Jeśli masz dość haseł i nie możesz się doczekać czegoś prostszego, to masz szczęście. Google poprawia rzeczy i teraz wprowadza alternatywę dla haseł. W niedawnym poście na blogu zatytułowanym „Początek końca hasła”, Google mówi, że wprowadza klucze dostępu. Wpis na blogu brzmi częściowo: „Zaczęliśmy wdrażać obsługę kluczy dostępu na kontach Google na wszystkich głównych platformach. Będą dodatkową opcją, za pomocą której ludzie będą mogli się logować, obok haseł, weryfikacji dwuetapowej (2SV) itp.”.
Włączając hasło – tylko konta Google , Google robi ogromny krok w kierunku hasła – wolnej przyszłości. W ramach uwierzytelniania dwuskładnikowego można było kiedyś użyć klucza dostępu do konta Google. Ale to zawsze było dodatkiem do hasła. Zamiast hasła można teraz uzyskać dostęp do konta Google za pomocą klucza dostępu.
Co to jest oferta klucza dostępu?
Jeśli nie znasz nowego systemu uwierzytelniania, klucz dostępu jest nowym sposób logowania się do aplikacji i stron internetowych, które mogą ostatecznie zastąpić hasła. Ludzie muszą najpierw wprowadzić hasła w podstawowych polach tekstowych, a kiedy pojawiła się potrzeba większego bezpieczeństwa, z czasem do tych pól tekstowych wszczepiono automatyzację i złożone style. Właściwym sposobem używania hasła dzisiaj jest umieszczenie przez menedżera haseł losowego ciągu znaków w polu hasła. W przeszłości w pole hasła wpisywałeś przywołane słowo. Klucze dostępu usuwają pole hasła, ponieważ niewielu z nas naprawdę wpisuje swoje hasła.
Passkeys używa standardu „WebAuthn”, aby Twój system operacyjny bezpośrednio zamieniał pary kluczy publiczny – prywatny ze stroną internetową w celu weryfikacji. Demo Google pokazujące, jak to może działać na telefonie, wygląda świetnie; standardowe pole prosi o podanie Twojej nazwy użytkownika Google, a następnie o odcisk palca w celu odblokowania systemu klucza dostępu i zalogowania się. Urządzenia użytkowników są już obsługiwane przez Google bez hasła. Konta Google Workspace „wkrótce” będą mogły aktywować klucze dostępu dla użytkowników końcowych.
Jakie są „problemy” z kluczami dostępu?
Jeśli wystąpi jakikolwiek problem z kluczami dostępu, jeden z nich jest jego niski popyt. Mimo że Google całkowicie poświęcił się kluczom dostępu, nie oznacza to, że są one gotowe do masowego użytku. Po pierwsze, niektóre systemy (w tym Windows, Linux i Chrome OS) nie są tak rozwinięte jak inne (jak MacOS, iOS i Android). Nadal jest wiele do zrobienia, jednak oficjalna witryna passkeys.dev oferuje pomocną stronę, która śledzi gotowość poszczególnych platform. Zablokowanie konta Google Passkey w systemie operacyjnym Chrome byłoby okropne. Prawdopodobnie tak się stanie, jeśli nie przekonwertujesz z powrotem na hasło.
Gizchina Wiadomości tygodnia
Drugi problem, polegający na tym, że klucze dostępu są synchronizowane przez ekosystem systemu operacyjnego, a nie przez przeglądarkę, wskazuje na ogromne opóźnienie w sposobie działania haseł i nie wydaje się, aby został rozwiązany w najbliższym czasie. Klucze dostępu nie działają dziś tak samo jak hasła. Jeśli dodasz hasło do przeglądarki Chrome w systemie Windows, będzie ono od razu widoczne na każdym urządzeniu, na którym masz zainstalowaną przeglądarkę Chrome. Obejmuje to telefon z Androidem, MacBooka, iPhone’a, Chromebooka itp.
Klucze dostępu będą synchronizowane tylko ze wszystkimi urządzeniami na tej samej platformie
Zgodnie z FIDO Alliance, klucze są „synchronizowane ze wszystkimi innymi urządzeniami użytkownika z tą samą platformą systemu operacyjnego”
Oznacza to, że jeśli użytkownik doda klucz do Chrome w systemie Windows, synchronizuje się tylko z innymi systemami operacyjnymi firmy Microsoft. Dzieje się tak, ponieważ zostanie dodany do magazynu kluczy dostępu dostawcy systemu operacyjnego, firmy Microsoft. To samo dotyczy korzystania z produktów Apple, wszystko się zsynchronizuje i nie zauważysz zmiany. W przypadku pozostałych użytkowników korzystających z systemu Windows i Androida, Androida i Linuksa lub dowolnej innej kombinacji różnych systemów operacyjnych i dostawców, proces ten nie jest prosty. Będą wymagać procesu przesyłania opartego na kodzie QR i technologii Bluetooth. Marki Big Tech kontrolujące klucze dostępu nie wydają się zmotywowane do uczynienia ich tak bezproblemowymi i praktycznymi jak hasła. Będzie to miało ogromny wpływ na ich masową adopcję.
Jeśli chodzi o bałagan synchronizacji, 1Password powiedział , „Obecnie klucze dostępu na innych platformach wymagają do uwierzytelnienia użycia urządzenia z tego samego ekosystemu. Synchronizacja z innymi systemami operacyjnymi lub udostępnianie kluczy dostępu wymaga żmudnej pracy. Wymaga słowa – podobnie jak kody QR, co skutkuje bardziej skomplikowanym i mniej bezpiecznym doświadczeniem”.
Klucze dostępu nie są wystarczająco otwarte – iPassword
Aplikacje takie jak 1Password mogą, ale nie muszą, uzyskać zaprosić na imprezę z kluczami Big Tech. Chociaż 1Password twierdzi, że jest członkiem FIDO Alliance, film na stronie poświęconej kluczom dostępu twierdzi, że klucze dostępu nie są wystarczająco otwarte. Film mówi:
„Dzisiejsze rozwiązania nie spełniają obietnicy otwartości i interoperacyjności. Jeśli dziś utworzysz hasło na swoim iPhonie lub urządzeniu z Androidem, jest ono prawie uwięzione. Udostępnianie, przenoszenie na inną platformę lub synchronizacja z preferowanym menedżerem haseł nie jest łatwe. Możemy zrobić lepiej. Dlatego cieszymy się, że możemy pokazać, jak mogłaby wyglądać przyszłość, gdyby technologia bezhasłowa była bardziej otwarta”.
Na stronie internetowej 1Password z kluczami jest kilka słów „może” i „powinno”. Firma pracuje jednak nad rozwiązaniem, które będzie gotowe „tego lata”. Posiadanie tak dużej regresji między platformami w domyślnej konfiguracji-z której korzysta większość ludzi-znacznie ograniczy atrakcyjność kluczy dostępu. Nawet jeśli firmie uda się rozwiązać problem synchronizacji kluczy dostępu, może to nie być atrakcyjne.
Źródło/VIA:
