Początek końca haseł
Opublikowany: 2023-05-06Wczoraj Google ogłosiło „początek końca hasła”. W przyszłym roku o tej porze możesz już nie używać haseł.
Wielkie wymieranie haseł już trwa
Wyobraź sobie świat bez haseł.
Nadal możesz logować się do wszystkich swoich kont online w tym nowym, pozbawionym hasła świecie. Od witryn WordPress po Twój bank, tworzenie i uzyskiwanie dostępu do kont online jest łatwiejsze i bezpieczniejsze niż kiedykolwiek — bez haseł.
Czy to nie byłaby ulga? Dobra wiadomość: globalne wymieranie haseł już się dzieje, a życie po drugiej stronie jest lepsze.
Pod koniec 2022 roku firma Apple wprowadziła obsługę klucza dostępu do systemów iOS 16 i MacOS 13 „Ventura”.
Wczoraj Google ogłosiło, że „wprowadza obsługę kluczy dostępu na kontach Google na wszystkich głównych platformach”.
W iThemes jesteśmy bardzo dumni, że nasz produkt Security Pro był pierwszym, który wprowadził klucze dostępu i inne metody uwierzytelniania bez hasła do WordPress.
Jak możliwe jest życie bez hasła?
Około miesiąca po tym, jak zacząłem używać zegarka Apple Watch, zaczął on automatycznie odblokowywać się i logować do moich komputerów stacjonarnych i laptopów z bieżącą wersją systemu MacOS. Nie przypominam sobie, żebym zrobił coś więcej niż włączenie obsługi klucza MacOS, aby używać go z moimi kontami Google i iThemes Security. Najwyraźniej dzięki temu mój zegarek stał się zaufanym urządzeniem z kluczem dostępu.
Wcześniej biometryczny login Apple Touch był najbardziej dostępną alternatywą dla hasła, jaką miałem. Teraz to mój zegarek. Czasami, jeśli nie było mnie wystarczająco długo, nadal muszę wpisać hasło, ale mój zegarek sprawia, że jest to o wiele rzadsze, dzięki wspólnemu kluczowi połączonemu z moim Apple ID i wszystkimi moimi urządzeniami Apple.
Klucze sprzętowe, takie jak YubiKey, zapewnią takie same możliwości logowania bez hasła — bez konieczności używania urządzeń Apple.
Urządzenia z systemem Windows i Android obsługują logowanie bez hasła, również dzięki kluczom dostępu.
Czym są klucze dostępu?
Możesz podziękować open source za klucze dostępu. Technologia klucza dostępu jest oparta na otwartych standardach ustalonych przez sojusz FIDO („Fast Identity Online”). Opracowany przez W3C interfejs API WebAuthn jest częścią standardu FIDO2. To WebAuthn umożliwia szybkie i łatwe przeprowadzanie uwierzytelniania bez hasła na różnych platformach.
Klucze dostępu to unikalne, zaszyfrowane identyfikatory cyfrowe generowane przez urządzenie uwierzytelniające, takie jak smartfon. Kryptografia klucza publicznego służy do tworzenia pary kluczy publicznego i prywatnego. Razem ta para kluczy tworzy klucz dostępu na urządzeniu uwierzytelniającym. Każde z Twoich urządzeń może mieć unikalny klucz prywatny, ale Twój klucz publiczny jest udostępniany w sieci. Prawdopodobnie nigdy nie zobaczysz ani jednego, ani drugiego. Nikt tego nie zrobi.
Twój telefon lub inne urządzenie obsługujące hasło weryfikuje Cię jako autoryzowanego użytkownika, gdy wpiszesz hasło, kod PIN lub zdasz test biometryczny. Gdy to zrobisz, Twój telefon i jego hasło będą działać jako klucz do dodatkowych urządzeń i aplikacji. Zamiast ponownie wpisywać hasło na laptopie i ponownie logować się do WordPress, Twój telefon mówi komputerowi, aby Cię wpuścił. Następnie jego system operacyjny mówi Twojej przeglądarce, aby poprosiła WordPressa o wpuszczenie Cię – wszystko bez hasła.
Jeśli Twoje urządzenia i strony internetowe są skonfigurowane do obsługi kluczy dostępu, jest to bardzo płynne działanie. Może być konieczne podanie kodu PIN lub zaliczenie szybkiego testu biometrycznego, ale jest to o wiele prostsze niż wypełnienie trzech różnych formularzy logowania bez ponownego używania haseł lub używania słabych. A jeśli nie znosisz uwierzytelniania dwuskładnikowego (2FA), nie musisz już z niego korzystać. 1
Dlaczego klucze dostępu zastąpią hasła
Początkowo klucze dostępu pojawiają się jako opcja uwierzytelniania obok haseł i 2FA. Możesz użyć dowolnego z nich. Ale z biegiem czasu niewiele osób będzie chciało zachować niepewne hasła lub zajmować się czasochłonnymi kodami 2FA. Klucze dostępu szybko staną się preferowaną opcją z następujących powodów:
- Rozszerzona ochrona. Jednym z głównych powodów, dla których klucze dostępu zastąpią hasła, jest ulepszone bezpieczeństwo, jakie oferują. Wiele naruszeń danych wynika ze słabych lub skradzionych haseł, co podkreśla słabość tradycyjnego uwierzytelniania opartego na hasłach. Kryptografia klucza publicznego stojąca za kluczami dostępu jest znacznie trudniejsza do złamania.
