Autor: Kelvin Chan
Ako vas zamara pamćenje lozinki, pokušajte sa pristupnim ključevima.
Možda ste primetili da mnoge usluge na mreži sada nude opciju korišćenja pristupnih ključeva (engl. passkey), metoda digitalne autentifikacije koji se reklamira kao lakši i bezbedniji način za prijavljivanje. Zamah pristupnih ključeva je krenuo nakon što je Google počeo da ih prihvata pre oko 18 meseci.
Pristupni ključevi se doživljavaju kao eventualne zamene za lozinke, ali ako još uvek niste sigurni o čemu se radi, čitajte dalje:
Šta su pristupni ključevi? I kako oni rade?
Zaboravite na pamćenje optimizovane lozinke od 14 znakova koja se sastoji od slova, brojeva i simbola. Pristupni ključevi ukidaju to jer uopšte ne morate da ih vidite. Umesto toga, za pristup svojim nalozima koristite postojeće biometrijske podatke kao što su vaše lice ili otisci prstiju, digitalni obrasci ili PIN-ovi.
Pristupni ključevi se sastoje od dva dela koda koji imaju smisla samo u kombinaciji, kao neki digitalni ključ i katanac. Polovinu šifrovanog koda, obično čuvate uskladištenog u oblaku sa kompatibilnim menadžerom lozinki ili na fizičkom bezbednosnom ključu. Druga polovina se čuva u aplikacijama, uslugama ili nalozima kojima želite da pristupite.
Kada želite, na primer, da se prijavite na svoj Gmail nalog, oba dela koda će direktno komunicirati jedan sa drugim i odobriti vam ulazak.
Da li nude bolju bezbednost?
Pristupni ključ neće raditi ni sa jednom veb lokacijom osim sa onom za koju je kreiran, eliminišući bezbednosne rizike povezane sa tradicionalnim lozinkama.
To znači da varalice koji vrše phishing prevare neće moći da vas navedu da unesete svoje podatke na kopiju stranice za prijavu vaše banke. A pošto pristupni ključevi koriste kriptografsku bezbednost, oni takođe ne mogu da uđu grubom silom u vaš nalog isprobavanjem lozinki otkrivenih u prethodnim napadima na podatke ili pogađanjem.
Gde možete da koristite pristupne ključeve?
Oko 20% od 100 najboljih svetskih veb lokacija sada prihvata pristupne ključeve, kaže Andrew Shikiar, izvršni direktor alijanse FIDO, industrijske grupe koja je razvila osnovnu tehnologiju autentifikacije koja stoji iza pristupnih ključeva.
Pristupni ključevi su prvi put privukli pažnju javnosti kada je Apple dodao tu tehnologiju iOS-u 2022. Dobili su veću privlačnost nakon što je Google počeo da ih koristi 2023. Sada mnoge druge kompanije uključujući PayPal, Amazon, Microsoft i eBay rade sa pristupnim ključevima. Postoji lista na sajtu FIDO Alijanse.
Ipak, neke popularne veb lokacije kao što su Facebook i Netflix još nisu počele da ih koriste.
Tehnologija pristupnih ključeva je još uvek u fazi „ranog usvajanja“, ali „samo je pitanje vremena da sve više sajtova počne da ih nudi“, rekao je Shikiar.
Kako podesiti pristupni ključ
Pokušao sam da postavim pristupne ključeve za neke od glavnih onlajn usluga koje koristim. Za neke je bilo prilično lako, ali za druge zbunjujuće. Shikiar kaže da njegova grupa stalno radi na načinima da poboljša korisničko iskustvo.
Korisnici Google-a mogu da odu na myaccount.google.com i u odeljku „How to sign in to Google“ kliknu na „Passkeys and security keys“. Kada se stigne do ekrana za podešavanje, dobije se upit za kreiranje pristupnog ključa, a istovremeno iskoči dodatak za pregledač vašeg menadžera lozinki koji nudi da ga sačuvate. Kliknete da potvrdite i rad na podešavanju je automatski obavljen.
