutim, ako se napadač dočepa vašeg uređaja i uspije mu pristupiti, tada sve oklade padaju u vodu. Međutim, iOS i moderne Mac uređaje vrlo je teško probiti, a krađa telefona je puno veći napor od slanja e-pošte za krađu identiteta.
Zaporke u iCloud Keychain-u su jednostavne
Korištenje zaporki u iCloud Keychain-u je jednostavno. Kada se prijavite za novi korisnički račun na web-mjestu, unesete adresu e-pošte i vaš iPhone će od vas tražiti da potvrdite da kreirate račun. To je to. Novi pristupni ključ pohranjuje se u vašem privjesku za ključeve, a javni dio pohranjuje web mjesto.
Velika je razlika što je javni ključ dizajniran da bude javan. Ne treba ga skrivati ili držati u tajnosti. Ako je web stranica hakirana, krađa svih ovih javnih ključeva je besmislena, jer oni neće učiniti ništa. Te masovne provale lozinki o kojima čitate svakih nekoliko tjedana? Oni će biti prošlost.
"Ako ispitamo kako lozinke funkcioniraju danas, prvo unesete svoju lozinku, zatim se ona obično zamagljuje nečim poput raspršivanja plus soljenja, a rezultirajući usoljeni hash šalje se na poslužitelj", kaže Garrett Davidson iz Applea na WWDC-u sesiju pod nazivom "Odmakni se od lozinki". "Sada i vi i poslužitelj imate kopiju tajne, iako je kopija poslužitelja zamagljena, a oboje ste jednako odgovorni za zaštitu te tajne."
Što je s vašim upraviteljem zaporki?
Moglo bi se činiti da ova tehnologija donosi propast aplikacijama za upravljanje lozinkama, ali nema velike razlike. Većina korisnika već se oslanja na ugrađeni iCloud upravitelj lozinki.
Napredni korisnici, tip ljudi koji vole dodatne značajke i odvajaju svoje lozinke od svog Apple ID-a, nastavit će koristiti samostalne aplikacije.
Ako Apple ovo uvede kao standard na svojim uređajima, milijuni ljudi će se naviknuti na to, a drugi tehnološki divovi poput Googlea slijedit će taj primjer.
"Nitko ne želi više konkurenata, ali takva ugrađena rješenja nisu primarni fokus preglednika", kaže stručnjak za sigurnost Nordpassa Chad Hammond. "Stoga oni ne rješavaju iste globalne probleme kao upravitelji zaporki. Primarna funkcija preglednika je dati korisniku pristup informacijama, a upravitelj zaporki samo je jedna od mnogih značajki koje nudi. U namjenskim upraviteljima zaporki, to je glavna značajka."
S druge strane, Appleov doseg može staviti ovu novu tehnologiju provjere autentičnosti u mnoge ruke, što je pobjeda za sve. Beskontaktno plaćanje postojalo je prije Apple Paya, ali je uzelo maha u SAD-u tek nakon što ga je Apple dodao na iPhone. Lozinke neće uskoro nestati, ali napokon imamo alternativu koja je sama po sebi sigurna, jednostavna za korištenje i ne dopušta vam korištenje imena vašeg psa. Opet.
