מזונות חשובים
- iCloud Passkey מבטל סיסמאות והופך את ההתחברות לאבטחה יותר.
- WebAuthn הוא תקן דפדפן לאימות ללא סיסמה.
- גם WebAuthn וגם iCloud Passkey משתמשים בקריפטו של מפתח ציבורי כדי לבצע את המעשה.
עם מפתח iCloud, אפל עומדת להפוך את הסיסמה למיושנת. סוף סוף.
סיסמאות הן בעיה ענקית. סיסמאות חלשות או גנובות עומדות מאחורי למעלה מ-80% מהפרות הפריצה, ואנשים פשוט נוראים בניהול סיסמאות. או שאנחנו שוכחים אותם, משתמשים בשם של הכלבים או הילדים שלנו, או שנשתמש באותה סיסמה לכל דבר.מנהלי סיסמאות כמו NordPass או iCloud Keychain יכולים לעזור, אבל סיסמה עדיין לא מאובטחת מיסודה. מפתחות סיסמה ב-iCloud Keychain, ו-WebAuthn הסטנדרטי החדש, רוצים לתקן את זה, אבל האם הם באמת יכולים להחליף את הסיסמה?
"אם אפל תוציא את זה כסטנדרט במכשירים שלה, מיליוני אנשים יתרגלו לזה וענקיות טכנולוגיה אחרות כמו גוגל ילכו בעקבותיה", אמר כריסטין קוסטה, מנכ"ל Gadget Review, ל-Lifewire בדוא"ל.
מפתחות ציבוריים
הבעיה עם סיסמה היא שהיא צריכה להישמר בסוד, אבל היא גם צריכה להיות שותפה. מפתחות סיסמה של iCloud משתמשים במשהו שנקרא קריפטוגרפיה של מפתח ציבורי. זה מורכב משני מפתחות. המפתח הציבורי יכול לנעול רק דברים, אז זה בטוח לשתף; המפתח הפרטי יכול גם לנעול וגם לבטל את נעילת הנתונים, והוא אף פעם לא יוצא מהמכשיר שלך.
כאשר אתה נרשם לאתר או שירות באמצעות iCloud Passkeys או WebAuthn, נוצר צמד מפתחות חדש, והמפתח הציבורי משותף עם השירות, ותופס את המקום של סיסמה.הקאץ' הוא שתצטרך להשתמש באחד מהמכשירים שלך כדי להיכנס, אבל בפועל, זה רק לעתים נדירות יהיה בעיה, ויתרונות האבטחה הם עצומים. ואם אתה כבר משתמש במנהל סיסמאות ובאימות דו-שלבי, אז אתה כבר במכשיר שמריץ את אפליקציית מנהל הסיסמאות שלך.
עם זאת, בעיה נוספת היא אם תוקף יחזיק במכשיר שלך ויכול לגשת אליו, אז כל ההימורים מושבתים. עם זאת, מכשירי iOS ו-Mac מודרניים קשים מאוד לפיצוח, וגניבת טלפון היא הרבה יותר מאמץ משליחת הודעות דיוג.
משימות במחזיק מפתחות iCloud קלות
השימוש במפתחות סיסמה במחזיק מפתחות iCloud הוא פשוט. כאשר אתה נרשם לחשבון משתמש חדש באתר, אתה מזין כתובת דוא ל, והאייפון שלך יבקש ממך לאשר שאתה יוצר חשבון. זהו זה. המפתח החדש מאוחסן במחזיק המפתחות שלך, והחלק הציבורי מאוחסן על ידי האתר.
ההבדל הגדול הוא שהמפתח הציבורי נועד להיות ציבורי.זה לא צריך להיות מוסתר או לשמור בסוד. אם האתר נפרץ, גניבת כל המפתחות הציבוריים האלה היא חסרת טעם, כי הם לא יעשו כלום. הפרות הסיסמה המאסיביות האלה שאתה קורא עליהן כל כמה שבועות? הם יהיו נחלת העבר.
"אם נבדוק איך סיסמאות עובדות היום, ראשית אתה מזין את הסיסמה שלך, אז היא בדרך כלל מוסתרת דרך משהו כמו hashing פלוס המלחה, וה-hash המלוח המתקבל נשלח לשרת", אומר גארט דייווידסון של אפל ב-WWDC הפעלה בשם "מעבר לסיסמאות". "עכשיו, גם לך וגם לשרת יש עותק של הסוד, למרות שהעותק של השרת מעורפל, ושניכם אחראים באותה מידה להגנה על הסוד הזה."
מה לגבי מנהל הסיסמאות שלך?
נראה שהטכנולוגיה הזו מאייתת אבדון עבור אפליקציות מנהל סיסמאות, אבל זה לא משנה. רוב המשתמשים כבר מסתמכים על מנהל הסיסמאות המובנה של iCloud.
משתמשי כוח, מסוג האנשים שאוהבים את התכונות הנוספות, ומנתקים את הסיסמאות שלהם מה-Apple ID שלהם, ימשיכו להשתמש באפליקציות עצמאיות.
אם אפל תוציא את זה כסטנדרט במכשירים שלה, מיליוני אנשים יתרגלו לזה וענקיות טכנולוגיה אחרות כמו גוגל ילכו בעקבותיה.
"אף אחד לא רוצה עוד מתחרים, אבל פתרונות מובנים כאלה אינם המוקד העיקרי של הדפדפן", אומר מומחה האבטחה של Nordpass, צ'אד האמונד. "לכן, הם לא פותרים את אותן בעיות גלובליות שעושים מנהלי סיסמאות. תפקידו העיקרי של דפדפן הוא לתת למשתמש גישה למידע, ומנהל סיסמאות הוא רק אחד מהפיצ'רים הרבים שהוא מציע. במנהלי סיסמאות ייעודיים, זה התכונה העיקרית."
מצד שני, טווח ההגעה של אפל יכול להעביר את טכנולוגיית האימות החדשה הזו לידיים רבות, וזה ניצחון לכולם. תשלומים ללא מגע היו קיימים לפני Apple Pay, אך המריאו רק בארה ב לאחר שאפל הוסיפה אותו לאייפון. סיסמאות לא ייעלמו בזמן הקרוב, אבל סוף סוף יש לנו אלטרנטיבה שהיא מטבעה מאובטחת, קלה לשימוש ואינה מאפשרת לך להשתמש בשם הכלב שלך.שוב.
