Trenutno obstaja en primarni način za zaščito spletnega dostopa: uporabniško ime in geslo. Toda tudi če naredimo dolgo, zapleteno in zapleteno geslo, še vedno ostaja ena ključna slabost te varnostne nastavitve – uporabnik.
Milijoni so bili že žrtev spletnih strani z lažnim predstavljanjem, socialnega inženiringa in drugih oblik napadov, ki ogrožajo gesla. Zato želi Apple odstraniti geslo in ga nadomestiti s ključi.
Torej, kako Apple geslo reši težavo z geslom?
Kaj je standard spletnega preverjanja pristnosti (WebAuthn)?
Ta standard je objavil World Wide Web Consortium (W3C), organizacija, namenjena izdelavi protokolov in smernic za dolgoročni spletni razvoj. Z razvojem te nove tehnologije preverjanja pristnosti skupina upa, da bo zmanjšala našo odvisnost od gesel kot primarnega ali edinega načina zaščite naših podatkov.
Apple je tudi član W3C in vključuje standard WebAuthn v Applova gesla. Ta funkcija deluje tudi z iCloud Keychain, tako da osebam, ki že uporabljajo to storitev, ni treba preseliti svojega sistema.
Z implementacijo API-ja WebAuthn spletni razvijalci in proizvajalci naprav zagotovijo avtentikacijo, ki bo delovala v različnih sistemih. Ne glede na to, ali uporabljate Android, iOS, Mac ali Windows, bi moral ta sistem brez gesla delovati.
Kako vas gesla Apple varujejo?
Večina od nas se je kdaj zanašala na uporabniško ime in gesla. Verjetno še zdaj. Toda gesla je mogoče zlahka vdreti, zlasti če uporabnik nima varnega gesla ali če je žrtev socialnega inženiringa.
Tradicionalna kombinacija uporabniškega imena in gesla tudi pomeni, da so ti podatki shranjeni na spletu. Torej, če vdrejo v storitev, ki jo uporabljate, kot je na primer Twitch, napad ogrozi podatke in še več. Če znova uporabite svoje uporabniško ime in geslo, kar mnogi počnejo, a mi odsvetujemo, so ogroženi tudi vaši drugi računi.
Dvofaktorska avtentikacija (2FA) je bil razvit za rešitev tega problema. Z dodajanjem še enega sloja varnosti uporabniki pomagajo preprečiti nepooblaščen dostop do svojih računov.
Čeprav je ta tehnologija dramatično povečala varnost, zlasti pred napadi s surovo silo, je veliko uporabnikov še vedno žrtev napadi socialnega inženiringa. In medtem ko lahko tehnično podkovani uporabniki zlahka opazijo napade, tisti, ki niso tako seznanjeni, tega morda ne bodo mogli opazite znake napadov, kot so prevare z lažnim predstavljanjem.
Namen gesel Apple je rešiti to težavo s popolno odstranitvijo gesla. Pri prijavi v spletno storitev vam ni treba več vnašati uporabniškega imena in gesla. Namesto tega morate samo uporabiti biometrične varnostne funkcije vaše naprave, kot sta FaceID ali TouchID.
Storitev tudi ni omejena le na vašo napravo Apple. Gesla lahko uporabljate v računalniku z operacijskim sistemom Windows ali tabličnem računalniku s sistemom Android. Dokler dostopate do spletnega mesta, ki izvaja WebAuthn API, lahko uporabite biometrične funkcije vaše naprave Apple za prijavo v svoj račun, tudi če do njega dostopate v pripomočku, ki ni Applov. Kot da bi svojo napravo Apple uporabljali kot univerzalni ključ, s katerim lahko odprete katera koli digitalna vrata.
Kako delujejo gesla Apple?
