(Credit: Getty Images/Boris Zhitkov)
Πέρυσι, η Apple, η Google και η Microsoft προέβησαν σε μια συνδυασμένη προσπάθεια για την κατάργηση του κωδικού πρόσβασης. Το αποτέλεσμα μας έδωσε τα passkeys, έναν νέο τρόπο σύνδεσης σε εφαρμογές και ιστότοπους που βασίζεται στο smartphone ή το φορητό υπολογιστή του χρήστη για την πιστοποίηση της σύνδεσης.
Έτσι, όπως είναι φυσικό, μπορεί να αναρωτιέστε γιατί εξακολουθείτε να χρησιμοποιείτε κωδικούς πρόσβασης για να συνδεθείτε σε πολλούς, αν όχι σε όλους, τους ιστότοπούς σας. Στην RSAC, ο Christiaan Brand, Product Manager της Google, μίλησε για τις προκλήσεις που αντιμετωπίζει το passkey και γιατί μπορεί να χρειαστεί λίγος χρόνος μέχρι η τεχνολογία να γίνει mainstream.
"Οι περισσότεροι από τους χρήστες σας σήμερα έχουν ήδη την τεχνολογία στα συστήματά τους για να χρησιμοποιούν passkeys, τώρα είναι απλώς το ερώτημα πότε θα αρχίσουμε να την αναπτύσσουμε", δήλωσε.
Ουσιαστικά, η Apple, η Google και η Microsoft έχουν δημιουργήσει την υποδομή για την υποστήριξη passkeys σε Chrome, Android, iOS, macOS και Windows. Αλλά υπάρχει έλλειψη υιοθέτησης στη βιομηχανία, εκτός από τον κατακερματισμό σχετικά με τον τρόπο με τον οποίο το κάθε λειτουργικό σύστημα τα υλοποιεί.
Ο Christiaan Brand (Credit: PCMag)
Η ίδια η Google εξακολουθεί να ωθεί τους καταναλωτές να συνδεθούν με κωδικούς πρόσβασης και έλεγχο ταυτότητας πολλαπλών παραγόντων, αν και υπάρχει μια επιλογή που μοιάζει με passkey και ονομάζεται "Χρησιμοποιήστε το τηλέφωνό σας για να συνδεθείτε". Ωστόσο, ο Brand δήλωσε ότι η Google επιδιώκει να καταστήσει τα passkeys μια πιο εμφανή μέθοδο σύνδεσης.
"Η Google θα βάλει τα λεφτά της εκεί που είναι το στόμα της, ελπίζοντας ότι θα αρχίσει να ενεργοποιεί τα passkeys για τους χρήστες για να συνδεθούν στα δικά μας πράγματα κάποια στιγμή", δήλωσε ο Brand στο περιθώριο του συνεδρίου RSAC στο Σαν Φρανσίσκο. "Αυτό είναι το προφανές ερώτημα. Έχουμε ενσωματώσει τα πάντα στο Chrome και το Android. Πού μπορώ να συνδεθώ σε έναν λογαριασμό Google χρησιμοποιώντας ένα passkey;"
Πώς λειτουργούν τα passkeys;
Με τα passkeys, ένα smartphone ή ένας φορητός υπολογιστής θα αποθηκεύει ένα μοναδικό και ιδιωτικό κρυπτογραφικό κλειδί που μπορεί να χρησιμοποιηθεί για την πιστοποίηση της σύνδεσης σε έναν επιλεγμένο ιστότοπο ή εφαρμογή. Δεν ανταλλάσσονται ποτέ δεδομένα κωδικού πρόσβασης. Αντ' αυτού, ο ιστότοπος ή η εφαρμογή εκδίδει απλώς μια ψηφιακή "πρόκληση" την οποία μπορεί να υπογράψει το κλειδί πρόσβασης που είναι συνδεδεμένο στη συσκευή σας, το οποίο στη συνέχεια θα ξεκλειδώσει την πρόσβαση στο λογαριασμό.
Η προσέγγιση αυτή μπορεί να αποτρέψει απόπειρες υποκλοπής κωδικού πρόσβασης, όπως τα μηνύματα phishing. Αλλά μια προφανής ανησυχία είναι τι θα συμβεί αν χάσετε το τηλέφωνό σας; Ευτυχώς, το κλειδί πρόσβασης μπορεί να συνεχίσει να ζει μέσω ενός αντιγράφου ασφαλείας στο cloud, όπως ένας λογαριασμός Google ή iCloud. Αυτό σημαίνει ότι η λύση ασφαλείας μπορεί επίσης να μοιραστεί σε πρόσθετες συσκευές, όταν χρειάζεται.
"Στον κόσμο του passkey, είτε μετακομίζετε σε μια νέα συσκευή είτε αλλάζετε σε μια άλλη συσκευή, θα βρίσκεστε πάντα στον κόσμο του passkey", δήλωσε ο Brand στην ομιλία του.
(Credit: PCMag)
Ιδανικά, όλες οι συσκευές σας -είτε τρέχουν Android, iOS είτε Windows- θα μπορούσαν να χρησιμοποιούν και να μοιράζονται την ίδια συλλογή passkeys για την πιστοποίηση των συνδέσεων για όλους τους ιστότοπους και τις εφαρμογές σας. Αλλά στην πραγματικότητα, δεν μπορείτε να μοιραστείτε τα passkeys μεταξύ οικοσυστημάτων λογισμικού, δήλωσε ο Brand. Αυτό σημαίνει ότι οι συσκευές της Apple και της Google πρέπει να αποθηκεύουν και να διατηρούν το δικό τους ξεχωριστό σύνολο passkeys. Εν τω μεταξύ, τα Windows δεν υποστηρίζουν ακόμη αντίγραφα ασφαλείας ή συγχρονισμό για τα passkeys. Έτσι, κάθε συσκευή Windows πρέπει να δημιουργεί τα δικά της ξεχωριστά passkeys, τα οποία είναι συνδεδεμένα με τη συσκευή, πρόσθεσε ο Brand.
