Přečtěte si o přístupových klíčích, technologii přihlašování bez hesla, která přichází do iOS 16 a Androidu

Tento příběh je součástí WWDC 2022Úplné pokrytí CNET a o výroční konferenci Apple Developer Conference.

Apple a Google koncem tohoto roku zavedou podporu pro Passkeys, novou přihlašovací technologii, která slibuje, že bude bezpečnější než hesla při ochraně přístupu k našim bankovním účtům a e-mailu. Apple nabídl přístupové klíče Na Worldwide Developers Conference řekli, že se zúčastní iOS 16 A macOS Ventura Tento podzim.

Přístupové klíče se používají snadněji – a možná snadněji – než hesla. Nahrazují řádění klávesových zkratek potřebných pro hesla biometrickými kontrolami v našich telefonech nebo počítačích. Zastavují také phishingové útoky a odstraňují složitosti dvoufaktorové autentizace, jako jsou SMS kódy, které posilují slabiny systému hesel.

Jakmile nastavíte přístupový klíč pro web nebo aplikaci, uloží se do telefonu nebo počítače, který jste použili k jeho nastavení. Služby jako Apple iCloud Keychain nebo Google Chrome správce hesel mohou synchronizovat přístupové klíče mezi vašimi zařízeními. Desítky technologických společností vyvinuly otevřené standardy za přístupovými klíči ve skupině nazvané video alianceKterý Vyhlášení přístupových klíčů v květnu.

Garrett Davidson, technik autentizační technologie společnosti Apple, řekl v WWDC mluví o přístupových klíčích. „S přístupovými klíči je uživatelská zkušenost nejen lepší než používání hesel, ale již neexistuje potenciál pro kategorie plného zabezpečení – jako jsou slabé a opakovaně používané přihlašovací údaje, úniky přihlašovacích údajů a phishing.“

Budete muset strávit nějaký čas na křivce učení, než přístupové klíče realizují svůj potenciál. Budete se také muset rozhodnout, zda je pro vás nejlepší volbou Apple, Microsoft nebo Google.

Zde je pohled na technologii.

Co je to přístupový klíč?

Jedná se o nový typ přihlašovacích údajů, které se skládají z malého množství číselných údajů, které váš počítač nebo telefon používá, když se přihlašujete k serveru. Souhlasíte s každým použitím těchto dat pomocí ověřovacího kroku, jako je skenování otisků prstů, rozpoznávání obličeje, PIN nebo vzor pro přihlášení přejetím prstem, který je známý majitelům telefonů Android.

Zde je problém: Abyste mohli používat přístupové klíče, musíte mít u sebe telefon nebo počítač. Nemůžete se přihlásit k účtu zabezpečenému přístupovým klíčem z počítače přítele bez vlastního.

Přístupové klíče jsou synchronizovány a zálohovány. Pokud si pořídíte nový telefon Android nebo iPhone, Google a Apple mohou obnovit vaše přístupové klíče. Díky end-to-end šifrování nemohou Google a Apple vidět ani změnit přístupové klíče. Apple navrhl svůj systém pro Udržujte přístupové klíče v bezpečí A to i v případě, že útočník nebo zaměstnanec společnosti Apple narušil váš účet na iCloudu.

Jak funguje nastavení přístupového klíče?

Je to velmi jednoduché. Použijte svůj otisk prstu, obličej nebo jiný mechanismus ověřování hesla, když vás webová stránka nebo aplikace vyzve k nastavení. To je ono.

Jak mohu použít přístupový klíč k přihlášení?

Při používání telefonu se při pokusu o přihlášení do aplikace zobrazí možnost ověření přístupovým klíčem. Klepněte na tuto možnost, použijte zvolenou technologii ověřování a můžete začít.

U webových stránek byste měli vedle pole uživatelského jména vidět možnost přístupového klíče. Poté je postup stejný.

Jakmile budete mít v telefonu přístupový klíč, můžete jej použít ke snazšímu přihlášení na jiném zařízení v okolí, například na notebooku. Po přihlášení může tento web nabídnout vytvoření nového přístupového klíče spojeného s novým zařízením.

Co když se potřebuji přihlásit na web, když používám počítač někoho jiného?

Přístupový klíč uložený v telefonu můžete použít k přihlášení k jinému zařízení v okolí, například k notebooku, který si půjčujete. Přihlašovací obrazovka na vypůjčeném notebooku bude mít možnost poskytnout QR kód, který můžete naskenovat telefonem. Použije Bluetooth, aby se ujistil, že váš telefon a počítač jsou blízko vás, a poté vám umožní použít otisk prstu nebo ověřit ID obličeje v telefonu. Váš telefon pak bude komunikovat s počítačem přes zabezpečené připojení, aby byl dokončen proces ověřování.

