Przyszłość nie wymaga hasła: jak klucze uprością twoje życie i ochronią nas wszystkich
Opublikowany: 2022-11-16Nie jest tajemnicą, że uwierzytelnianie bez hasła przejmuje kontrolę. Światowi liderzy technologiczni, tacy jak Apple, Google i Microsoft, przechodzą na stosowanie kluczy dostępu. Wykorzystując kryptografię z kluczem publicznym, klucze dostępu niemal zmieniają paradygmat w zakresie bezpieczeństwa cyfrowego.
iThemes toruje drogę do uczynienia WordPressa, a ostatecznie całego Internetu, bezpieczniejszym i bardziej użytecznym dla wszystkich. Przyszłość jest bezhasłowa, a my jesteśmy tutaj, aby powiedzieć Ci, dlaczego.
Z tego przewodnika po uwierzytelnianiu bez hasła dowiesz się, jak klucze eliminują luki w zabezpieczeniach uwierzytelniania opartego na hasłach i dlaczego warto zacząć ich używać.
Droga do uwierzytelniania bez hasła
Podróż do uwierzytelniania bez hasła już się rozpoczęła. Wszystkie główne przeglądarki i giganci technologiczni wprowadzili pełną obsługę kluczy dostępu. Rok 2022 stał się kamieniem milowym we wdrażaniu bardziej spójnego, bezpiecznego i łatwego logowania bez hasła na wielu urządzeniach i platformach cyfrowych.
Każdego roku Światowy Dzień Hasła, wyznaczony na pierwszy czwartek maja, świętuje nowe postępy poczynione we wspólnym wysiłku, aby sieć była bezpieczniejsza i użyteczna dla wszystkich. 5 maja 2022 r. Apple, Google i Microsoft ogłosiły plany rozszerzenia obsługi standardu logowania bez hasła stworzonego przez FIDO Alliance i World Wide Web Consortium.
Od lat FIDO (Fast Identity Online) Alliance i World Wide Web Consortium pracują nad zestawem standardów, które umożliwią wdrożenie uwierzytelniania bez hasła w Internecie. FIDO 2 to najnowszy zestaw specyfikacji, obsługiwany obecnie przez większość przeglądarek i platform.
Bardziej szczegółowo omówimy działanie uwierzytelniania bez hasła w dalszej części przewodnika. Ale zanim to nastąpi, zobaczmy, dlaczego uwierzytelnianie za pomocą hasła stopniowo odchodzi do przeszłości.
Dlaczego uwierzytelnianie oparte na hasłach pozostaje w tyle?
Uwierzytelnianie oparte na hasłach jest z nami prawie tak długo, jak istnieje Internet, umożliwiając użytkownikom logowanie się do witryny lub aplikacji internetowej za pomocą pary poświadczeń — nazwy użytkownika i hasła. Takie podejście dowiodło swojej niezawodności i wszechstronności i od lat stanowi branżowy standard.
Jednak pomimo łatwej implementacji i użytkowania, szybko wykryto liczne wady i zagrożenia bezpieczeństwa związane z uwierzytelnianiem opartym na hasłach, zarówno po stronie użytkownika, jak i serwera. Mówiąc najprościej, zarówno użytkownicy, jak i serwery nie są w stanie zabezpieczyć udostępnianego sekretu.
Główne zagrożenia bezpieczeństwa związane z uwierzytelnianiem opartym na hasłach koncentrują się wokół używania hasła jako wspólnego klucza tajnego. Może to stać się dostępne dla złośliwego aktora na różnych etapach procesu uwierzytelniania. Hasła mogą zostać złamane lub po prostu odgadnięte dzięki udanemu atakowi siłowemu.
3 typowe sposoby na ujawnienie haseł
Badania wykazały, że ponad 80% wszystkich naruszeń związanych z hakowaniem wynika z naruszenia hasła. Oznacza to, że w pewnym momencie hakerowi udało się uzyskać nieautoryzowany dostęp do systemu, podszywając się pod prawowitego właściciela strony internetowej lub aplikacji internetowej. Ale jak dokładnie dochodzi do włamań do stron internetowych?
Najczęstsze sposoby ujawnienia haseł to phishing, ataki siłowe i naruszenia bezpieczeństwa danych. Użytkownicy mogą zostać oszukani, aby ujawnili swoje dane uwierzytelniające. Lub hasła mogą zostać odgadnięte lub ujawnione w przypadku naruszenia danych po stronie usługodawcy.
