паролів

Маестро Сабіна казав - незалежно від того, чи він складав, хлопець - геній, - що Мадрид неможливий для життя, але незамінний. Цю саму аналогію можна застосувати до паролів - прокляття майже кожної технологічної взаємодії, яка вимагає безпеки, але поки що єдиний спосіб вирішити проблему, яка нищить нас десятки років і десятиліть.

Можна подумати, що з тим, наскільки великим прогресом ми могли б вирішити проблему дотепер - що OpenID видався, наприклад, хорошим варіантом - але ні. Ми продовжуємо використовувати паролі майже для всього, хоча це правда, що зчитувачі відбитків пальців або системи розпізнавання обличчя змусили нас побачити трохи світла в кінці тунелю.

Біометрія давно є великою надією в цій галузі. Це насправді один із трьох відомих факторів автентифікації, а саме:

  • Щось у вас є (знак)
  • Щось, що ви знаєте (пароль)
  • Щось, що ти є (твій слід, твоє обличчя, твоя райдужка)

Якщо ви поєднаєте їх усі, у вас буде ідеальне рішення щодо безпеки, але, звичайно, ми, як правило, зосереджуємось лише на другому етапі (чисті паролі), або, щонайбільше, поєднуємо їх із першим чи третім. Такі речі, як менеджери паролів - я використовую KeePass вже пару років, і я загалом задоволений - також допомагає уникнути пороку повторного використання, але з цим все ще є проблеми.

Ось чому те, що сьогодні оголосили FIDO та W3C, є таким крутим. Це протокол WebAuthn, спрямований саме на можливість використовувати благословенну біометрію як систему аутентифікації на всіх типах веб-сайтів. До цього часу не було набагато більше варіантів, ніж використання імені користувача та пароля для доступу до всіх видів послуг, але з WebAuthn це може бути неправдою.

У вас є технічні деталі в документі Mozilla, особливо в специфікації W3C (незрозумілий для таких незграбних, як я), але, як сказали в Gizmodo, перевага подвійна:

Замість того, щоб обмежуватися звичайним паролем, API також підтримує використання зчитувачів відбитків пальців, камер та USB-ключів як методу входу у свій обліковий запис. Насправді, деякі потенційні випадки використання включають навіть використання зчитувача відбитків пальців на телефоні для входу на веб-сайт, який ви переглядаєте на своєму ноутбуці чи робочому столі, який може не мати власного датчика відбитків пальців.

Круто. Ви знаходитесь на своєму ПК або ноутбуці, він запитує ваше ім’я користувача та пароль, і замість того, щоб вставляти його, ви кладете пальцем на смартфон, який ви маєте на столі, і вуаля, ви всередині. Це не нова ідея, але специфікація робить це можливим глобальним, відкритим та вільним способом. Це правда, що менеджери паролів та браузери самі заповнюють ці поля, але що, якщо ми не хочемо їм довіряти? Варіант використання чогось, що ми є (відбитків пальців, обличчя) з чимось, що є у нас (мобільний телефон), є цілком крутим, і, ймовірно, можна також додати щось, що відомо лише йому, наприклад, конкретний пароль для цієї послуги для ці гіпотетичні двосторонні кроки автентифікації.

Не всі в галузі працюють на човні: здається, що Apple знову проходить і йде своїм шляхом, але те, що протокол має підтримку Google, Mozilla, Opera або Microsoft Edge, цілком примітно.

Не знаю, можливо, це початок прекрасного майбутнього, в якому нам буде достатньо подивитися на веб-камеру нашого мобільного телефону чи ПК або скористатися своїм відбитком пальця для автентифікації в будь-якій службі. Я знаю, що щось подібне вже можна зробити залежно від випадків, але стандартизувати це, універсалізувати і «упакувати», щоб кожен міг це зробити, але кожен робить це так само, це круто. Так багато.

Хто знає. Можливо, велика революція майбутнього - це не автономні машини чи штучний інтелект. Можливо, велика революція полягає у тому, що не потрібно пам’ятати чи вводити проклятий пароль у своєму житті. Айс.

Incognichollos

Це вибір найкращих сучасних технологічних пропозицій - більшість (якщо не всі) посилань є філіями - майже щодня, як я тут пояснив. Навіть якщо ви в "старому" дописі, пропозиції в останню хвилину, Incognichollos я оновлюю їх окремо. Ти теж можеш слідкуйте за Incognichollos у Twitter або в новий канал Telegram 🙂. Скористайтеся перевагами, як правило, вони тривають недовго!