Οι κωδικοί πρόσβασης υπάρχουν σε διάφορα σχήματα για την αποθήκευση πληροφοριών επαλήθευσης ταυτότητας, και είναι μια έννοια που υπάρχει από την αρχαιότητα.
Αυτό θα αλλάξει πολύ σύντομα. Η Microsoft, η Apple, η Google και μια κοινοπραξία άλλων εταιρειών έχουν ενωθεί για να δημιουργήσουν ενιαία passkey standards που ελέγχονται από την FIDO Alliance. Τα passkeys δεν θα είναι μόνο πιο εύκολο να χρησιμοποιηθούν αλλά θα είναι πολύ ασφαλέστερα απότους κλασσικούς κωδικούς πρόσβασης. Θα είναι επίσης πλήρως ανθεκτικά σε phishing διαπιστευτηρίων, stuffing διαπιστευτηρίων και γενικότερα σε παρόμοιες επιθέσεις κλοπής δεδομένων.
Τη Δευτέρα, η PayPal ανακοίνωσε ότι οι χρήστες της που εδρεύουν στις ΗΠΑ θα έχουν σύντομα τη δυνατότητα να σύνδεσης με passkeys που βασίζονται στην FIDO, συμμετέχοντας στις εταιρείες Kayak, eBay, Best Buy, CardPointers και WordPress που προσφέρουν ήδη τον εναλλακτικό τρόπο σύνδεσης.
Τους τελευταίους μήνες, η Microsoft, η Apple και η Google έχουν ενημερώσει όλα τα λειτουργικά τους συστήματα και τις εφαρμογές τους για να ενεργοποιήσουν τα passkeys. Η υποστήριξη όμως εξακολουθεί να είναι ανεπαρκής. Τα passkeys που είναι αποθηκευμένα σε iOS ή macOS λειτουργούν στα Windows, για παράδειγμα, αλλά το αντίστροφο δεν είναι ακόμα δυνατόν. Ωστόσο, τους επόμενους μήνες, όλα αυτά θα πρέπει να διορθωθούν.
Τα passkeys λειτουργούν σχεδόν πανομοιότυπα με τους ελέγχους ταυτότητας της FIDO που μας επιτρέπουν να χρησιμοποιούμε τηλέφωνα, φορητούς υπολογιστές, υπολογιστές και USB ασφαλείας Yubico ή Feitian για έλεγχο ταυτότητας πολλαπλών παραγόντων.
Ακριβώς όπως οι ελεγκτές της FIDO που είναι αποθηκευμένοι σε αυτές τις συσκευές MFA, οι κωδικοί πρόσβασης είναι αόρατοι και ενσωματώνονται στο Face ID, το Windows Hello ή άλλους βιομετρικούς αναγνώστες που προσφέρονται από τους κατασκευαστές συσκευών.
Δεν υπάρχει κάποιος τρόπος να ανακτήσετε τα κρυπτογραφημένα δεδομένα που είναι αποθηκευμένα στους ελέγχους ταυτότητας παρά μόνο να αποσυναρμολογήσετε τη συσκευή ή να την υποβάλετε σε επίθεση jailbreak ή rooting.
Ακόμα κι αν ένας αντίπαλος είναι σε θέση να εξαγάγει τα κρυπτογραφημένα δεδομένα, θα πρέπει να δώσει ένα δακτυλικό αποτύπωμα, ή να υποστεί μια σάρωση προσώπου ή – ελλείψει βιομετρικών δυνατοτήτων – να δώσει κάποιο PIN.
“Οι χρήστες δεν χρειάζεται πλέον να έχουν μια συσκευή για κάθε υπηρεσία, κάτι που συμβαίνει εδώ και πολύ καιρό τους ελεγκτές της FIDO (και για οποιαδήποτε passkey)”, ανέφερε ο Andrew Shikiar, εκτελεστικός διευθυντής και επικεφαλής του τμήματος marketing της FIDO.
“Επιτρέποντας τον ασφαλή συγχρονισμό του ιδιωτικού κλειδιού σε ένα σύννεφο, ο χρήστης χρειάζεται να εγγραφεί μόνο μία φορά για μια υπηρεσία και στη συνέχεια, θα είναι ουσιαστικά προ-εγγεγραμμένος για αυτήν την υπηρεσία σε όλες τις άλλες συσκευές του.”
Με άλλα λόγια: Τα Passkeys απλώς θα ανταλλάσσουν κρυπτογραφημένα κλειδιά WebAuthn. Δεν θα χρειάζεται να χρησιμοποιήσουμε κάποιο διαχειριστή κωδικών πρόσβασης για να δημιουργήσουμε, να αποθηκεύσουμε και να ανακαλέσουμε ένα κωδικό πρόσβασης. Όλα αυτά θα συμβαίνουν αυτόματα, με πολύ καλύτερα κλειδιά από αυτά που χρησιμοποιούσαν το παλιό πλαίσιο κειμένου και με επιβεβλημένη μοναδικότητα.”
Εάν θέλετε να δοκιμάσετε τα passkeys, μπορείτε να χρησιμοποιήσετε αυτόν τον ιστότοπο επίδειξης που δημιουργήθηκε από την εταιρεία ασφαλείας Hanko.
