Google i inne firmy współpracują z FIDO Alliance, aby zmienić sposób działania bezpieczeństwa online za pomocą koncepcji, którą nazywają Klucz uniwersalny. To świetny pomysł z kilkoma wadami, które oznaczają, że nie jest to coś, co Google powinno oferować wszystkim.
Klucze dostępu działają przy użyciu dwóch krytycznych elementów: Specjalnego sprzętu znajdującego się już w większości z nich najlepsze telefony z Androidem i oprogramowanie kryptograficzne, które spełnia wszystkie specyfikacje, aby uczynić go tak zwanym poświadczeniem FIDO.
Podczas konfigurowania telefonu zostanie utworzony unikalny klucz, który będzie przechowywany w bezpiecznej enklawie telefonu. Ten identyfikator będzie używany z standardy FIDO aby utworzyć zestaw danych uwierzytelniających, które można przekazać do dowolnego urządzenia komunikującego się z telefonem lub dowolnego oprogramowania działającego na tym urządzeniu, takiego jak przeglądarka internetowa lub aplikacja.
Po skonfigurowaniu wszystkiego wystarczy odblokować telefon, aby podać te bezpieczne dane uwierzytelniające.
Nie podajesz żadnych informacji, które mogłyby Cię zidentyfikować, ale każdy zestaw danych uwierzytelniających jest unikalny. Jedynym komponentem online jest klucz zapasowy przechowywany w chmurze, który pomaga odzyskać konta.
Mówiąc prościej, oznacza to, że Twój telefon będzie przechowywać klucz. Gdy chcesz uzyskać dostęp do konta online, które działa z kluczami dostępu, odblokowujesz telefon, a klucz dowodzi, że naprawdę jesteś sobą.
Podoba mi się ta przyszłość, w której hasła i nazwy użytkowników tak naprawdę nie istnieją. Nie tak bardzo jak Apple i Google, którzy wiedzą, że prawie musisz mieć zgodny telefon, aby z niego korzystać i są tam tylko dwie prawdziwe opcje – iOS i Android – ale myślę, że to krok w prawo kierunek.
Powiedziawszy to, nie polecam włączania go, gdy tylko zobaczysz monit lub otrzymasz wiadomość e-mail od Google. Po prostu nie jest do końca gotowy.
Sam proces wdrażania jest nieco niedopracowany. Niektórzy z moich kolegów z Android Central przebrnęli przez to częściowo z powodzeniem i po majstrowaniu przy kodzie QR wyświetlanym na telefon i poprosił o przeskanowanie go tym samym telefonem, adresy URL, które są zepsute i tak naprawdę nic nie robią po ich dotknięciu, i powiedziano mi że Klucz bezpieczeństwa USB musiał zostać wstawiony, mimo że nigdy nie został utworzony, wszyscy doszliśmy do tego samego wniosku — to nie jest gotowe na najlepszy czas.
Nie oznacza to, że nie może być lub nie będzie gotowy w przyszłości. Widzieliśmy to już wcześniej w Google — pospiesz się z funkcją, która wciąż wymaga dużo dopracowania dajesz go miliardom użytkowników — i widzieliśmy, jak Google szybko to zmienia i sprawia, że działa tak, jak to możliwe przeznaczony. Oznacza to, że w tej chwili założenie konta za pomocą klucza dostępu może być naprawdę kiepskim doświadczeniem.
To jednak nie jest prawdziwy problem, przynajmniej moim zdaniem. Mój problem polega na tym, że jest on powiązany z fizycznym urządzeniem, które musisz mieć pod ręką, jeśli chcesz korzystać z usługi online.
Tym urządzeniem nie musi być telefon. Możesz także użyć fizycznego klucza bezpieczeństwa, urządzenia do noszenia lub czegokolwiek z odpowiednią obsługą sprzętu i oprogramowania, aby działać jako uwierzytelniacz. I to działa dobrze — używam a Klucz USB zgodny z FIDO jako metodę uwierzytelniania dwuskładnikowego w celu uzyskania dostępu do moich kont. Wiem też, że mam łatwe rozwiązanie do tworzenia kopii zapasowych na czas, kiedy nie mam klucza, jak dzisiaj, kiedy nie ma mnie w domu we własnym biurze. Google Authenticator, a nawet SMS mogą uratować życie.
Jednak większość ludzi będzie używać telefonu jako klucza dostępu. Już go masz, wydałeś na niego dużo pieniędzy, a firma, od której go kupiłeś, powiedziała ci, jak bezpieczne jest to wszystko. Poza tym Google ułatwia korzystanie z telefonu, ponieważ chce, abyś był jeszcze bardziej zależny od telefonu.
Zadaj sobie jednak pytanie, czy kiedykolwiek zgubisz telefon? Tam sprawy nie mają się tak łatwo.
Teoretycznie wszystko, co musisz zrobić, aby ponownie włączyć bezpieczny klucz, to zalogować się na swoje konto Google za pomocą nowego telefonu. Wydaje mi się, że nawet „przyszłość bez hasła” nadal będzie potrzebować hasła. Chociaż nie byłem w stanie tego przetestować, powiem, że prawdopodobnie działa zgodnie z przeznaczeniem, ponieważ jest to najmniej złożona część systemu — zachowaj kopię zapasową ważnej, ale bezużytecznej części w chmurze, aby odzyskać ją w razie potrzeby To.
Mam nadzieję, że nie jesteś zablokowany dostęp do Twojego konta Google i możesz zapamiętać rzeczywiste hasło, którego poinformowano, że już nie potrzebujesz, i masz sposób na otrzymanie SMS-a od Google lub zalogowanie się do aplikacja uwierzytelniająca. Wszystko bez telefonu w twoich rękach. Panie, pomóż, jeśli Twój telefon został skradziony, a ktoś ukradł Twoje konto, próbując dostać się na nie zbyt wiele razy.
To są realne problemy, o których słyszymy każdego dnia. To już okropne, że nie można pomóc komuś odzyskać konta, na którym przechowywane są lata zdjęć. Niedostępność ich loginów do rzeczy z Netflix do ich banku, podczas gdy wszystko jest uporządkowane, to koszmar.
Wkrótce wszyscy będziemy używać kluczy dostępu, ponieważ nie będziemy mieli wyboru. Zanim to nastąpi, mam nadzieję, że ktoś myśli o uczynieniu systemu bardziej przyjaznym dla użytkownika.