Proč jsou přístupové klíče bezpečnější než hesla?

Přístupové klíče používají pro proces přihlášení časem prověřený bezpečnostní základ zvaný kryptografie veřejného klíče. Jedná se o stejnou technologii, která chrání číslo vaší kreditní karty, když je zadáváte na web. Krása systému spočívá v tom, že webová stránka musí svůj záznam o přístupovém klíči založit pouze na vašem veřejném klíči, což jsou data, která jsou navržena tak, aby byla otevřeně viditelná. Ve vašem zařízení je uložen pouze soukromý klíč použitý k nastavení přístupového klíče. Neexistuje žádná databáze hesel, kterou by hacker mohl ukrást.

Další velkou výhodou je, že přístupové klíče zabraňují pokusům o phishing. „Heslové klíče jsou vnitřně propojeny s webem nebo aplikací, pro kterou jsou nastaveny, takže uživatelé nemohou být nikdy oklamáni, aby použili svůj přístupový klíč na nesprávném webu,“ Ricky Mondellokterý ve společnosti Apple dohlíží na technologii ověřování, ve videu WWDC.

Použití přístupových klíčů vyžaduje, abyste měli své zařízení po ruce a mohli jej odemknout, což je kombinace, která nabízí dvoufaktorovou autentizační ochranu, ale s menšími problémy než SMS kódy. A s přístupovými klíči vám nikdo nemůže šmírovat přes rameno a sledovat, jak zadáváte heslo.

Kdy uvidím přístupové klíče?

Přístupové klíče se mohou objevit již letos.

Na své Worldwide Developers Conference Apple uvedl, že přinese přístupové klíče pro iOS 16 a macOS Ventura, hlavní aktualizace softwaru operačního systému očekávané letos na podzim. v květnu, Google uvedl, že poskytne podporu přístupových klíčů pro Android Do konce roku 2022 otestovat vývojáře, řekl Mark Reacher, vedoucí ověřování Google. Podpora přístupových klíčů by se měla dostat do Chrome a Chrome OS současně. Microsoft plánuje v následujících měsících podporovat Windows.

Některé weby a aplikace budou chtít aktualizovat svůj přihlašovací software tak, aby používal přístupové klíče, aby mohly využívat funkce zabezpečení. Ostatní se budou pohybovat pomaleji. I když jsou přístupové klíče rychle zapnuté, neočekávejte, že hesla zmizí.

Budou webové stránky a aplikace vyžadovat, abych používal přístupové klíče?

Je méně pravděpodobné, že budete muset používat přístupové klíče, když je technologie nová a neznámá. Webové stránky a aplikace, které již používáte, pravděpodobně přidají podporu přístupových klíčů spolu s vašimi stávajícími metodami hesel.

Při registraci nové služby mohou být jako preferovaná možnost uvedeny přístupové klíče. Nakonec se mohou stát jedinou možností.

Zamknou mě přístupové klíče Apple nebo Google?

nepřesně. I když jsou přístupové klíče vázány na vlastní sadu technologií jedné společnosti, budete se moci dostat ze světa Apple například a použít přístupové klíče s Microsoft nebo Google.

„Uživatelé se mohou přihlásit do prohlížeče Google Chrome spuštěného v systému Microsoft Windows pomocí přístupového klíče na zařízení Apple,“ Vaso Šakallídr společnosti Microsoft v oblasti zabezpečení a technologií identit, v květnovém příspěvku na blogu.

Zastánci přístupových klíčů také pracují na technologii, která lidem umožní migrovat své přístupové klíče z jedné technologické domény do druhé, říkají Apple a Google.

Jak správci hesel zacházejí s přístupovými klíči?

Zkrátka momentálně nejsou. Správci hesel hrají stále důležitější roli při vytváření, ukládání a synchronizaci hesel. Přístupové klíče se však nainstalují do vašeho telefonu nebo počítače, nikoli do vašeho správce hesel.

Mohlo by se to však změnit.

„Očekáváme přirozený vývoj architektury, která umožňuje správcům přístupových klíčů třetích stran komunikovat a přenositelnost mezi ekosystémy,“

Risher očekává, že Google vyvine přístupové klíče, aby snížil bariéry mezi ekosystémy a vyhovoval správcům přístupových klíčů třetích stran. „O tom se mluví od samého počátku tohoto odvětví.“

1 výrobce hesel AgileBits se právě připojil k alianci FIDOA DashLane a LastPass jsou již členy.