- Lepsze wrażenia użytkownika. Zapamiętywanie wielu złożonych haseł do kont internetowych może być trudne i często prowadzi do złych praktyk związanych z hasłami. Klucze upraszczają proces uwierzytelniania. Potrzebujesz tylko urządzenia, które przechowuje Twój klucz dostępu, aby uzyskać dostęp do dowolnego konta obsługującego uwierzytelnianie klucza dostępu. To wygodne środowisko użytkownika zachęca do przyjmowania kluczy dostępu jako bezpiecznej metody uwierzytelniania.
- Menedżery haseł Opcjonalne. Klucze dostępu mogą zmniejszyć, jeśli nie wyeliminować, potrzebę stosowania tradycyjnych menedżerów haseł. Chociaż menedżery haseł oferują alternatywę dla przechowywania wielu haseł, wiążą się one również z dodatkowym ryzykiem. Te magazyny haseł mogą stać się pojedynczym punktem awarii. Jak widzieliśmy w przypadku LastPass, naruszona platforma do zarządzania hasłami może ujawnić wszystkie konta klientów, hasła i dane osobowe.
Przyszłość bez hasła: jak będzie wyglądać
Istnieją trzy duże zalety zaćmienia haseł przez klucze dostępu, ale ich wspólnym wątkiem jest sposób, w jaki klucze dostępu przynoszą korzyści zarówno bezpieczeństwu, jak i prostocie.
Plusy
- Bezproblemowe uwierzytelnianie. W miarę upowszechniania się kluczy dostępu proces uwierzytelniania i uzyskiwania dostępu do usług online będzie coraz bardziej płynny. Użytkownicy będą mogli logować się na swoje konta za pomocą urządzeń do przechowywania kluczy lub metod identyfikacji biometrycznej, takich jak odcisk palca lub rozpoznawanie twarzy.
- Łatwe uwierzytelnianie wieloskładnikowe. Klucze dostępu z natury obsługują uwierzytelnianie wieloskładnikowe (MFA), łącząc coś, co użytkownik zna (klucz dostępu) z czymś, co użytkownik posiada (urządzenie przechowujące klucz dostępu). Ta bezproblemowa integracja MFA z procesem uwierzytelniania doprowadzi do bezpieczniejszego środowiska online bez poświęcania wygody użytkownika.
- Ograniczenie naruszeń danych. Ponieważ klucze dostępu stają się nowym standardem uwierzytelniania, liczba naruszeń danych wynikających ze słabych lub skradzionych haseł prawdopodobnie spadnie. Zwiększone bezpieczeństwo zapewniane przez klucze dostępu utrudni cyberprzestępcom włamanie się do kont użytkowników, prowadząc do bezpieczniejszego krajobrazu cyfrowego.
Do tej pory rzadko zdarzało się, aby bezpieczne uwierzytelnianie zapewniało dobre wrażenia użytkownika. Klucze dostępu są dużym wyjątkiem. To fantastyczne, ale zawsze są jakieś minusy.
Wady
- Zaawansowany phishing i hakowanie społecznościowe. Klucze dostępowe mogą być prawie niemożliwe do kradzieży i złamania, ale przestępcy nigdy się nie poddają, gdy bezpieczeństwo wzrasta — dostosowują się do nowych narzędzi i znajdują zaniedbane słabe punkty do wykorzystania. Obecnie narzędzia sztucznej inteligencji ułatwiają każdemu mówienie płynnie w dowolnym języku, co jest ogromnym atutem dla każdego, kto chce oszukać innych, aby im zaufali. Duże naruszenia haseł mogą odejść w przeszłość, ale phishing i hakowanie społecznościowe mogą stać się bardziej wyrafinowane i powszechne.
- Bezpieczeństwo fizyczne i prywatność. Moje urządzenia Apple nie są w stanie stwierdzić, że to nie ja, kiedy moja leworęczna córka nosi mój zegarek na mniejszym nadgarstku po przeciwnej ręce. Potrzebuje tylko mojego zegarka i 4-cyfrowego kodu PIN, aby zalogować się do mojego komputera. 2 Złodziej może to zrobić — podobnie jak policja. 3 W miarę jak nasze relacje z naszymi urządzeniami stają się coraz bardziej splątane fizycznie, pojawia się wiele trudnych pytań dotyczących prywatności. 4 Anonimowość online, która już spada, może zniknąć.
