Sekojiet ZDNET: Pievienojiet mūs kā vēlamo avotu Google tīklā.
ZDNET galvenās atziņas
- Ieejas atslēgas ir akreditācijas datu veids, kas paredzēts, lai aizstātu mazāk drošas paroles.
- Ieejas atslēgas izmantošana ir atkarīga no viena no trim autentifikatoru veidiem: platformas, virtuālā vai viesabonēšanas.
- Virtuālie autentifikatori ir tikai programmatūras autentifikatori, kas parasti tiek iekļauti paroļu pārvaldniekos.
Neatkarīgi no tā, vai jums tas patīk vai nē, lielākajā daļā jūsu tiešsaistes kontu paroles tiks aizstātas ar drošāku akreditācijas datu veidu, kas pazīstams kā piekļuves atslēga. Kiberdrošības aprindās paroles bieži tiek apspriestas kā “kopīgi noslēpumi”. Kā darbojas paroles (sākotnējās reģistrācijas procesā un turpmākajos pieteikšanās mēģinājumos): vispirms tās ir jākopīgo ar visām izmantotajām lietotnēm un vietnēm (kopā sauktas par “atkarīgajām pusēm”). Diemžēl tādi kopīgi noslēpumi kā paroles ir izrādījušies viens no neaizsargātākajiem interneta aspektiem.
Arī: Kā darbojas piekļuves atslēgas: pilnīgs ceļvedis par jūsu neizbēgamo bezparoles nākotni
Mēs, cilvēki, esam ne tikai bēdīgi slaveni ar to, ka paļaujamies uz ļoti nedrošām un neiztēles pilnām parolēm, neskatoties uz daudzajiem pretējiem padomiem, guess arī regulāri tiekam piemānīti, lai tās kopīgotu ar hakeriem, kuri paļaujas uz manipulatīvām sociālās inženierijas paņēmieniem, piemēram, pikšķerēšanu un slaucīšanu, lai mānītu mūs ar viņiem kopīgot savas paroles.
Pēc gadu desmitiem ilgiem kompromisiem, izfiltrācijām un finansiāliem zaudējumiem, kas radušies neatbilstošas paroles higiēnas dēļ, jūs domājat, ka mēs jau būtu iemācījušies. Tomēr pat pēc visaptverošas kiberdrošības apmācības pētījumi liecina, ka 98% lietotāju joprojām ir viegli piemānīti, izpaužot savas paroles apdraudējuma dalībniekiem.
Apzinoties, ka cerība — cerība, ka lietotāji kādu dienu labos savus paroļu pārvaldības paradumus — ir veltīga stratēģija, lai mazinātu kopīgo noslēpumu negatīvās sekas, tehnoloģiju nozare sanāca kopā, lai izgudrotu jauna veida pieteikšanās akreditācijas datus. Ieejas atslēga neietver kopīgu noslēpumu, kā arī neprasa gala lietotāja disciplīnu vai iztēli. Diemžēl piekļuves atslēgas nav tik vienkārši lietojamas praksē kā paroles, tāpēc joprojām ir nepieciešama pietiekama izglītība.
Lielās idejas aiz piekļuves atslēgām
Trīs galvenās idejas aiz piekļuves atslēgām ir šādas:
- Tās nevar uzminēt (kā paroles var — un bieži vien arī ir).
- Vienu un to pašu ieejas atslēgu nevar atkārtoti izmantot dažādās vietnēs un lietotnēs (kā to var izmantot paroles).
- Jūs nedrīkstat pievilt, izpaužot savas piekļuves atslēgas ļaunprātīgiem dalībniekiem (kā to var izdarīt ar paroles).
Ieejas atslēgas joprojām ietver noslēpumu. Taču atšķirībā no parolēm lietotājiem vienkārši nav iespējas to kopīgot — ne ar likumīgām atkarīgām pusēm un jo īpaši ne ar apdraudējuma dalībniekiem. Tā vietā piekļuves atslēgas paļaujas uz standarta publiskās/privātās atslēgas kriptogrāfijas darbplūsmu, kurā lietotājiem vienkārši ir jāpierāda, ka viņiem ir noslēpums, un viņiem tas nekad nav jākopīgo. Lai uzzinātu vairāk par to, kā piekļuves atslēgas darbojas aizkulisēs, piemēram, šis, skatiet ZDNET sešu daļu sēriju par to, kā darbojas piekļuves atslēgas.
