Google wprowadza klucze dostępu, technologię zabijania haseł, dla wszystkich kont

Uwierzytelnianie oparte na hasłach jest standardem w Internecie (i ogólnie w informatyce) od dziesięcioleci, ale system cierpi na poważne problemy z bezpieczeństwem, a mianowicie napastnicy mogą ukraść twoje hasło lub oszukać cię, abyś je im podał w atakach typu phishing. Schemat klucza dostępu jest specjalnie zaprojektowany do obsługi ataków typu phishing, opierając się na innym modelu, który używa kluczy szyfrowania przechowywanych na urządzeniach do uwierzytelniania konta.

W ciągu roku, odkąd stowarzyszenie branżowe znane jako FIDO Alliance zaczęło publicznie promować wprowadzanie kluczy dostępu, twórcy największych na świecie konsumenckich systemów operacyjnych — Microsoft, Google i Apple — udostępnili infrastrukturę potrzebną do obsługi kluczy dostępu. Ale jeśli nigdy nie używałeś klucza dostępu w swoim codziennym życiu, nie jesteś sam.

Kolejnym krokiem w kierunku przyjęcia klucza dostępu są właściwie usługi Wyświetl klucze dostępu Jako opcja logowania do kont użytkowników. Do tej pory firmy takie jak PayPal, Shopify, CVS Health, Kayak i Hyatt pozostawały w tyle. Dzisiejsze wydanie PassKeys użytkownikom Google jest godne uwagi, biorąc pod uwagę zasoby firmy i samą wielkość.

„To bardzo, bardzo ważne” — mówi Andrew Chekyar, dyrektor wykonawczy Fido Alliance. „To punkt zwrotny. Firma taka jak Google umożliwia to, ponieważ wiele osób widzi loginy z kluczami dostępu i jest bardziej skłonne do korzystania z nich gdzie indziej. Przyspieszy to również plany wdrażania innych firm i pomoże im lepiej się rozprzestrzeniać, ponieważ wyciągniemy z tego wnioski jako ciało.” „.

Możesz zalogować się za pomocą kluczy dostępu za pomocą czujników biometrycznych, takich jak skanery linii papilarnych lub twarzy, kod PIN blokady urządzenia smartfona lub fizyczne klucze uwierzytelniające, takie jak YubiKeys. Aby przenieść swoje konto Google, musisz to zrobić Przejdź do tego linkuzaloguj się przy użyciu swojej nazwy użytkownika, hasła i wszelkich dodatkowych czynników uwierzytelniających, które skonfigurowałeś, a następnie kliknij „+Generuj klucz dostępu” na urządzeniu, którego używasz.

„Mamy szansę zmienić sposób, w jaki użytkownicy myślą o logowaniu” — mówi Christian Brand, menedżer produktu ds. tożsamości i bezpieczeństwa w Google oraz współprzewodniczący technicznej grupy roboczej FIDO2. „Jeśli uda nam się zmienić sposób logowania do Twojego konta Google, mamy nadzieję, że konsumenci zaczną się bardziej przyzwyczajać do tej technologii, a także zasygnalizują branży, że nie jesteśmy tylko ty mówisz Jeśli chodzi o te rzeczy – jest gotowy do przyjęcia w czasie największej oglądalności”.

Klucze dostępu mogą być synchronizowane między Twoimi urządzeniami za pośrednictwem kompleksowo szyfrowanych usług, takich jak Menedżer haseł Google i pęk kluczy iCloud. Możesz też skonfigurować klucze dostępu na wielu urządzeniach, tworząc kod QR na urządzeniu zalogowanym do konta Google, który zeskanuje inne urządzenie, na które chcesz się zalogować.

Wszystkie klucze dostępu do Twojego konta Google zostaną wyświetlone na stronie Zarządzaj kluczem dostępu, gdzie możesz je przejrzeć i unieważnić. Możesz także przechowywać hasło do swojego konta na urządzeniu zaufanej osoby jako opcję odzyskiwania. Jeśli wydałeś hasło, aby zalogować się na swoje konto Google na współdzielonym urządzeniu, pamiętaj, aby anulować je, gdy skończysz.

„To, co nie pomaga, to sytuacja, w której sprzedawca lub programista udostępnia hasło tylko dla systemu iOS lub tylko dla systemu Android. Hasła tak nie działają. Hasła są wszędzie”, mówi Brand, „dla nas było to ważne, aby pokryć Najszerszy możliwy wybór urządzeń w dniu premiery, bez cięć”.

Google twierdzi, że nawet po utworzeniu klucza dostępu do konta (lub pięciu), tradycyjna nazwa użytkownika i hasło logowania nie będą nigdzie dostępne i nadal możesz z nich korzystać, jeśli wybierzesz. Ale firma zakłada się, że kiedy ludzie przyzwyczają się do kluczy dostępu, polubią je bardziej i uznają, że zarządzanie nimi jest łatwiejsze niż hasła. Gdy ustawisz klucz dostępu na urządzeniu, Google automatycznie go wykryje i od tej pory poprosi o zalogowanie się w ten sposób.

Brand mówi, że we wczesnych testach z kilkoma tysiącami użytkowników, wskaźniki sukcesu logowania za pomocą hasła były natychmiast wyższe niż w przypadku tradycyjnego logowania za pomocą nazwy użytkownika i hasła. Nie oznacza to, że nie będzie tego, co marka nazywa „nierównymi krawędziami” lub przypadków użycia, w których występują błędy klucza. Ale Google twierdzi, że ma nadzieję odkryć i rozwiązać jak najwięcej z tych problemów, aby mniejsze organizacje mogły czuć się pewniej, wdrażając klucze dostępu.

Ogłoszenie Google pojawia się w przeddzień Światowego Dnia Hasła w czwartek. Ale zwolennicy klucza dostępu wzmagają wysiłki, aby uczynić tę okazję nieaktualną.

„Myślę, że w końcu będzie to coś w rodzaju Międzynarodowego Dnia Konia i Buggy” — mówi Chekyar. „Na razie jest to dobre przypomnienie o wyzwaniu, przed którym stoimy, pozbywając się haseł”.