Ataki typu brute force i naruszenia bezpieczeństwa danych
Rośnie liczba ataków siłowych, które stanowią około 80% wszystkich ataków sieciowych. Ponieważ odgadywanie hasła zostało zautomatyzowane, złamanie dowolnego konta nie zajmuje atakującemu dużo czasu.
Maszyna hakera (lub nawet sieć komputerów zwana botnetem) może generować tysiące kombinacji na sekundę. Pozwala to atakującemu na uzyskanie nieautoryzowanego dostępu do strony internetowej lub aplikacji internetowej w krótkim czasie.
A jeśli zastanawiasz się, dlaczego haker miałby zaatakować Twoją witrynę, wyjaśnienie jest proste. Hakerzy mają możliwość wykonywania tysięcy żądań sieciowych na sekundę. Rzadko wybierają, na jakie strony chcą się włamać – będą starali się włamać jak najwięcej.
Uzyskanie dostępu administratora do strony internetowej lub nawet całego serwera otwiera przed hakerami niemal nieograniczone możliwości wykorzystania systemu. Jednym z nich jest wyciek informacji o użytkownikach, w tym nazw użytkowników i haseł, z bazy danych aplikacji.
Dlaczego używanie silnych haseł nie rozwiąże wszystkich zagrożeń bezpieczeństwa
Używanie silnych haseł jest absolutnie niezbędne i zapewni silną linię obrony przed atakami siłowymi. Uważa się, że użycie silnego hasła eliminuje wszystkie zagrożenia bezpieczeństwa. Może to jednak tylko do pewnego stopnia zmniejszyć ryzyko naruszenia poświadczeń.
Tylko około 30% użytkowników konfiguruje uwierzytelnianie dwuskładnikowe. Bez korzystania z uwierzytelniania wieloskładnikowego hakerzy są o krok od uzyskania dostępu do poufnych informacji.
Konfigurowanie haseł jednorazowych, weryfikacji SMS lub innego typu uwierzytelniania dwuskładnikowego to świetna opcja pozwalająca przezwyciężyć większość luk w zabezpieczeniach związanych z uwierzytelnianiem za pomocą hasła. Klucze dostępu mogą jednak naprawdę zmienić świat cyberbezpieczeństwa.
Czym są klucze dostępu?
Klucze dostępu to cyfrowe dane uwierzytelniające obsługiwane przez kryptografię asymetryczną, które mogą w pełni zastąpić uwierzytelnianie oparte na hasłach. Jako forma uwierzytelniania bez hasła, klucze zapewniają szybszy i bezpieczniejszy sposób logowania się do usług i aplikacji na wielu urządzeniach użytkowników.
Uwierzytelnianie bez hasła pozwala uniknąć konieczności wprowadzania nazwy użytkownika i hasła w celu zalogowania się. Zamiast tego urządzenie wygeneruje klucz dostępu — parę kluczy kryptograficznych, które identyfikuje określony identyfikator poświadczeń.
Jak klucze dostępu zapewniają bezpieczne uwierzytelnianie
Każdy utworzony przez Ciebie klucz dostępu jest unikatowy i ograniczony do pojedynczej witryny internetowej lub aplikacji internetowej. Ponieważ nie ma wspólnych sekretów ani haseł, które użytkownik musi pamiętać, klucze dostępu zapewniają pełną ochronę przed phishingiem i atakami siłowymi.
Po utworzeniu nowego klucza dostępu serwer zapisze klucz publiczny i identyfikator poświadczeń. Klucz prywatny będzie bezpiecznie przechowywany na urządzeniu użytkownika lub na sprzętowym kluczu bezpieczeństwa, takim jak YubiKey, który możesz nosić przy sobie.
Aby obsługiwać klucze dostępu, urządzenie użytkownika musi mieć układ zabezpieczający modułu TPM (Trusted Platform Module) do wykonywania operacji kryptograficznych, takich jak generowanie kluczy i uwierzytelnianie platformy. Uwierzytelniacz platformy zwykle obsługuje wiele rodzajów weryfikacji tożsamości, w tym informacje biometryczne i kody PIN.
Klucze dostępu mogą być również automatycznie synchronizowane między urządzeniami użytkownika za pośrednictwem usługi w chmurze. Dlatego nie musisz tworzyć nowej pary kluczy na innych urządzeniach. Synchronizacja klucza dostępu jest kompleksowo szyfrowana, a usługa w chmurze bezpiecznie przechowuje zaszyfrowaną kopię klucza dostępu.
Nawet jeśli klucz publiczny zostanie ujawniony, będzie bezużyteczny dla hakera bez odpowiedniego klucza prywatnego. Eliminuje to możliwość nieautoryzowanego dostępu z powodu naruszenia danych. Nie ma realnego sposobu, aby złośliwy aktor mógł się pod ciebie podszyć.
