Clau per emportar
- iCloud Passkey elimina les contrasenyes i fa que els inicis de sessió siguin molt més segurs.
- WebAuthn és un estàndard de navegador per a l'autenticació sense contrasenya.
- Tant WebAuthn com iCloud Passkey utilitzen criptografia de clau pública per fer l'acció.
Amb iCloud Passkey, Apple està a punt de deixar la contrasenya obsoleta. Finalment.
Les contrasenyes són un gran problema. Les contrasenyes febles o robades estan darrere de més del 80% de les infraccions de pirateria, i la gent és terrible a l'hora de gestionar les contrasenyes. O els oblidem, utilitzem el nom dels nostres gossos o nens, o fem servir la mateixa contrasenya per a tot. Els gestors de contrasenyes com NordPass o iCloud Keychain poden ajudar, però una contrasenya encara és fonamentalment insegura. Les claus d'accés a iCloud Keychain i el nou WebAuthn estàndard volen solucionar-ho, però realment podran substituir la contrasenya?
"Si Apple implementa això com a estàndard als seus dispositius, milions de persones s'hi acostumaran i altres gegants tecnològics com Google ho seguiran", va dir Christen Costa, director general de Gadget Review, a Lifewire per correu electrònic.
Claus públiques
El problema amb una contrasenya és que s'ha de mantenir en secret, però també s'ha de compartir. Les claus de pas d'iCloud utilitzen una cosa anomenada Criptografia de clau pública. Aquesta consta de dues claus. La clau pública només pot bloquejar coses, de manera que és segur compartir-les; la clau privada pot bloquejar i desbloquejar dades, i mai abandona el dispositiu.
Quan us registreu a un lloc web o servei mitjançant les claus d'iCloud o WebAuthn, es genera un nou parell de claus i la clau pública es comparteix amb el servei, substituint la contrasenya. El problema és que haureu d'utilitzar un dels vostres propis dispositius per iniciar la sessió, però a la pràctica, això rarament serà un problema i els avantatges de seguretat són enormes. I si ja utilitzeu un gestor de contrasenyes i una autenticació de dos factors, ja esteu en un dispositiu que executa la vostra aplicació de gestor de contrasenyes.
Un altre problema, però, és que si un atacant s'apodera del vostre dispositiu i pot accedir-hi, totes les apostes estan desactivades. Tanmateix, els dispositius iOS i Mac moderns són molt difícils de trencar, i robar un telèfon és molt més esforç que enviar correus electrònics de pesca.
Les claus de contrasenya al clauer d'iCloud són fàcils
L'ús de claus d'accés a l'iCloud Keychain és senzill. Quan us registreu per obtenir un compte d'usuari nou en un lloc web, introduïu una adreça de correu electrònic i el vostre iPhone us demanarà que confirmeu que esteu creant un compte. Això és. La clau d'accés nova s'emmagatzema al teu clauer i el lloc web emmagatzema la part pública.
La gran diferència és que la clau pública està dissenyada per ser pública. No cal amagar-lo ni mantenir-lo en secret. Si el lloc web és piratejat, robar totes aquestes claus públiques no té sentit, perquè no faran res. Aquelles violacions massives de contrasenyes que llegiu cada poques setmanes? Seran cosa del passat.
"Si examinem com funcionen les contrasenyes avui en dia, primer introduïu la vostra contrasenya, després normalment s'oculta a través d'alguna cosa com hash més salat, i el hash salat resultant s'envia al servidor", diu Garrett Davidson d'Apple en una WWDC. sessió anomenada "Mou més enllà de les contrasenyes". "Ara, tant vos altres com el servidor teniu una còpia del secret, tot i que la còpia del servidor està ofuscada, i tots dos sou igualment responsables de protegir aquest secret."
Què passa amb el vostre gestor de contrasenyes?
Aquesta tecnologia pot semblar que significa perjudici per a les aplicacions de gestor de contrasenyes, però no fa gaire diferència. La majoria dels usuaris ja confien en el gestor de contrasenyes d'iCloud integrat.
Els usuaris avançats, el tipus de gent a qui els agraden les funcions addicionals i que estan desvinculant les seves contrasenyes del seu ID d'Apple, seguiran utilitzant aplicacions autònomes.
Si Apple implementa això com a estàndard als seus dispositius, milions de persones s'hi acostumaran i altres gegants tecnològics com Google ho seguiran.
"Ningú vol més competidors, però aquestes solucions integrades no són l'objectiu principal del navegador", diu l'expert en seguretat de Nordpass, Chad Hammond. "Per tant, no resolen els mateixos problemes globals que fan els gestors de contrasenyes. La funció principal d'un navegador és donar accés a la informació a l'usuari, i un gestor de contrasenyes és només una de les moltes funcions que ofereix. En gestors de contrasenyes dedicats., és la característica principal."
D' altra banda, l'abast d'Apple pot posar aquesta nova tecnologia d'autenticació en moltes mans, la qual cosa és una victòria per a tothom. Els pagaments sense contacte existien abans d'Apple Pay, però només van sorgir als EUA després que Apple l'afegís a l'iPhone. Les contrasenyes no desapareixeran aviat, però per fi tenim una alternativa que és inherentment segura, fàcil d'utilitzar i que no et permet utilitzar el nom del teu gos. De nou.