Arī: kā es varu viegli iestatīt ieejas atslēgas, izmantojot savu paroļu pārvaldnieku — un kāpēc arī jums tas jādara
Vārds “parole” patiesībā ir segvārds a Saderīgs ar FiDO2 pilnvaras. FIDO2 standartu regulē vairāki piegādātāji FiDO alianse un tehniski tas ir divu citu standartu apvienojums: World Large Internet Consortium (W3) WebAuthn specifikācija un FIDO alianse Klienta-autentifikatora protokols (CTAP). “Autentifikators”, kas ir daļa no CTAP standarta, ir šīs četru daļu sērijas priekšmets.
Saskaņā ar W3 WebAuthn standartu ir trīs veidu autentifikatori: platforma, virtuālā un viesabonēšana. Papildus jūsu pārlūkprogrammai, operētājsistēmai un atkarīgajām pusēm, kurās piesakāties, autentifikators ir ļoti svarīgs jebkurai uz ieejas atslēgu balstītai darbplūsmai. Lai gan autentifikators parasti tiek piedāvāts kā jūsu paroļu pārvaldnieka neatņemama sastāvdaļa, dažreiz tas tiek iepakots kā atsevišķs komponents
Lai gan relatīvi neliela daļa atkarīgo pušu, piemēram, Apple, Google, Microsoft, PayPal un Kayak, atbalsta piekļuves atslēgas kā pieteikšanās akreditācijas datu veidu, nav iespējams pateikt, cik ilgs laiks būs nepieciešams, lai tīmekļa vietnes un lietotnes veiktu izmaiņas.
Tāpat: jūsu piekļuves atslēgas var būt neaizsargātas pret uzbrukumiem, un ikvienam, tostarp jums, ir jārīkojas
Tomēr, tā kā šo pāreju veiks vairāk paļāvīgo pušu, lietotājiem būs jāuzlabo izpratne par piekļuves atslēgām un to, kā vislabāk sagatavoties, lai uz tām paļautos. Tāpēc ir svarīgi izprast dažādu autentifikatoru veidu lomu tipiskas piekļuves atslēgas darbplūsmas laikā (ti, ieejas atslēgas reģistrācijas ceremonijā vai uz ieejas atslēgu balstītā autentifikācijā) un to, kas jāņem vērā, izvēloties vienu vai vairākus autentifikatorus. (Jā, jūs varat strādāt ar vairāk nekā vienu.)
Šajā ZDNET četru daļu sērijas par piekļuves atslēgu autentifikatoriem trešajā daļā es apspriedīšu virtuālo autentifikatoru un to, ar ko tas atšķiras no platformas un viesabonēšanas autentifikatoriem.
“Virtuāls” ir tikai programmatūras pieeja
Lielākajā daļā situāciju, kad lietotāji strādā ar piekļuves atslēgām, guess neizmanto kādu no platformas autentifikatoriem, viņi, visticamāk, strādās ar virtuālo autentifikatoru. Tie būtībā ir BYO autentifikatori, un atšķirībā no platformas autentifikatoriem neviens no tiem nepaļaujas uz ierīces pamata drošības aparatūru jebkādiem ar piekļuves atslēgu saistītiem publiskās atslēgas kriptogrāfijas vai šifrēšanas uzdevumiem.
BYO pamatā ir šāda ideja: tā vietā, lai izmantotu autentifikatoru, kas jau ir iebūvēts jūsu ierīcē un ko lielā mērā kontrolē tās operētājsistēma (kā tas ir Apple un Microsoft platformas autentifikatoru gadījumā), jūs instalējat un konfigurējat trešās puses aizstājēju, lai pārņemtu autentifikatora un akreditācijas datu pārvaldnieka lomu.
Arī: Labākie paroļu pārvaldnieki: Eksperts pārbaudīts
Bieži saukti par paroļu pārvaldniekiem (lai gan tie pārvalda vairāk nekā paroles), tirgus pieprasījumu pēc virtuālajiem autentifikatoriem atbalsta garš piedāvājumu saraksts, tostarp, guess ne tikai, 1Password, BitWarden, Dashlane, LastPass un NordPass.
