Trenutačno postoji jedan primarni način na koji osiguravamo online pristup: korisničko ime i lozinka. Međutim, čak i ako napravimo dugu, kompliciranu i složenu lozinku, još uvijek ostaje jedna ključna slabost u ovoj sigurnosnoj postavci - korisnik.
Milijuni su već bili žrtve phishing stranica, društvenog inženjeringa i drugih oblika napada koji ugrožavaju lozinke. Zato Apple želi ukloniti lozinku i zamijeniti je pristupnim ključevima.
Dakle, kako Apple pristupne šifre rješavaju problem lozinke?
Što je standard web autentifikacije (WebAuthn)?
Ovaj standard objavio je World Wide Web Consortium (W3C), organizacija posvećena izradi protokola i smjernica za dugoročni web razvoj. Razvijanjem ove nove tehnologije autentifikacije, grupa se nada smanjiti naše oslanjanje na lozinke kao primarni ili jedini način zaštite naših podataka.
Apple je također član W3C-a i oni uključuju standard WebAuthn u Appleove zaporke. Ova značajka također radi s iCloud Keychain, tako da osobe koje već koriste ovu uslugu ne moraju migrirati svoj sustav.
Implementacijom WebAuthn API-ja, web programeri i proizvođači uređaja osiguravaju autentifikaciju koja će raditi na različitim sustavima. Dakle, bez obzira koristite li Android, iOS, Mac ili Windows, ovaj sustav bez lozinke trebao bi raditi.
Kako vas Apple zaporke štite?
Većina nas se u nekom trenutku oslanjala na korisničko ime i lozinke. Vjerojatno to još uvijek znate. No lozinke se lako mogu hakirati, pogotovo ako korisnik nema sigurnu lozinku ili ako je žrtva društvenog inženjeringa.
Tradicionalna kombinacija korisničkog imena i lozinke također znači da su ove informacije pohranjene online. Dakle, ako usluga koju koristite, poput Twitcha na primjer, bude hakirana, napad ugrožava podatke i više. Ako ponovno koristite svoje korisničko ime i zaporku, što mnogi čine, ali mi savjetujemo da to ne učinite, vaši drugi računi također su u opasnosti.
Autentikacija u dva faktora (2FA) je razvijen za rješavanje ovog problema. Dodavanjem još jednog sloja sigurnosti, korisnici pomažu spriječiti neovlašteni pristup svojim računima.
Iako je ova tehnologija dramatično povećala sigurnost, posebice protiv napada brutalnom silom, mnogi su korisnici još uvijek žrtve napadi socijalnog inženjeringa. I dok korisnici koji poznaju tehnologiju mogu lako uočiti napade, oni koji nisu toliko upoznati možda neće moći uočiti znakove napada kao što su phishing prijevare.
Apple pristupne šifre imaju za cilj riješiti ovaj problem potpunim uklanjanjem lozinke. Prilikom prijave na internetsku uslugu više ne morate upisivati svoje korisničko ime i lozinku. Umjesto toga, samo trebate koristiti biometrijske sigurnosne značajke svog uređaja, kao što su FaceID ili TouchID.
Usluga također nije ograničena samo na vaš Apple uređaj. Zaporke možete koristiti na svom Windows računalu ili Android tabletu. Sve dok pristupate web stranici koja implementira WebAuthn API, možete koristiti biometrijske značajke svog Apple uređaja za prijavu na svoj račun, čak i ako mu pristupate u gadgetu koji nije Appleov. To je kao da koristite svoj Apple uređaj kao univerzalni ključ koji može otvoriti bilo koja digitalna vrata.
Kako funkcioniraju Appleove lozinke?
Umjesto čuvanja korisničkog imena i lozinke zajedno na mreži, Apple zaporke koristiti asimetričnu enkripciju. Prema Appleova stranica sigurnosne podrške za zaporke:
Tijekom registracije računa, operativni sustav stvara jedinstveni par kriptografskih ključeva koji se povezuje s računom za aplikaciju ili web mjesto. Ove ključeve generira uređaj, sigurno i jedinstveno, za svaki račun.
Jedan od tih ključeva je javan i pohranjen je na poslužitelju. Ovaj javni ključ nije tajna. Drugi ključ je privatan i potreban je za prijavu. Poslužitelj nikada ne sazna što je privatni ključ. Na Apple uređajima s dostupnim Touch ID-om ili Face ID-om, oni se mogu koristiti za autorizaciju upotrebe pristupnog ključa, koji zatim autentificira korisnika u aplikaciji ili na web mjestu. Ne prenosi se dijeljena tajna, a poslužitelj ne treba štititi javni ključ.
Kada koristite korisničko ime i lozinku, poslužitelj drži bravu (vaše korisničko ime) i ključ (vašu lozinku). Da biste otvorili bravu, morate pokazati poslužitelju da imate sličan ključ i on vam otvara vrata.
Ali s Appleovim pristupnim ključevima, poslužitelj nikada neće zadržati ključ. Umjesto toga, predaje vam bravu, a vi je sami otključavate. A budući da će vam poslužitelj predati zaključavanje samo ako ga fizički ima (tj. vaši su podaci zapravo pohranjeni na njegovom poslužitelju), krađa identiteta postat će neučinkoviti jer nemaju bravu (tj. ne mogu tražiti ključ jer će ga Appleovi pristupni ključevi otpustiti samo ako dostave važeći brava).
Uz ovaj sustav, samo valjani entitet može tražiti zaporku, osiguravajući da je manja vjerojatnost da će korisnici postati žrtve krađe identiteta i drugih napada društvenog inženjeringa. Također je puno praktičniji jer korisnici više ne moraju pamtiti bezbroj vjerodajnica za prijavu. Sve što trebaju je da budu prijavljeni na svoj Apple ID zaštićen 2FA tehnologijom.
Još jedan primjer sustava bez lozinke
Iako bi Apple mogao biti prvi koji je učinkovito uklopljen u OS za pametne telefone, nije prva tvrtka koja je implementirala sustave bez lozinke. Ako imate Microsoftov račun, vjerojatno ste se susreli s ovom tehnologijom.
Ako ste postavili prijave bez lozinke s vašim Microsoft računom, možete se prijaviti pomoću aplikacije Microsoft Authenticator—nije potrebno korisničko ime i lozinka. Iako je primarno dostupan u pregledniku Microsoft Edge, također možete koristiti Windows Hello ili sigurnost ključ za korištenje aplikacije Microsoft Authenticator za prijavu na vaš Microsoft račun na drugim preglednicima poput Googlea Krom.
Opraštate se od lozinki?
Iako su korisnička imena i lozinke štitile korisnike veći dio 60 godina, možda i jesu bliži se kraju života zahvaljujući boljim sigurnosnim sustavima drugdje, koji su lakši za korištenje isto. Kako se prijavljujemo za sve više i više usluga, ideja pamćenja desetaka, ako ne i stotina kombinacija korisničkog imena i lozinke može biti zastrašujuća.
Hakeri također postaju sve sofisticiraniji, dopuštajući im da ugroze podatke čak i uz poboljšanu sigurnost. I premda je autentifikacija s više faktora donekle povećala sigurnost tradicionalnih vjerodajnica za prijavu, još uvijek ostavlja korisnika kao značajnu ranjivost.
Pomoću zaporki možemo prijeći s korisničkog imena i zaporke u sigurniju budućnost. A kako se nove tehnologije poput kvantnog računalstva razvijaju i puštaju na tržište, tradicionalna kombinacija korisničkog imena i lozinke riskira da preko noći postane zastarjela.