Getty Images
Big Tech chce zabiť heslo, “passkey” hot na bloku, nový štandard náhrady hesla. Prístupový kľúč je tam Podporovaný Google, Apple, Microsoft a FIDO sú aliancie, takže očakávajte, že ich čoskoro uvidíte všade iOS zdvihnúť Štandardná verzia je 16 a teraz je to Google Spustenie Passkey Beta V Chrome a Androide.
Argumentom prístupového kľúča je, že heslá sú zastarané a nezabezpečené. Počítačové heslá boli pôvodne koncipované ako ľahko zapamätateľné tajomstvá, ktoré ľudia zadali do textového poľa. Keď vznikla potreba väčšej bezpečnosti, prišli správcovia hesiel, ktorí uľahčili ukladanie a zapamätanie si hesiel. Teraz namiesto nejakej ľudsky zapamätanej frázy je ideálnym spôsobom použitia hesla vygenerovať nejaký divoký reťazec znakov na počítači a už nikdy toto heslo nikde inde nepoužiť. Password Manager Revolution je však hack, ktorý je založený na pôvodnom textovom poli. V skutočnosti už nepotrebujeme textové polia a tu prichádza Passkey.
Ide predsa len o biznis WebAuthn Kryptografický kľúč priamo s webovou stránkou. Nie je potrebné, aby človek povedal správcovi hesiel, aby vytvoril, uložil a zapamätal si tajomstvo – všetko sa deje automaticky, s lepším súkromím, než podporuje staré textové pole, a vynucuje jedinečnosť. Nevýhodou je, že keďže každý prehliadač na svete podporuje zobrazovanie tohto starého textového poľa, do každého webového prehliadača, každého správcu hesiel a každej webovej stránky je potrebné pridať podporu prístupového kľúča. Bude to dlhá cesta.
Ron nás tiež
Podivná voľba, ktorú urobil Big Tech s prístupovými kľúčmi, je vec, ktorá overuje váš prístup na webovú stránku tvoj telefón, nie správcu hesiel na zariadení, ktoré práve používate Táto komunikácia medzi telefónom a klientom neprebieha cez internet ako dvojfaktorová autentifikácia – zariadenie, ktoré používate, musí mať Bluetooth, aby váš telefón mohol komunikovať lokálne. Bluetooth sa používa na potvrdenie, že váš telefón je blízko zariadenia, a na spustenie sieťovej relácie (bezpečnejšie ako Bluetooth). Udržiavanie lokálnej komunikácie zaisťuje, že náhodní ľudia na internete sa nebudú môcť prihlásiť do vášho účtu, ale zablokuje niektoré stolové počítače.
Google uviedol, že jeho úsilie o prístupový kľúč dnes dosiahlo „hlavný míľnik“. Ak sa zaregistrujete do beta verzie Služieb Play, teraz môžete vytvárať a používať prístupové kľúče na zariadeniach s Androidom a Chrome Canary teraz podporuje prístupové kľúče pre webové stránky. Google tvrdí, že stabilné implementácie pre Chrome a Android budú koncom tohto roka, ale chce, aby vývojári začali s vývojom už teraz.
Google tiež zdieľal niektoré podrobnosti o tom, ako to funguje. Riešenie Google má vaše prístupové kľúče uložené v Správcovi hesiel Google. Vyskakovacie okno na vašom telefóne vyžaduje, aby ste najprv vybrali účet a potom sa overili pomocou nejakého typu biometrických údajov, ako je napríklad odomknutie odtlačkom prsta. Telefón bude komunikovať s klientom cez Bluetooth, prehliadač odomkne váš prístupový kľúč a následne ho odošle na webovú stránku. (Ak je klientom váš telefón, je to oveľa jednoduchšie.)
Začínate s QR kódom? Toto bude hack iba pre beta verziu.
Príklad Google z nejakého dôvodu zahŕňal spustenie celého procesu pomocou QR kódu. Myslím, že ide o rýchly hack pre beta verziu, ale aby sa vyskakovacie okno s prístupovým kľúčom objavilo na vašom telefóne ako prvé, Google zobrazí QR kód na počítači a potom naskenuje telefón. Rovnako ako výzva Google alebo iné formy 2FA sa v budúcnosti, dúfajme, otvorí úvodné vyskakovacie okno prístupového kľúča automaticky cez internet.
Okrem stabilných vydaní pre Android a Chrome je ďalším pre Google API pre natívne aplikácie pre Android a Android API pre správcov hesiel tretích strán, ku ktorým sa môžu pripojiť. Google si práve teraz dáva do poriadku, no v budúcnosti bude fungovať naprieč celým ekosystémom, takže iPhone môže poslať prístupový kľúč do prehliadača Chrome alebo telefón s Androidom môže poslať prístupový kľúč do Safari.
