Konta Google bez haseł są teraz dostępne; możesz przekonwertować na tylko hasło

Zezwalając na konta Google tylko z kluczem dostępu, Google robi znaczący krok w kierunku naszej rzekomo wolnej od haseł przyszłości. Wpis na blogu z nagłówkiem „Koniec hasła jest wreszcie tutaj, według Google, który zaczął wdrażać obsługę kluczy dostępu na wszystkich głównych platformach dla kont Google. Będą dodatkową opcją logowania oprócz haseł, weryfikacji dwuetapowej (2SV) itp. dla użytkowników”. W ramach uwierzytelniania dwuskładnikowego można było wcześniej używać klucza dostępu do konta Google, ale zawsze był on dodatkiem do hasła. Klucz dostępu może być teraz używany do uzyskiwania dostępu do konta Google zamiast hasła.

Jeśli nie znasz nowego mechanizmu uwierzytelniania, klucz dostępu to nowa metoda logowania do aplikacji i stron internetowych, która pewnego dnia może zastąpić hasło. Ludzie najpierw wprowadzali hasła do podstawowych pól tekstowych, a kiedy pojawiła się potrzeba zwiększenia bezpieczeństwa, automatyzacja i złożoność były stopniowo wszczepiane do tych pól tekstowych. Właściwym sposobem używania hasła dzisiaj jest umieszczenie przez menedżera haseł losowego ciągu znaków w polu hasła. W przeszłości w pole hasła wpisywałeś przywołane słowo. Klucze dostępu usuwają pole hasła, ponieważ niewielu z nas naprawdę wpisuje nasze hasła.

Passkeys wykorzystuje standard „ WebAuthn ”, aby Twój system operacyjny bezpośrednio wymieniał pary kluczy public-prywatnych ze stroną internetową, w ten sposób jesteś uwierzytelniany. Demo Google pokazujące, jak to działałoby na telefonie, wygląda fantastycznie; standardowe pole prosi o podanie nazwy użytkownika Google, a następnie prosi o odcisk palca, aby odblokować system klucza dostępu i zalogować się.

Urządzenia konsumenckie wkrótce będą mogły uzyskiwać dostęp do usług Google bez hasła, a firmowe konta Google Workspace „wkrótce” będą mogły aktywować hasła dla użytkowników końcowych.

Klucze dostępu nadal nie są gotowe do powszechnego użytku

Mimo że Google w pełni zobowiązał się do stosowania kluczy dostępu, nie oznacza to, że są one przygotowane do masowego użycia. Po pierwsze, niektóre systemy (w tym Windows, Linux i Chrome OS) nie są tak rozwinięte jak inne (jak MacOS, iOS i Android). Nadal jest wiele do zrobienia, jednak oficjalna witryna passkeys.dev oferuje pomocną stronę , która śledzi gotowość platformy po platformie. Byłoby okropnie, gdybyś został zablokowany na koncie Google z kluczem dostępu w systemie operacyjnym Chrome, co może się zdarzyć, chyba że powrócisz do hasła.

Drugi problem, polegający na tym, że klucze dostępu są synchronizowane przez ekosystem systemu operacyjnego, a nie przez przeglądarkę, stanowi znaczny krok wstecz w sposobie działania haseł i nie wydaje się, aby został rozwiązany w najbliższym czasie. Klucze dostępu nie działają dziś w taki sam sposób jak hasła; jeśli dodam hasło do Chrome w systemie Windows, będzie ono natychmiast dostępne na wszystkich moich urządzeniach z zainstalowaną Chrome, w tym na moim telefonie z Androidem, Macbooku, iPhonie, Chromebooku itp.

Klucze dostępu są „synchronizowane ze wszystkimi innymi urządzeniami użytkownika z tą samą platformą systemu operacyjnego”, zgodnie ze stroną FIDO Alliance [podkreślenie nasze]. Oznacza to, że jeśli dodam klucz dostępu do przeglądarki Chrome w systemie Windows, zostanie on zsynchronizowany tylko z innymi systemami operacyjnymi firmy Microsoft, ponieważ zostanie dodany do magazynu kluczy dostępu dostawcy systemu operacyjnego, firmy Microsoft. Wszystko się zsynchronizuje i nie zauważysz różnicy, jeśli będziesz używać tylko produktów Apple. Dla reszty z nas korzystanie z systemu Windows i Androida, Androida i Linuksa lub dowolnej innej kombinacji różnych systemów operacyjnych będzie wymagało procesu transferu opartego na kodzie QR i Bluetooth. Korporacje Big Tech kontrolujące klucze dostępu nie wydają się zmotywowane do uczynienia ich tak bezproblemowymi i praktycznymi jak hasła, co będzie istotną przeszkodą w ich powszechnym przyjęciu.

Cały ten problem z synchronizacją potwierdza 1Password, „Obecnie klucze dostępu na innych platformach wymagają weryfikacji przy użyciu urządzenia z tego samego ekosystemu. Synchronizacja z innymi systemami operacyjnymi lub podawanie kluczy dostępu jest pracochłonne i mniej bezpieczne, gdy dostępne są obejścia, takie jak kody QR”. Aplikacje takie jak 1Password mogły, ale nie muszą, otrzymać zaproszenie na przyjęcie klucza Big Tech. Chociaż 1Password twierdzi, że jest członkiem FIDO Alliance, wideo na stronie poświęconej kluczom dostępu twierdzi, że klucze dostępu nie są wystarczająco otwarte. Z filmu: „Otwartość i interoperacyjność, które obiecują obecne technologie, nie zostały spełnione. Utworzenie hasła na iPhonie lub urządzeniu z Androidem jest dziś w zasadzie niemożliwe. Udostępnianie go, przenoszenie na inną platformę lub synchronizowanie z ulubionym menedżerem haseł nie jest prostym zadaniem. Możemy poprawić.

Na stronie internetowej 1Password jest wiele sformułowań „może” i „powinien”, ale opracowywana jest poprawka, która powinna być dostępna „tego lata”.

Posiadanie tak znacznej regresji międzyplatformowej w domyślnej konfiguracji – z której skorzystałaby większość ludzi – znacznie ograniczy atrakcyjność kluczy dostępu, nawet jeśli firmie uda się rozwiązać problem synchronizacji kluczy dostępu dla własnej aplikacji.

Obraz aukcji od Google