Sekojiet ZDNET: Pievienojiet mūs kā vēlamo avotu Google tīklā.
ZDNET galvenās atziņas
- Pieejas atslēgas tiek aizstātas ar lielāko daļu paroļu.
- Piekļuves atslēgu izmantošana ietver vairāku tehnoloģiju smalku līdzsvaru.
- Viena no šīm tehnoloģijām ir “autentifikators”, kam ir vairāki veidi.
ZDNET sešu daļu sērijā par to, kā darbojas piekļuves atslēgas un kāpēc bezparoles tehnoloģija nodrošina ievērojami drošāku pieteikšanās akreditācijas datus nekā parastie lietotājvārdi un paroles, es izlēju daudz digitālās tinti par autentifikatora īpašo lomu.
Arī: Kā darbojas piekļuves atslēgas: pilnīgs ceļvedis par jūsu neizbēgamo bezparoles nākotni
Katru reizi, kad reģistrējaties vai izmantojat ieejas atslēgu, jūs parasti saskaraties ar četrām gandrīz neatkarīgām entītijām, kuras, izmantojot dažus salīdzinoši jaunus standartus, ir integrētas viena ar otru, lai nodrošinātu pilnīgu piekļuves atslēgu lietotāja pieredzi.
Kas ir piekļuves atslēgas autentifikators?
Pirmā no šīm entītijām ir autentifikators — nevis Google autentifikators vai Microsoft autentifikators; drīzāk tā parasti ir jūsu paroļu pārvaldnieka neatņemama sastāvdaļa. Faktiski, ņemot vērā to, cik lielā mērā autentifikatori parasti ir iebūvēti paroļu pārvaldniekos, frāze “autentifikators” bieži tiek izlaista diskusijās par akreditācijas datu pārvaldību. Tomēr, tā kā autentifikatori var pastāvēt arī kā atsevišķi komponenti (atsevišķi no jebkādām paroļu pārvaldības iespējām), ir lietderīgi apsvērt to unikālo lomu kā neatkarīgiem dalībniekiem jebkurā piekļuves atslēgas darbplūsmā.
Nākamā no četrām entītijām ir vietne/lietotne (pazīstama arī kā “atkarīgā puse”), ko pārstāv servera puses komponenti, kas apstrādā galalietotāju autentifikācijas pieprasījumus. Pārējās divas entītijas ir operētājsistēma un tīmekļa pārlūkprogramma, kas atrodas ierīcē, ar kuru lietotājs strādā brīdī, kad tiek sākta ar ieejas atslēgu saistīta darbplūsma. No četrām entītijām autentifikatora loma, iespējams, visvairāk mulsina lietotājus, taču tā ir arī stratēģiskākā, gatavojoties nākotnei bez paroles, kas mūs sagaida.
Passkeys: jo mēs paši esam paši ļaunākie ienaidnieki
Ieejas atslēgas nonāk daudzās jūsu izmantotajās vietnēs un lietojumprogrammās. Lai cik sāpīga šī pāreja būtu daudziem lietotājiem un organizācijām, tā nevar notikt pietiekami ātri. Paiet tik tikko diena, ja galvenajos plašsaziņas līdzekļos nav neviena virsraksta par kādu jaunu pārkāpumu, kas apdraudēja desmitiem vai simtiem tūkstošu klientu vai pacientu ierakstu.
Lai gan iemesls tiek izpausts reti, lielākā daļa šo iefiltrēšanās gadījumu parasti sākas, kad skartās organizācijas darbinieks vai darbuzņēmējs ir veiksmīgi sociāli izstrādāts, lai atklātu savus korporatīvās lietojumprogrammas pieteikšanās akreditācijas datus. Šim vājprātam ir jābeidzas. Un, tā kā pētījumi liecina, ka 98% lietotāju turpina pievilt savus aizsargus pat pēc kiberdrošības apmācības pabeigšanas, piekļuves atslēgas pašlaik ir visdaudzsološākā pieejamā aizsardzība.
