Microsoft dołącza do Apple i Google, wprowadzając obsługę kluczy dostępu do kont konsumentów w celu logowania bez hasła

Microsoft wprowadził obsługę kluczy passkey dla kont konsumenckich. Passkeys to metoda logowania bez hasła, zaprojektowana w celu zapobiegania przejęciu konta poprzez ograniczenie lub wyeliminowanie użycia hasła. Zamiast haseł, do logowania się na konta wykorzystywane jest rozpoznawanie twarzy, skanowanie odcisków palców lub numery PIN.

Obecne metody zabezpieczania kont online

Hasła do kont online często wymagają znienawidzonej kombinacji małych i wielkich liter, cyfr i symboli, które są łatwe do zapomnienia i żmudne do wpisania, ale mogą zostać skradzione przez hakerów za pomocą phishingu, złośliwego oprogramowania i innych metod.

Jednym ze sposobów na zwiększenie bezpieczeństwa konta jest wymaganie wysyłania kodów PIN wraz z hasłami. Chociaż jest to bezpieczniejsze niż samo hasło, hakerzy nadal mogą przechwycić kod poprzez nielegalne klonowanie SIM, SIM zamiany, hakowanie telefonów komórkowychi podsłuchiwanie sieci komórkowej gdy celem są VIP-y, takie jak prezydent. Większość kont chronionych kodem PIN jest jednak lepiej zabezpieczona.

Innym sposobem na zwiększenie bezpieczeństwa konta jest korzystanie z urządzeń i oprogramowania dwuskładnikowego (2FA)(takiego jak to na Amazon), które generują unikalny kod, który należy wprowadzić wraz z hasłem. Podczas gdy oprogramowanie 2FA jest podatne na złośliwe oprogramowanie i klonowanie, sprzęt 2FA jest trudny do skopiowania, co czyni go popularnym do zabezpieczania kont. Mimo to, hakerzy znaleźli również sposoby na ominięcie zabezpieczeń 2FA.

Klucze dostępu

Problem zapomnianych haseł istnieje w powyższych metodach, więc klucze dostępu są promowane przez główne firmy, takie jak Apple, Google i Microsoft jako alternatywa dla sprzętu 2FA. W przypadku większości użytkowników logowanie za pomocą klucza Passkey jest zazwyczaj uwierzytelniane przez rozpoznawanie twarzy, skanowanie odcisków palców lub wprowadzanie kodu PIN na smartfonie danej osoby. Microsoft twierdzi, że wszystkie dane biometryczne pozostają na urządzeniu użytkownika i nigdy nie są do niego wysyłane.

Jedną z zalet systemu passkey jest to, że para kluczy kryptograficznych jest tworzona dla każdego konta online i jest dla niego unikalna. Login do jednego konta nie będzie działał na innym koncie. Czytelnicy, którzy chcą wypróbować nowy świat logowania bez hasła, mogą przeczytać o konfiguracji klucza dostępu dla kont konsumenckich na stronie Microsoft, Appleoraz Google.

Czytelnicy, którzy nie chcą korzystać z kluczy dostępu, mogą nadal używać kodów PIN lub urządzeń 2FA, takich jak ten w Amazon (proszę pamiętać o zakupie dodatkowej kopii zapasowej).

Potencjalne problemy z kluczami dostępu

Klucze dostępu wprowadzają potencjalne problemy i luki w zabezpieczeniach. Pierwszym z nich jest brak dwóch różnych informacji do logowania - wymagany jest tylko telefon lub urządzenie 2FA, więc skradzione urządzenia mają pełną możliwość logowania się do wszystkich kont. Dzieci wiedzą, jak zajrzeć przez ramię, aby ukraść kod PIN, a hakerzy złamali rozpoznawanie twarzy Microsoft https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery i weryfikację odcisków palców https://blackwinghq.com/blog/posts/a-touch-of-pwn-part-i/ już wcześniej. Ponadto wiele kont chronionych kluczami pozostaje podatnych na ataki, ponieważ hasła są używane jako metoda odzyskiwania danych. Co ważne, jeśli dane biometryczne, takie jak odcisk palca, zostaną sklonowane, nie można ich zmienić, chyba że przejdą Państwo operację, więc hakerzy mogą udawać, że są Państwem, o ile nadal używają Państwo tego samego odcisku palca do uwierzytelniania.

Utrata bazy danych haseł jest również istotnym problemem. Jeśli hasła zostaną całkowicie wyeliminowane, utrata bazy danych haseł bez pewnej metody odzyskiwania konta może natychmiast zablokować użytkownikom dostęp do ich kont na zawsze - czego doświadczyło wielu posiadaczy bitcoinów po utracie smartfonów. Problem pozostaje tak duży, że nawet autor webauthn-rs pozostaje nieprzekonanypodobnie jak wielu użytkowników, którzy zgłosili, że ich klucze dostępu zostały omyłkowo zniszczone przez Apple i inne firmy. Ponadto NSA wie, że obecna kryptografia niekwantowa jest zagrożonawięc inteligentni użytkownicy powinni uważać na kopie zapasowe kluczy haseł w chmurze.

Bezpieczne strategie dotyczące haseł i kont

Menedżery haseł, takie jak 1password i LastPass były wielokrotnie hakowane, więc nawet zezwolenie przeglądarkom internetowym na zapamiętywanie Państwa sekretów może być złym pomysłem, ponieważ jedno udane włamanie może narazić na szwank wszystkie konta. Zamiast tego należy stosować strategię tworzenia haseł, którą można łatwo zapamiętać. Na przykład ulubiona długa fraza + "inicjał nazwy witryny" + liczba + "symbol".

Inną dobrą strategią jest izolacja i podział. Na przykład, proszę używać jednego konta e-mail tylko do spraw finansowych, a drugiego do zwykłej korespondencji - z różnymi hasłami. Notebooki są na tyle tanie(takie jak ten na Amazon), że można kupić jeden tylko do finansów.

Ponieważ Wymiana kart SIM jest zagrożeniem dla wszystkich użytkowników zabezpieczających konta za pomocą swoich telefonów, proszę przeczytać, jak zabezpieczyć kartę SIM dla T-Mobile, Verizonlub AT&T użytkowników.