- Ludzie też będą udostępniać klucze dostępu. Menedżerowie haseł są powszechnie używani do udostępniania haseł, co jest okropną praktyką w zakresie bezpieczeństwa, jednak tak się dzieje. Wspólne hasło ostatecznie stanie się skradzionym hasłem. Na szczęście jest mało prawdopodobne, że kiedykolwiek zobaczysz, nie mówiąc już o zapamiętaniu, zapisaniu lub wysłaniu e-mailem klucza dostępu do współpracownika lub przyjaciela. Możesz jednak teraz używać niektórych menedżerów haseł do przechowywania, a nawet udostępniania kluczy dostępu. Istnieją bezpieczne sposoby, aby to zrobić, ale wątpię, jak dobrze zadziała to w praktyce. Jakkolwiek to zrobisz, dzielenie się sekretami jest z natury niebezpieczne. (Podzielony sekret nie jest już sekretem.) Udostępnianie poufnych danych lub informacji w dużej mierze opiera się na zaufaniu między ludźmi, a to zawsze jest słaba więź — patrz punkty 1 i 2 powyżej.
Myślenie o bezpieczeństwie kontra „Nie każ mi myśleć”
Niezależnie od wyzwań, które czekają nas w przyszłości bez haseł, zmierzamy tam. Hasła są łamane — są okropną metodą uwierzytelniania i muszą zniknąć — im szybciej, tym lepiej. Wprowadzenie uwierzytelniania bez hasła poprawi nasze doświadczenia online i pomoże chronić nasze cyfrowe życie. Brak konieczności martwienia się tak bardzo o bezpieczeństwo i zarządzanie hasłami to ogromna ulga.
Z drugiej strony „Nie każ mi myśleć” jest doskonałym celem w zakresie doświadczenia użytkownika i projektowania interfejsu, ale może być katastrofą dla bezpieczeństwa. Prostota konstrukcji umożliwia użytkownikom efektywność i nakłada na nich mniejsze obciążenie poznawcze. Klucze dostępu zapewniają tę prostotę wyjątkowo dobrze. Nie powinny one jednak sprawić, że będziemy bardziej zadowoleni z potencjalnych zagrożeń bezpieczeństwa w świecie stale ewoluujących zagrożeń.
Dzięki kluczom dostępu i ich przyjęciu na wszystkich głównych platformach przyszłość sieci będzie bezpieczniejsza i bardziej przyjazna dla użytkownika podczas uzyskiwania dostępu do usług online. Dni zmagania się z zapamiętywaniem skomplikowanych haseł (oraz udostępnianiem ich lub recyklingiem) wkrótce odejdą w przeszłość, a to zdecydowana poprawa.
Najwyższy czas podnieść również nasze podstawowe standardy bezpieczeństwa. Klucze dostępu to zrobią i spodziewam się, że dzięki temu cyberprzestępczość, oszustwa i kradzież tożsamości będą trudniejsze i rzadsze. Zacznij z nich korzystać już teraz, a jeśli masz witryny WordPress, rozważ ustawienie kluczy dostępu jako opcji logowania się do nich. Pomyśl też o bezpieczeństwie. Zapytaj, czym jest bezpieczeństwo i jak mogą zmienić się zagrożenia w nowym kontekście świata bez haseł.
Uwagi:
- Raporty takie jak „Odciąłem się od swojego cyfrowego życia” i „Gmail 2FA powoduje, że bezdomni trwale tracą dostęp trzy razy w roku” pokazują wady uwierzytelniania dwuskładnikowego.
- Zegarek Apple Watch może nie być najlepszym kluczem bezpieczeństwa bez uwierzytelniania biometrycznego, takiego jak Touch ID. W oparciu o niektóre z ostatnich patentów Apple, wersja Touch ID oparta na dłoni może być w przygotowaniu.
- Electronic Frontier Foundation wyraziła zaniepokojenie możliwymi naruszeniami praw obywatelskich, jeśli organy ścigania wykorzystają dostęp do jednego urządzenia za pomocą klucza, aby przeszukać znacznie więcej urządzeń i kont internetowych.
- Możliwa może być również identyfikacja unikalnych sygnatur biometrycznych na podstawie danych biologicznych zebranych przez zegarki i podobne urządzenia, ponieważ mogą one wykryć wczesny początek chorób, takich jak COVID.
Dan Knauss jest generalistą ds. treści technicznych w StellarWP. Jest pisarzem, nauczycielem i freelancerem pracującym w open source od późnych lat 90., a z WordPressem od 2004 roku.