Tāpat: pikšķerēšanas apmācība neliedz darbiniekiem noklikšķināt uz krāpnieciskām saitēm — lūk, kāpēc
Diemžēl lielākā daļa SaaS lietotņu nedara pietiekami daudz, lai atradinātu klientus no parolēm par labu piekļuves atslēgām. Dažos gadījumos, kad pāreja ir gadā piekļuves atslēgas aizstās tradicionālos lietotājvārdus un paroles. Citos gadījumos piekļuves atslēgas pastāvēs kā alternatīva parolēm. Jebkurā gadījumā, tiklīdz dažas atkarīgās puses, ar kurām strādājat, sāks veikt šo pāreju, jums neatliks nekas cits, kā paļauties uz vienu vai vairākiem autentifikatoriem, kas apstrādās jūsu uz ieejas atslēgu balstītos pieteikšanās datus.
Atšķirībā no lietotāju ID un parolēm piekļuves atslēgu nevar izsaukt no atmiņas un manuāli ievadīt no tastatūras. Tā vietā jūsu izvēlētais autentifikators automātiski parūpēsies par to jūsu vietā. Šī iemesla dēļ ir vērts veltīt laiku, lai izprastu trīs jums pieejamos oficiālos piekļuves atslēgu autentifikatoru veidus, lietošanas gadījumus, uz kuriem attiecas katrs veids, un to, kā sazināties ar autentifikatoriem, sākot gatavoties bezparoles ceļojumam.
Labā ziņa ir tā, ka neviena autentifikācijas izvēle, ko veicat šodien, nav cirsta akmenī. Jūs vienmēr varat pārslēgties. Sliktās ziņas? Jo tālāk jūs ejat ar šodien izvēlēto autentifikatoru(-iem) (jā, jūs varat un varētu izlemt vienlaikus strādāt ar vairākiem autentifikatoriem), jo grūtāk būs pāriet uz to nākotnē.
Šīs jaunās sērijas mērķis ir palīdzēt jums izdarīt labākās izvēles šodien, lai jūs rīt izvairītos no sāpīgas migrācijas.
Autentifikatora terminoloģija: piekļuves atslēgu neskaidrības avots
Piekļuves atslēgu izgudrojumu mums daļēji atnesa FIDO alianse. Faktiski viens no FIDO alianses dalībniekiem — Apple — pieminēja frāzi “parole” kā draudzīgu FIDO segvārdu. FIDO2 specifikācijakas pati par sevi ir divu citu standartu kombinācija: World Broad Net konsorcija WebAuthn specifikācija bezparoles autentifikācijai tīmeklī un FIDO klienta-autentifikatora protokols (CTAP).
“Autentifikators” frāzē “klients-autentifikators” attiecas uz to pašu autentifikatoru, kas aplūkots šajā rakstā. Klients vairumā gadījumu ir jūsu tīmekļa pārlūkprogramma vai līdzvērtīgs ierīces operētājsistēmas komponents ienākošās un izejošās tīmekļa trafika apstrādei.
Tāpat: es atsakos no paroles piekļuves atslēgām viena iemesla dēļ — un tas nav tas, ko jūs domājat
Kopš Apple pirmo reizi iepazīstināja ar termiņš “passkey” savā 2021. gada Vispasaules izstrādātāju konferencē, pārējā nozare to ir pieņēmusi. Diemžēl tas varētu būt bijis piekļuves atslēgas mārketinga maksimums. Mūsdienu mulsinošie paroles vārdu salāti ir kļuvuši par sabiedrisko attiecību problēmu citādi ļoti daudzsološai tehnoloģijai.
Piemēram, kā minēts iepriekš, divi citi ievērojami FIDO alianses dalībnieki — Google un Microsoft — katrs piedāvā lietojumprogrammu ar nosaukumu “Autentifikators”. Google gadījumā Google autentifikators ir ļoti līdzīgs Symantec VIP jo tas ir paredzēts vienreizēju piekļuves kodu (TOTP) ģenerēšanai, lai tos izmantotu kā otros autentifikācijas faktorus (parasti tādus, kas ir saistīti ar lietotāju ID un parolēm).
