În condițiile în care cheile de securitate sunt din ce în ce mai utilizate, parolele încep să devină demodate. Care sunt principalele beneficii ale renunțării la o modalitate de autentificare în favoarea celeilalte?

Sunt șanse mari ca mulți dintre utilizatori să se fi săturat de parole. Într-o lume în care trebuie să gestionăm accesul în cadrul zecilor de conturi online, parolele nu mai par potrivite pentru acest scop. Mulți dintre utilizatori refolosesc aceleași date de conectare ușor de reținut în aplicații și site-uri web și comit alte greșeli legate de parole, ceea ce facilitează ghicirea sau furtul acestora de către infractorii cibernetici. Iar odată ce o parolă este compromisă, întreaga lume digitală a victimei se poate prăbuși.

Este oarecum remarcabil faptul că parolele au rezistat atât de mult timp, motivul fiind în mare parte lipsa unor alternative eficiente. Dar acest lucru ar putea fi pe cale să se schimbe odată cu apariția cheilor de securitate. Google a anunțat recent că oferă suport pentru noua tehnologie atât pentru conturile personale, cât și pentru cele business (spre deosebire de Apple și Microsoft). Ne putem pune întrebarea dacă acesta este începutul perioadei de conectare în conturi fără utilizarea parolelor.

Încercările anterioare de a îmbunătăți sau de a actualiza experiența și securitatea parolelor au avut parte de un succes parțial. Autentificarea cu doi factori (2FA) contribuie în mod semnificativ la sporirea securității parolelor, dar adoptarea sa nu a fost deloc masivă, deoarece unele persoane consideră că procesul în doi pași este dificil de utilizat. De asemenea, codurile cu utilizare unică trimise utilizatorilor prin mesaje text, care este de departe cea mai frecvent utilizată variantă de 2FA, pot fi interceptate de către infractorii cibernetici.

Aplicațiile de tip manager de parole, la rândul lor, fac o treabă bună în ceea ce privește generarea, stocarea și reamintirea unei parole lungi, complexe și unice pentru fiecare site în parte. Dar este posibil ca acestea să nu fie disponibile pe toate dispozitivele, sistemele de operare și browserele web. De asemenea, utilizatorii pot întâmpina probleme în cazul în care își pierd parola principală de acces în cadrul managerului de parole. În unele cazuri, experiența de utilizare poate fi, de asemenea, un pic cam greoaie.

Cheia de securitate (cunoscută și drept „passkey”), un standard la nivel de industrie, este considerată de către specialiștii din tehnologie drept metoda care va înlocui într-o zi parolele, autentificarea cu doi pași și nevoia de gestionare a parolelor așa cum o cunoaștem în momentul actual.

Cum funcționează cheile de securitate?

Cheile de securitate exploatează puterea criptografiei cu cheie publică. O cheie de securitate constă într-o pereche de chei criptografice – una privată și una publică corespunzătoare – care este generată pentru a vă securiza contul pe un site web, o aplicație sau un alt serviciu online.

Cheia privată este stocată pe dispozitivul dvs. sub forma unui șir lung de caractere criptate, în timp ce cheia publică corespunzătoare este încărcată pe serverele serviciului online corespondent, de exemplu Google sau chiar sistemul de gestionare a parolelor iCloud Apple.

Dacă v-ați conectat la contul Google de pe smartphone, Google va fi generat deja o cheie de securitate pentru dvs.

Apoi, atunci când încercați să vă conectați, vi se va cere să vă autentificați cu codul PIN, amprenta digitală sau un alt mecanism de deblocare a ecranului dispozitivului. Nu este nevoie să introduceți sau să rețineți nicio parolă, ceea ce face ca procesul să fie mai sigur și mai ușor de utilizat.

La încercarea de autentificare, serverul trimite o provocare criptografică către dispozitivul dvs., solicitând cheii private să o rezolve și să o transmită înapoi serverului. Acest răspuns este utilizat pentru a verifica dacă perechile de chei publice și private se potrivesc, deoarece ambele sunt necesare pentru a vă autentifica.

În niciun moment datele biometrice nu părăsesc dispozitivul și nici serverul nu află cheia privată. De fapt, nici măcar dvs. nu vedeți vreodată cheia privată – întreg procesul se desfășoară în fundal și nu implică niciun efort din partea utilizatorului.

Primul pas către configurarea autentificării prin folosirea cheii de securitate în setările contului Google

Care sunt beneficiile cheilor de securitate?