Namesto da uporabniško ime in geslo hranita skupaj na spletu, Apple gesla uporabite asimetrično šifriranje. Po navedbah Applova stran za varnostno podporo za geslo:
Med registracijo računa operacijski sistem ustvari edinstven par kriptografskih ključev, ki ga poveže z računom za aplikacijo ali spletno mesto. Te ključe ustvari naprava, varno in edinstveno, za vsak račun.
Eden od teh ključev je javen in je shranjen na strežniku. Ta javni ključ ni skrivnost. Drugi ključ je zaseben in je potreben za dejansko prijavo. Strežnik nikoli ne izve, kaj je zasebni ključ. V napravah Apple, ki imajo na voljo Touch ID ali Face ID, jih je mogoče uporabiti za odobritev uporabe gesla, ki nato avtentikira uporabnika v aplikaciji ali na spletnem mestu. Nobena skupna skrivnost se ne prenaša in strežniku ni treba zaščititi javnega ključa.
Ko uporabljate uporabniško ime in geslo, ima strežnik ključavnico (vaše uporabniško ime) in ključ (vaše geslo). Če želite odpreti ključavnico, strežniku pokažete, da imate podoben ključ, in ta vam odpre vrata.
Toda z Applovimi geslomi strežnik nikoli ne bo imel ključa. Namesto tega vam preda ključavnico, vi pa jo odklenete sami. In ker vam bo strežnik izročil ključavnico samo, če jo fizično ima (tj. vaši podatki so dejansko shranjeni v njegovem strežniku), bodo lažni vdori postali neučinkovito, ker nimajo ključavnice (tj. ne morejo zahtevati ključa, ker ga bodo Applova gesla sprostila le, če bodo dostavili veljavno zaklepanje).
S tem sistemom lahko samo veljavna entiteta zahteva geslo, kar zagotavlja, da je manj verjetno, da bodo uporabniki postali žrtve lažnega predstavljanja in drugih napadov socialnega inženiringa. Prav tako je veliko bolj priročno, saj si uporabnikom ni več treba zapomniti neštetih poverilnic za prijavo. Vse, kar potrebujejo, je, da so prijavljeni v svoj Apple ID, zaščiten z 2FA.
Še en primer sistema brez gesla
Medtem ko je Apple morda prvi, ki se je učinkovito vključil v operacijski sistem za pametne telefone, ni prvo podjetje, ki je uvedlo sisteme brez gesla. Če imate Microsoftov račun, ste se verjetno že srečali s to tehnologijo.
Če ste nastavili prijave brez gesla z Microsoftovim računom, se lahko vanj prijavite z aplikacijo Microsoft Authenticator – uporabniško ime in geslo nista potrebna. Čeprav je na voljo predvsem v brskalniku Microsoft Edge, lahko uporabite tudi Windows Hello ali varovalko ključ za uporabo aplikacije Microsoft Authenticator za prijavo v svoj Microsoftov račun v drugih brskalnikih, kot je Google Chrome.
Se poslavljate od gesel?
Čeprav so uporabniška imena in gesla ščitila uporabnike večji del 60 let, morda so bližajo koncu svojega življenja, zahvaljujoč boljšim varnostnim sistemom drugje, ki jih je lažje uporabljati preveč. Ker se prijavljamo na vse več storitev, je lahko ideja o pomnjenju na desetine, če ne na stotine kombinacij uporabniškega imena in gesla zastrašujoča.
Tudi hekerji postajajo vse bolj izpopolnjeni, kar jim omogoča, da ogrožajo podatke tudi z izboljšano varnostjo. In čeprav je večfaktorska avtentikacija nekoliko povečala varnost tradicionalnih poverilnic za prijavo, še vedno pušča uporabnika kot pomembno ranljivost.
Z geslom se lahko premaknemo naprej od uporabniškega imena in gesla v varnejšo prihodnost. In ko se nove tehnologije, kot je kvantno računalništvo, razvijajo in dajejo na trg, obstaja tveganje, da bo tradicionalna kombinacija uporabniškega imena in gesla čez noč zastarela.