Microsoft autentifikators atbalsta arī TOTP un līdz 2025. gada jūlijam darbojās kā akreditācijas datu pārvaldnieks, kas spēj pārvaldīt un automātiski aizpildīt lietotājvārdus, paroles un piekļuves atslēgas. Tad tā noņēma Autentifikatoru lietotājvārda un paroles automātiskās aizpildīšanas iespējas, vienlaikus saglabājot atbalstu TOTP un ierobežota veida piekļuves atslēgu; ar ierīci saistītā piekļuves atslēga (pārrunāts vēlāk šajā sērijā). Microsoft visaptverošo lietotāja ID un paroļu automātiskās aizpildes atbalstu tagad var atrast uzņēmuma Edge pārlūkprogrammā, nevis Microsoft Authenticator.
Autentifikatoru veidi: platforma, virtuālais un viesabonēšana
Ierīcēs, kurās darbojas operētājsistēma Home windows 10 un jaunāka versija, Microsoft pašlaik piedāvā atbalstu piekļuves atslēgām, izmantojot operētājsistēmu, pārlūkprogrammu Edge un uzticamās platformas moduli (TPM); pēdējais ir drošs aparatūras parts, kas kalpo kā unikāla kriptogrāfiska uzticamības sakne visiem mūsdienu datoriem, kuros darbojas operētājsistēma Home windows. Ņemot vērā, ka piekļuves atslēgas atbalsts ir iebūvēts operētājsistēmā, Microsoft piekļuves atslēgas tehnoloģija tiek uzskatīta par platformas autentifikatoru, kas pēc būtības ir līdzīgs Apple iCloud Keychain.
Tāpat: katrā paroļu pārvaldniekā ir virtuāls piekļuves atslēgas autentifikators — lūk, kāpēc tas ir svarīgi
Tikmēr pastāv ar ieejas atslēgu saderīgu autentifikatoru klase, ko es dēvēju par BYO autentifikatoriem. WebAuthn standarts tos oficiāli apzīmē kā “virtuālie autentifikatoriTie galvenokārt sastāv no trešo pušu piedāvājumiem no 1Password, Bitwarden, LastPass, NordPass un citiem, kas neparastā pašizraisītas netaisnības veidā sevi dēvē par “paroļu pārvaldniekiem”. Taču papildus lietotājvārda/paroles tipa akreditācijas datu atbalstam tie atbalsta arī paroles, kas nav pretstatītas. Tikai paroļu pārvaldnieki.
No trim dažādiem piekļuves atslēgu autentifikatoru veidiem Yubico Yubikey 5C NFC tiek uzskatīts par viesabonēšanas autentifikatoru.
Yubico
Ir arī cita veida piekļuves atslēgu autentifikators — viesabonēšanas autentifikators — to parasti dēvē par drošības atslēgu. Taču drošības atslēga nav piekļuves atslēga. Drošības atslēgas, piemēram Yubico’s YubiKey un Google Titāns ir fiziskas ierīces, kuras varat nēsāt kabatā. Tie var darboties gan kā piekļuves atslēgu autentifikatori, gan papildu fiziskie faktori (faktors “kas jums ir”) autentifikācijai bez piekļuves atslēgas. Tomēr, lai gan YubiKey atbalsta TOTP (un uz hash balstītas OTP), Google patiešām atstāj OTP koncertu savai iepriekšminētajai lietotnei Authenticator. (Nedaudz uzlauzta mūsu māsas vietne PCMag.com piezīmes, ko lietotāji var iegūt TOTP un HOTP atbalsts no Google Titan izmantojot Yubico lietotni, kas parasti ir savienota pārī ar YubiKey!)
Arī: labākās drošības atslēgas: ekspertu pārbaudīts
Šīs mulsinošās atšķirības starp visiem autentifikatoru veidiem un izvēlēm nevajadzētu uztvert viegli. Izpratne par tehniskajām niansēm ļaus jums gūt panākumus ilgtermiņā.
Trīs galvenie piekļuves atslēgu autentifikatoru veidi — platforma, virtuālais un viesabonēšana — galvenokārt ir definēti WebAuthn standartā, uz kura daļēji balstās piekļuves atslēgas (pazīstams arī kā “FIDO2 akreditācijas dati”). Nākamajās trīs ZDNET rokasgrāmatas par piekļuves atslēgu autentifikatoriem daļās ir aprakstīti attiecīgi šie trīs autentifikatoru veidi.