Kā ar Google Chrome? Kā Es apspriedu iepriekšGoogle Chrome atrodamās akreditācijas datu pārvaldības un autentifikācijas iespējas var uzskatīt par platformu vai virtuālu. Man ir tendence domāt par Chrome kā virtuālo autentifikatoru, jo, izņemot Android, lietotājam tas ir apzināti jāinstalē lielākajā daļā skaitļošanas ierīču.
Šīs kategorijas spēlētāji sacenšas savā starpā par funkcijām, izmaksām, konfigurējamību, atbalstītajām pārlūkprogrammām un operētājsistēmām, kā arī piemērotību atsevišķiem lietotājiem salīdzinājumā ar organizācijām. Daži, piemēram, BitWarden, piedāvā gan bezmaksas, gan maksas versijas (pēdējā parasti ir pilnīgāka ar funkcijām).
Saderība starp platformām
Lai gan platformas autentifikatori un ar tiem saistītās akreditācijas datu pārvaldības iespējas parasti piedāvā ierobežotu funkcionalitāti un konfigurējamību, trešo pušu virtuālie autentifikatori parasti nodrošina plašu lietotājam draudzīgu funkciju klāstu, kas padara tos pievilcīgākus noteiktiem lietotājiem ar īpašām vēlmēm.
Piemēram, ja daži virtuālie autentifikatori atbilst uzņēmumu un citu uzņēmumu unikālajām vajadzībām, citi var būt vairāk piemēroti personīgajiem lietotājiem. Turklāt viena no lielākajām atšķirībām starp platformu un virtuālajiem autentifikatoriem ir platformās, kuras tie atbalsta. Piemēram, Apple iCloud Keychain atbalsta Apple operētājsistēmas, un Microsoft platformas autentifikators pašlaik dod priekšroku Home windows 10 un jaunākām ierīcēm. Tomēr lielākā daļa virtuālo autentifikatoru par prioritāti piešķir gan starpplatformu, gan vairāku pārlūkprogrammu saderību. Tāda ir uzņēmējdarbības konkurences būtība.
Šo virtuālo autentifikatoru pārdevēji zina, ka viņi konkurē ne tikai ar bezmaksas platformas autentifikatoru (kas ir iebūvēti dažādās operētājsistēmās un pārlūkprogrammās). Pārdevēji arī zina, ka viņi konkurē savā starpā, pamatojoties uz atbalstītajām platformām un pārlūkprogrammām. Tā kā virtuālie autentifikatori ir dažādu paroļu pārvaldnieku neatņemama sastāvdaļa, lielākā daļa trešo pušu paroļu pārvaldnieku piedāvā pārlūkprogrammas spraudņus galvenajos pārlūkprogrammas piedāvājumos (Chrome, Edge, Firefox un Safari). Turklāt tie mēdz piedāvāt vietējās lietojumprogrammas katrai no galvenajām galddatoru un mobilajām operētājsistēmām, kā arī tīmekļa piekļuvi to funkcijām un funkcijām.
Tāpat: es atsakos no paroles piekļuves atslēgām viena iemesla dēļ — un tas nav tas, ko jūs domājat
Lūk, vēl viens veids, kā virtuālie autentifikatori atšķiras no saviem platformas līdziniekiem: sinhronizācijas iespēju pašmitināšana. Tāpat kā Apple un Microsoft izmanto savus mākoņus kā akreditācijas datu sinhronizācijas centrus, lielākā daļa virtuālo autentifikatoru piedāvā sinhronizācijas iespējas, izmantojot savus mākoņus, un daži pat ļauj klientiem aizstāt savus sinhronizācijas centrus. Šī opcija ir īpaši noderīga organizācijām, kurām ir dažāda līmeņa bažas par to, ka viņu sensitīvie dati tiek glabāti piegādātāja pārvaldītā mākonī.
Šīs sērijas pēdējā daļā es apskatīšu trešo autentifikācijas veidu: viesabonēšanas autentifikatoru.