Do sada je bilo prilično lako.
Zatim sam pokušao da dodam još Google pristupnih ključeva na svoj Windows radni laptop i jedan Yubico fizički bezbednosni ključ. Ovog puta, kada sam došao do ekrana za podešavanje Google-a, tražio je moj postojeći pristupni ključ da potvrdi moj identitet. Ali onda nekako nije uspelo da se autentifikuje preko mog menadžera lozinki.
Pokušao sam ponovo koristeći druge metode verifikacije, uključujući moju aplikaciju Google autentifikator koju sam već imao na svom iPhone-u, i na kraju je uspelo.
Dodavanje više pristupnih ključeva za moj Microsoft nalog – jedan na moj menadžer lozinki, drugi na moj Yubico ključ – uključivalo je promišljanje oko nekoliko upita, ali sam na kraju to shvatio.
Postavljanje pristupnih ključeva na LinkedIn-u i Amazonu bilo je mnogo lakše. A kada sam pokušao da dodam pristupni ključ svom WhatsApp nalogu, otkrio sam da sam ga, očigledno, već kreirao mesec dana ranije kada sam aktivirao funkciju zaključavanja aplikacije koja zahteva skeniranje otiska prsta.
Prijavljivanje
Jednom postavljeno, bilo je lako prijaviti se na neke od mojih naloga sa samo jednim ili dva klika. Ali došlo je do nekih trzavica sa mojim PayPal nalogom jer njegovi pristupni ključevi ne rade u nekim pretraživačima, kao što je Firefox.
Kada sam pokušao da se prijavim sa svojim Amazon pristupnim ključem, tražio je jednokratni verifikacioni kôd iz moje aplikacije za autentifikaciju, što me je zbunilo jer sam mislio da pristupni ključevi treba da eliminišu potrebu za višefaktorskom autentifikacijom.
Shikiar je rekao da to zavisi od sajta, ali, u teoriji, pristupni ključ već ima dovoljno ugrađene zaštite.
„Kada se primarni faktor ne može phiširati, drugi faktori nisu potrebni“, rekao je on.
Šta se dešava ako izgubim pristupni ključ?
Ako ste izgubili uređaj koji sadrži vaš pristupni ključ, to ne mora da znači da ga više nema. To je zato što je na telefonima tipičan metod za čuvanje pristupnih ključeva menadžer lozinki zasnovan na oblaku od Apple-a, Google-a ili drugih provajdera. Zato se samo ponovo prijavite u menadžer lozinki sa drugog telefona ili računara.
S druge strane, pristupni ključevi uskladišteni na hardverskim ključevima nisu sinhronizovani sa oblakom, tako da nema načina da ih povratite ako ih izgubite. Bilo bi dobro da nabavite drugi hardverski ključ i sačuvate ga kao rezervnu kopiju.
I ne zaboravite da uvek možete da kombinujete metode u oblaku i hardverske metode da biste zadržali više pristupnih ključeva za dodatnu redundantnost.
Da li treba da dodam pristupne ključeve svim svojim nalozima?
Na osnovu mog iskustva, postavljanje pristupnog ključa može biti lako, ili zamorno i zbunjujuće, u zavisnosti od usluge i koju drugu bezbednosnu tehnologiju želite da ugradite.
Tako da ne bih preporučio da odmah promenite sve svoje naloge.
Umesto toga, izaberite nekoliko svojih najvažnijih i najčešće korišćenih usluga ili naloga i fokusirajte se na odgovarajuće podešavanje za njih.
A šta sa lozinkama?
U teoriji, možete izbrisati svoje stare lozinke. Neke usluge kao što je Microsoft već nude ovu opciju. Shikiar kaže da bi to trebalo da bude „lična odluka“, jer „neki ljudi mogu da se osećaju izuzetno nervozno“ zbog toga što nemaju lozinku.
U redu je zadržati lozinku, ali se pobrinite da za nju bude podešena i višefaktorska autentifikacija, rekao je on.
Izvor: TechXplore