Έτσι, ένας χρήστης θα μπορούσε να καταλήξει με μια μεγάλη συλλογή passkeys αν χρησιμοποιεί μια ποικιλία λειτουργικών συστημάτων, κάτι που, σύμφωνα με τον Brand, θα μπορούσε να προκαλέσει σύγχυση στους καταναλωτές. Τούτου λεχθέντος, τα passkeys έχουν σχεδιαστεί με γνώμονα τη συμβατότητα μεταξύ συσκευών και πλατφορμών. Ας πούμε λοιπόν ότι χρησιμοποιείτε το iPhone σας για να αποθηκεύσετε το κλειδί πρόσβασής σας. Στη συνέχεια, μια μέρα θέλετε να συνδεθείτε σε έναν ιστότοπο με έναν φορητό υπολογιστή Windows που μόλις αγοράσατε. Το iPhone σας θα μπορούσε εύκολα να το επιτρέψει αυτό χρησιμοποιώντας τη λειτουργία Bluetooth ή σαρώνοντας έναν κωδικό QR για να πιστοποιήσει προσωρινά τη σύνδεση στο φορητό υπολογιστή με Windows.
Παρόλα αυτά, η εξήγηση όλων των αποχρώσεων των passkeys στον μέσο χρήστη τεχνολογίας αποτελεί πρόκληση. Για παράδειγμα, το ζήτημα του κατακερματισμού αναδεικνύει την ανάγκη για έναν κεντρικό τρόπο που θα διευκολύνει τον χρήστη να βλέπει όλα τα passkeys για τους διάφορους λογαριασμούς του.
"Δεν έχω δει πραγματικά καλά παραδείγματα διαχείρισης passkey εκεί έξω ακόμη", πρόσθεσε. "Πολλά από αυτά τα πράγματα είναι ακόμα σε πρώιμο στάδιο. Αυτό είναι κατά κάποιο τρόπο μέρος του προβλήματος. Δεν το έχουμε καταλάβει ακόμα ως βιομηχανία".
Υπάρχει επίσης η ανάγκη να γίνει γνωστό στους χρήστες ότι τα passkeys υπάρχουν. Έτσι, σε απάντηση, κατά τη διάρκεια της παρουσίασής του στην RSAC, ο Brand έδειξε ένα demo για το πώς ένας τραπεζικός ιστότοπος θα μπορούσε να ωθήσει τους χρήστες να συνδεθούν σε έναν ιστότοπο με ένα passkey, αφού προηγουμένως περάσουν από την παλιά διαδικασία σύνδεσης με κωδικό πρόσβασης/όνομα χρήστη.
Στην επίδειξη, μόλις εισαχθεί ο σωστός κωδικός πρόσβασης, ο τραπεζικός ιστότοπος ενεργοποιεί το πρόγραμμα περιήγησης Chrome για να πει στον χρήστη ότι μπορεί να μεταβεί στη χρήση ενός passkey για να συνδεθεί. Εάν ο χρήστης δεχτεί, μπορεί στη συνέχεια να δημιουργήσει ένα νέο passkey, το οποίο απαιτεί μόνο τη σάρωση του δακτυλικού του αποτυπώματος στο smartphone για την ολοκλήρωση της διαδικασίας.
Το demo του Brand σχεδιάστηκε επίσης για να υπενθυμίσει στους χρήστες ότι μπορούν να χρησιμοποιούν το ίδιο passkey όταν συνδέονται στην εφαρμογή της τράπεζας για κινητά. Εάν ο χρήστης προσπαθήσει να συνδεθεί στον ιστότοπο της τράπεζας από φορητό υπολογιστή, το Chrome μπορεί να ενεργοποιήσει μια επιλογή για να συνδεθεί μέσω του κλειδιού πρόσβασης που είναι ήδη αποθηκευμένο στο smartphone.
"Ο φορητός υπολογιστής δεν έχει ακόμη κλειδί πρόσβασης, αλλά μπορώ να δημιουργήσω ένα", εξήγησε ο Brand. Για να γίνει αυτό, η επίδειξη έδειξε ότι το πρόγραμμα περιήγησης Chrome στο φορητό υπολογιστή ενεργοποιεί ένα νέο αναδυόμενο παράθυρο που ρωτά τον χρήστη αν θέλει να δημιουργήσει ένα άλλο passkey για το υλικό του υπολογιστή, ώστε να μπορεί να συνδεθεί εύκολα στον τραπεζικό ιστότοπο στο μέλλον.
Έτσι, είναι πιθανό οι μελλοντικές υλοποιήσεις των συνδέσεων με passkey να απηχούν το demo του Brand. Αλλά εν τω μεταξύ, λέει ότι περισσότεροι χρήστες πρέπει να δοκιμάσουν την τεχνολογία για να βοηθήσουν στην εξάλειψη των προβλημάτων.
"Νομίζω ότι θα αλλάξουμε τα πράγματα, μέσα στους επόμενους δύο μήνες, αλλά πραγματικά δεν μπορούμε να το κάνουμε αυτό αν οι χρήστες δεν ασπαστούν την τεχνολογία", πρόσθεσε ο Brand. "Πρέπει πραγματικά να φέρουμε αυτά τα πράγματα μπροστά στο πρόσωπο των τακτικών χρηστών".