גוגל וחברות אחרות עבדו עם ברית FIDO כדי לשנות את אופן פעולת האבטחה המקוונת באמצעות מושג שהם מכנים מפתח סיסמה. זה רעיון נהדר עם כמה פגמים שמשמעותם שזה לא באמת משהו שגוגל צריכה לדחוף לכולם.
מפתחות סיסמה פועלים באמצעות שני אלמנטים קריטיים: חומרה מיוחדת כבר בתוך רוב טלפונים אנדרואיד הטובים ביותר ותוכנת קריפטוגרפיה שעומדת בכל המפרטים כדי להפוך אותה למה שנקרא תעודת FIDO.
כאשר אתה מגדיר את הטלפון שלך, מפתח ייחודי ייווצר ויישמר במובלעת המאובטחת של הטלפון שלך. מזהה זה ישמש עם ה תקני FIDO כדי ליצור קבוצה של אישורים שניתן להעביר לכל מכשיר שנמצא בתקשורת עם הטלפון שלך, או לכל תוכנה שפועלת במכשיר זה, כמו דפדפן אינטרנט או אפליקציה.
לאחר הגדרת הכל, כל מה שאתה צריך לעשות הוא לפתוח את הטלפון שלך כדי לספק את האישורים המאובטחים האלה.
אתה לא מספק שום מידע שניתן להשתמש בו כדי לזהות אותך, אבל כל סט של אישורים הוא עדיין ייחודי. הרכיב המקוון היחיד הוא מפתח גיבוי המאוחסן בענן כדי לעזור לך לשחזר את החשבונות שלך.
במילים פשוטות, זה אומר שהטלפון שלך יאחסן מפתח. כאשר אתה רוצה לגשת לחשבון מקוון שעובד עם מפתחות סיסמה, אתה פותח את הטלפון שלך והמפתח מוכיח שאתה באמת אתה.
אני אוהב את העתיד הזה שבו סיסמאות ושמות משתמש לא באמת קיימים. לא כמו אפל וגוגל שיודעות שכמעט צריך להיות לך טלפון תואם כדי להשתמש בו יש שם רק שתי אפשרויות אמיתיות - iOS ואנדרואיד - אבל אני חושב שזה צעד בימין כיוון.
עם זאת, אני לא ממליץ לך להפעיל אותו ברגע שאתה רואה הנחיה או מקבל אימייל מגוגל. זה פשוט לא לגמרי מוכן.
תהליך העלייה למטוס עצמו קצת אפוי. כמה מהקולגות שלי כאן באנדרואיד סנטרל השתכשכו בו בהצלחה למחצה ואחרי התעסקות עם קוד QR המוצג על טלפון וביקש לסרוק אותו עם אותו טלפון, כתובות URL שבורות ולמעשה לא עושות כלום כשאתה מקיש עליהן, ואומרים לך ש מפתח אבטחה USB היה צורך להכניס אף אחד מעולם לא הוקם כולנו הגענו לאותה מסקנה - זה לא מוכן לפריים טיים.
זה לא אומר שזה לא יכול להיות או לא יהיה מוכן בעתיד. ראינו את זה מגוגל בעבר - הוצא תכונה מהדלת שעדיין זקוקה להרבה ליטוש לפני כן אתה נותן את זה למיליארדי משתמשים - וראינו את גוגל הופכת את זה במהירות וגורמת לזה לעבוד כמו התכוון. זה אומר שכרגע, הגדרת החשבון שלך עם מפתח סיסמה עשויה להיות חוויה גרועה מאוד.
זאת לא הבעיה האמיתית, לפחות לדעתי. הבעיה שלי היא שזה קשור למכשיר פיזי שאתה חייב להיות בהישג יד אם אתה רוצה להשתמש בשירות מקוון.
המכשיר הזה לא חייב להיות טלפון. אתה יכול גם להשתמש במפתח אבטחה פיזי, רכיב לביש או כל דבר עם תמיכה נכונה בחומרה ובתוכנה כדי לפעול כמאמת. וזה עובד טוב - אני משתמש ב-a מפתח USB תואם FIDO כשיטת אימות דו-גורמי לגישה לחשבונות שלי. אני גם יודע שיש לי פתרון גיבוי קל לזמנים שבהם אין לי את המפתח כמו היום כשאני לא בבית במשרד שלי. Google Authenticator או אפילו SMS יכולים להציל חיים.
עם זאת, רוב האנשים הולכים להשתמש בטלפון שלהם כמפתח סיסמה. כבר יש לך את זה, בזבזת עליו הרבה כסף, והחברה שקנית ממנה את זה אמרה לך עד כמה הכל בו בטוח. חוץ מזה, גוגל מקלה על השימוש בטלפון שלך מכיוון שהיא רוצה שתהיה עוד יותר תלוי בטלפון שלך.
אבל תשאל את עצמך, אולי אי פעם תאבד את הטלפון שלך? שם הדברים לא כל כך קלים.
תיאורטית, כל מה שאתה צריך לעשות כדי להפעיל מחדש את המפתח המאובטח שלך הוא להיכנס לחשבון Google שלך עם טלפון חדש. אפילו "העתיד ללא סיסמה" עדיין יצטרך סיסמה אני מניח. למרות שלא הצלחתי לבדוק את זה, אני אגיד שזה כנראה עובד כמתוכנן כי זה החלק הכי פחות מורכב של המערכת - שמור גיבוי של החלק החשוב, אך חסר התועלת בפני עצמו, בענן כדי לאחזר אם אי פעם תצטרך זה.
אני מקווה שאתה לא ננעל מחוץ לחשבון Google שלך והוא יכול לזכור את הסיסמה האמיתית שאמרו לך שאינך צריך עוד, ויש לך דרך לקבל SMS מגוגל או להיכנס ל- אפליקציית אימות. הכל בלי הטלפון בידיים שלך. אלוהים יעזור לך אם הטלפון שלך נגנב ומישהו ניהל את החשבון שלך על ידי ניסיון להיכנס אליו יותר מדי פעמים.
אלו נושאים אמיתיים שאנו שומעים עליהם מדי יום. זה כבר נורא לא להיות מסוגל לעזור למישהו לחזור לחשבון שלו שבו מאוחסנות שנים של תמונות. העובדה שהכניסה שלהם לדברים מנטפליקס לבנק שלהם אינה נגישה בזמן שהכל מסתדר הוא סיוט.
בקרוב כולנו נשתמש במפתחות סיסמה כי לא תהיה לנו ברירה. לפני שזה יקרה, אני מקווה שמישהו חושב להפוך את המערכת ליותר ידידותית למשתמש.