Așadar, ar putea cheile de securitate să devină metoda de autentificare populară care să ofere atât ușurință în utilizare, cât și o securitate mai puternică? Iată câteva dintre beneficiile oferite de către acestea:

• Sunt rezistente la atacuri de tip phishing și metode de inginerie socială: Cheile de securitate elimină problema persoanelor care își divulgă din greșeală datele de conectare infractorilor cibernetici atunci când aceștia îi direcționează către site-uri web false. În schimb, utilizatorilor li se cere să folosească dispozitivul pentru a dovedi că sunt adevărații proprietari ai contului.
• Preîntâmpină consecințele unei breșe de securitate: În cazul în care un site web sau un dezvoltator de aplicații suferă o breșă de securitate, infractorii cibernetici pot accesa doar cheile publice – cheia privată nu este niciodată partajată cu site-ul web sau serviciul online și nu există nicio modalitate de a o extrage din cheia publică. Așadar, cheia publică este inutilă pentru un atacator. Acest lucru reprezintă un mare avantaj în comparație cu sistemul actual, în care hackerii pot avea acces la o mulțime de combinații de nume de utilizator/parolă gata de utilizare.
• Nu sunt vulnerabile la atacurile prin forță brută: Cheile de securitate se bazează pe criptografia cu cheie publică, ceea ce înseamnă că atacatorii nu le pot ghici sau utiliza tehnici de forță brută pentru a sparge conturile.
• Fără interceptare 2FA: Deoarece nu există un al doilea factor atunci când utilizăm cheile de securitate, utilizatorii nu sunt expuși riscului tehnicilor de atac menite să intercepteze codurile SMS. O cheie de securitate în sine constă din mai mulți factori de autentificare. De fapt, cheile de securitate sunt suficient de puternice pentru a înlocui chiar și cea mai sigură variantă de autentificare cu doi pași – cheile de securitate hardware.
• Construite pe baza standardelor din industrie: Cheile de securitate se bazează pe standardele grupului de lucru FIDO Alliance și W3C WebAuthn, ceea ce înseamnă că ar trebui să funcționeze pe toate sistemele de operare, browserele, site-urile web, aplicațiile și ecosistemele mobile participante. Apple, Google și Microsoft susțin această tehnologie, precum și principalele companii de gestionare a parolelor, precum 1Password și Dashlane, și platforme precum WordPress, PayPal, eBay și Shopify.
• Sunt ușor de recuperat: Cheile de securitate pot fi stocate în cloud și, astfel, pot fi restaurate pe un nou dispozitiv în cazul în care sunt pierdute.
• Nimic de reținut: Pentru utilizatori, nu mai este nevoie să creeze, să țină minte și să protejeze volume mari de parole.
• Funcționează pe mai multe dispozitive: Odată creată, o cheie de securitate poate fi utilizată pe noi dispozitive fără a fi necesară înscrierea fiecărui dispozitiv, așa cum se procedează în cazul autentificării biometrice obișnuite.

De ce ar putea să nu fie o idee bună utilizarea cheilor de securitate?

S-ar putea să existe câteva obstacole pe parcurs care, în cele din urmă, să împiedice răspândirea cheilor de securitate, cel puțin pentru moment: rata de adoptare de către industrie și modul în care cheile de securitate se sincronizează.

• Cheile de securitate se sincronizează numai cu dispozitivele care rulează același sistem de operare: Așa cum este prezentat în acest articol, cheile de securitate se sincronizează în funcție de platforma sistemului de operare. Asta înseamnă că, dacă aveți un dispozitiv iOS, dar folosiți și Windows, de exemplu, folosirea cheilor de securitate s-ar putea transforma într-o experiență frustrantă. Ar trebui să scanați coduri QR și să activați Bluetooth pentru ca utilizarea cheilor de securitate să funcționeze pe dispozitive care utilizează sisteme de operare diferite. Iar acest lucru este, de fapt, mai greu de utilizat în comparație cu modalitatea actuală de folosire a parolelor.
• Adoptarea este departe de a fi populară la nivelul întregii industrii de tehnologie: Deși unele nume mari din industrie au adoptat deja cheile de securitate, această modalitate de autentificare este încă la început. În afară de marile platforme, va dura ceva timp până când vom ajunge la o masă critică de site-uri web și aplicații care să o susțină. Verificați dacă platformele dvs. preferate susțin această tehnologie aici.

Ar putea fi acesta începutul sfârșitului pentru parole? Cheia de securitate este cel mai puternic concurent de până acum. Dar pentru a obține o acceptare aproape universală în rândul utilizatorilor, furnizorii de tehnologie ar putea fi nevoiți să faciliteze și mai mult utilizarea acesteia în diferite ecosisteme de sisteme de operare.

Dacă sunteți curios și doriți să încercați cheile de securitate, nimic mai simplu. Accesați fără efort această opțiune din meniul de setări al contului (conturilor) Google, Apple sau Microsoft și experimentați această nouă tehnologie.

Sursa: Parolele par să se demodeze, cheile de securitate sunt acum în prim-plan: sunteți pregătiți să faceți schimbarea?