Google: «Αντίο» passwords, πάμε στα passkeys
Βαρεθήκατε τα passwords; Το ίδιο συμβαίνει και με τις μεγάλες διαδικτυακές επιχειρήσεις, όπως τη Google. Και τούτο γιατί οι κωδικοί δημιουργούν πολλά πιθανά τρωτά σημεία για τν ασφάλεια των χρηστών. Κάτι νέο λοιπόν μπαίνει στη ζωή μας και αυτά είναι τα λεγόμενα passkeys. Εκ πρώτης όψεως μοιάζουν πολύ με τα passwords, αλλά στόχος τους είναι να βελτιώσουν την εμπειρία για όλους… πλην των χάκερς.
Τι είναι το passkey;
Πρόκειται για ένα μοναδικό κλειδί που ταυτοποιεί τον χρήστη και τον λογαριασμό του. Είναι ένας τρόπος σύνδεσης σχεδιασμένος να “μοιράζεται” εύκολα και με ασφάλεια μεταξύ των διαφορετικών συσκευών.
Τα passkeys δημιουργούνται επί του παρόντος με το πρότυπο WebAuthn και χρησιμοποιούν κρυπτογράφηση δημόσιου κλειδιού. Την πρώτη φορά που ένας χρήστης συνδέεται με την τεχνολογία του passkey, δημιουργείται ένα ζεύγος κλειδιών. Ένα κλειδί βρίσκεται στη συσκευή σας και είναι απόρρητο. Το άλλο κλειδί, που είναι το δημόσιο κλειδί, αποθηκεύεται στους διακομιστές της υπηρεσίας. Όταν τα δύο κλειδιά ταιριάζουν, οι πληροφορίες σύνδεσης κοινοποιούνται. Οι χρήστες μπορούν να χρησιμοποιήσουν τα ενσωματωμένα βιομετρικά στοιχεία ή άλλο έλεγχο ταυτότητας του τηλεφώνου τους Android για να ξεκλειδώσουν και να μοιραστούν το κλειδί.
Σε τι διαφέρουν τα passkeys από τα passwords
Μία πολύ βασική αλλαγή: Δεν χρειάζεται να θυμάστε τα πάντα. Τα passkeys είναι μεγάλες αλληλουχίες σε σύγκριση με τους κωδικούς πρόσβασης, γεγονός που τους παρέχει ισχυρή ασφάλεια, αλλά δεν έχουν σχεδιαστεί για να πληκτρολογούνται με μη αυτόματο τρόπο. Αντίθετα, η συσκευή σας και ο διακομιστής διατηρούν το ζεύγος κωδικών πρόσβασης ασφαλές και τα ταιριάζουν όταν χρειάζεται με ένα πρωτόκολλο «γρήγορης χειραψίας». Στη συνέχεια, θα χρησιμοποιήσετε βιομετρικά στοιχεία ή παρόμοια ασφάλεια για να συνδεθείτε στη συσκευή ελέγχου ταυτότητας.
Κάτι άλλο σημαντικό είναι πως είναι πιο ανθεκτικά σε κυβερνοεπιθέσεις. Το προσωπικό σας κλειδί αποθηκεύεται στη συσκευή σας. Θεωρητικά, τα δημόσια κλειδιά στους servers είναι πιο εύκολος στόχος για τους χάκερς, αλλά και πάλι δεν μπορούν να τα χρησιμοποιήσουν προκειμένου να ταυτοποιήσουν κάτι ή να συνδεθούν σε λογαριασμούς.
Το πιο σημαντικό είναι ότι δεν μπορείς να δώσεις ένα passkey σε έναν τρίτο ακόμη και εάν το θέλεις. Εάν υπάρξει προσπάθεια fishing με στόχο να κάνετε log in σε ψεύτικη ιστοσελίδα, δεν θα δουλέψει, αφού δεν θα υπάρχει κάτι να πιστοποιήσει το passkey.