A Google és más cégek együttműködtek a FIDO Szövetséggel, hogy megváltoztassák az online biztonság működését egy olyan koncepció segítségével, amelyet Passkey. Ez egy nagyszerű ötlet néhány hibával, amelyek azt jelentik, hogy a Google-nak nem igazán kellene ezt mindenki elé terjesztenie.
A jelszók két kritikus elemet használnak: Speciális hardver már a legtöbben belül van legjobb Android telefonok és kriptográfiai szoftver, amely megfelel az összes előírásnak, így az úgynevezett FIDO-hitelesítő adat.
A telefon beállításakor egy egyedi kulcs jön létre, amelyet a telefon biztonságos enklávéjában tárol. Ezt az azonosítót a rendszer a FIDO szabványok hitelesítő adatok készletének létrehozásához, amelyeket át lehet adni bármely olyan eszköznek, amely kommunikál a telefonjával, vagy bármely olyan szoftverrel, amely az eszközön fut, például a webböngészőnek vagy egy alkalmazásnak.
Miután mindent beállított, csak fel kell oldania a telefon zárolását, hogy megadja ezeket a biztonságos hitelesítő adatokat.
Nem ad meg semmilyen információt, amely alapján azonosítani lehetne, de minden hitelesítő adatkészlet egyedi. Az egyetlen online összetevő a felhőben tárolt biztonsági mentési kulcs, amely segít a fiókok helyreállításában.
Leegyszerűsítve ez azt jelenti, hogy a telefon tárolni fog egy kulcsot. Ha olyan online fiókhoz szeretne hozzáférni, amely jelszóval működik, feloldja telefonját, és a kulcs bizonyítja, hogy Ön valóban Ön.
Szeretem ezt a jövőt, ahol jelszavak és felhasználónevek nem igazán léteznek. Nem annyira, mint az Apple és a Google, akik tudják, hogy szinte kompatibilis telefonnal kell rendelkeznie a használatához és csak két valódi választás létezik – iOS és Android –, de szerintem ez egy lépés a jobb oldalon irány.
Ennek ellenére nem javaslom, hogy azonnal kapcsolja be, amint megjelenik egy felszólítás, vagy e-mailt kap a Google-tól. Csak még nincs teljesen kész.
Maga a beépítési folyamat egy kicsit félkész. Néhány kollégám itt az Android Centralnál félig sikeresen átgázolt rajta, és miután babráltak egy QR-kódot, amely egy telefont, és arra kérték, hogy olvassa be ugyanazzal a telefonnal, olyan URL-eket, amelyek hibásak, és nem csinálnak semmit, amikor rájuk koppint, és azt mondják hogy a USB biztonsági kulcs be kellett illeszteni annak ellenére, hogy soha nem állítottak be, mindannyian ugyanarra a következtetésre jutottunk – ez nem áll készen a főműsoridőre.
Ez nem jelenti azt, hogy nem lehet, vagy nem lesz kész a jövőben. Ezt már láttuk a Google-tól – siettess ki egy olyan funkciót, amely előtt még rengeteg csiszolásra van szükség Ön több milliárd felhasználónak adja át – és azt láttuk, hogy a Google gyorsan megfordította, és így működik szándékolt. Ez azt jelenti, hogy jelenleg nagyon rossz élmény lehet fiókjának beállítása jelszóval.
Bár nem ez az igazi probléma, legalábbis szerintem. A problémám az, hogy egy fizikai eszközhöz van kötve, amelynek kéznél kell lennie, ha online szolgáltatást szeretne használni.
Ennek az eszköznek nem kell telefonnak lennie. Használhat fizikai biztonsági kulcsot, viselhető kulcsot vagy bármit, amely megfelelő hardver- és szoftvertámogatással működik hitelesítőként. És ez jól működik – én a FIDO-kompatibilis USB kulcs kétfaktoros hitelesítési módszerként a fiókjaim eléréséhez. Azt is tudom, hogy van egy egyszerű biztonsági megoldásom azokra az időkre, amikor nincs nálam a kulcsom, mint ma, amikor nem vagyok otthon az irodámban. A Google Authenticator vagy akár az SMS is életmentő lehet.
A legtöbb ember azonban jelszóként fogja használni a telefonját. Neked már megvan, sok pénzt költöttél rá, és a cég, akitől vásároltad, elmondta, mennyire biztonságos minden. Emellett a Google megkönnyíti a telefon használatát, mert azt szeretné, ha még jobban támaszkodhatna telefonjára.
Tedd fel azonban magadnak a kérdést, hogy elveszítheti-e valaha a telefonját? Ott a dolgok nem olyan egyszerűek.
Elméletileg csak annyit kell tennie, hogy újra engedélyezze a biztonságos kulcsot, hogy bejelentkezzen Google-fiókjába egy új telefonnal. Azt hiszem, még a "jelszó nélküli jövőnek" is szüksége lesz egy jelszóra. Bár ezt nem tudtam tesztelni, azt mondom, hogy valószínűleg úgy működik, ahogy tervezték, mert ez a legkevésbé bonyolult alkatrész a rendszerről – készítsen biztonsági másolatot a fontos, de önmagában haszontalan részről a felhőben, hogy visszakeresse, ha szüksége van rá. azt.
Remélhetőleg nem vagy az kizárva a Google-fiókjából és meg tudja emlékezni a tényleges jelszót, amelyről azt mondták, hogy már nincs szüksége rá, és lehetősége van SMS-t kapni a Google-tól, vagy bejelentkezni egy hitelesítő alkalmazás. Mindezt telefon nélkül a kezedben. Segítsen az Úr, ha ellopták a telefonját, és valaki túl sokszor próbált bejutni a fiókjába.
Ezek valódi problémák, amelyekről nap mint nap hallunk. Már az is borzasztó, hogy nem tudok segíteni valakinek abban, hogy visszajusson a fiókjába, ahol több év fényképét tárolják. Egy rémálom, hogy a Netflixtől a bankjukig elérhetetlen dolgokhoz való bejelentkezési adataik elérhetetlenek, miközben minden megoldódik.
Hamarosan mindannyian belépőkulcsokat fogunk használni, mert nem lesz más választásunk. Mielőtt ez megtörténne, remélem, valaki gondolkodik a rendszer felhasználóbarátabbá tételén.