Jak działają klucze dostępu?
Wykorzystanie kluczy dostępu stało się możliwe dzięki rozwojowi kryptografii asymetrycznej oraz kilku standardom i protokołom stworzonym przez FIDO Alliance i World Wide Web Consortium. Przyjrzyjmy się bardziej szczegółowo, jak działają klucze dostępu, dowiadując się więcej o kryptografii klucza publicznego, usłudze WebAuthn i protokole Client to Authenticator.
Kryptografia klucza publicznego
Klucz publiczny lub kryptografia asymetryczna obejmuje parę kluczy – prywatny i publiczny – używanych do szyfrowania i odszyfrowywania danych wymienianych przez różne strony. Klucz prywatny musi być utrzymywany w tajemnicy, podczas gdy klucz publiczny jest publikowany online (lub przekazywany serwerowi podczas tworzenia klucza dostępu).
Oprócz uwierzytelniania bez hasła, kryptografia asymetryczna pomaga zapewnić kompleksowe szyfrowanie w celu zabezpieczenia ruchu przesyłanego przez sieć. Certyfikat SSL/TLS posiada klucz prywatny zainstalowany na serwerze źródłowym, natomiast klucz publiczny służy do weryfikacji tożsamości strony internetowej przed nawiązaniem połączenia.
Web Authentication API (WebAuthn) i Client to Authenticator Protocol
Wraz z protokołem Client to Authenticator, Web Authentication API jest częścią struktury FIDO2, zestawu technologii, które umożliwiają korzystanie z uwierzytelniania bez hasła między serwerami, przeglądarkami i autoryzatorami.
WebAuthn, skrót od Web Authentication API, to nowa specyfikacja opracowana przez World Web Consortium i FIDO, która umożliwia serwerom implementację uwierzytelniania bez hasła. Od 2019 roku WebAuthn jest obsługiwany przez wszystkie główne przeglądarki, w tym Chrome, Firefox, Safari i Edge.
Jako interfejs programowania aplikacji, WebAuthn umożliwia witrynom i aplikacjom internetowym rejestrację i uwierzytelnianie użytkowników przy użyciu kluczy dostępu zamiast haseł.
Uwierzytelnianie internetowe współpracuje z innymi standardami FIDO, takimi jak Credential Management i Client to Authenticator Protocol 2 (CTAP 2). CTAP 2 to protokół warstwy aplikacji, który określa komunikację między przeglądarką, systemem operacyjnym i mobilnym uwierzytelniaczem.
Rejestrowanie klucza dostępu
Gdy zarejestrujesz nowy klucz dostępu do uwierzytelnienia, serwer hostujący aplikację wygeneruje wyzwanie. Następnie urządzenie utworzy nową parę kluczy, podpisze wyzwanie i wyśle klucz publiczny do serwera wraz z identyfikatorem poświadczeń.
Serwer zapisze klucz publiczny i identyfikator poświadczeń, aby uwierzytelnić Cię przy następnym logowaniu. Możesz utworzyć wiele kluczy dostępu dla każdego konta w celu zapewnienia nadmiarowości. Pomaga to również w szybszym odzyskaniu konta w przypadku utraty podstawowego klucza dostępu.
Klucz prywatny zostanie zapisany na Twoim urządzeniu i tam bezpiecznie przechowywany. Jedynym sposobem uzyskania dostępu do klucza prywatnego jest weryfikacja tożsamości za pomocą czujnika biometrycznego. Obejmuje to odcisk palca, wzory twarzy lub kod PIN.
Proces uwierzytelniania bez hasła
Po utworzeniu nowego klucza dostępu do konta możesz korzystać z uwierzytelniania bez hasła za każdym razem, gdy chcesz zalogować się na stronie internetowej lub w aplikacji. Zamiast logować się przy użyciu nazwy użytkownika i hasła, możesz użyć klucza dostępu.
Serwer wyśle identyfikator poświadczeń (lub wiele identyfikatorów, jeśli wygenerowałeś więcej niż jeden klucz dostępu do konta) i wyzwanie. Twoje urządzenie użyje następnie identyfikatora poświadczeń, aby znaleźć właściwy klucz i poprosi o potwierdzenie tożsamości za pomocą jednej z obsługiwanych metod uwierzytelniania.
Po odblokowaniu klucza urządzenie podpisze wyzwanie i wyśle je na serwer w celu uwierzytelnienia. Serwer zweryfikuje podpisane wyzwanie za pomocą klucza publicznego z pary i przyzna dostęp do Twojego konta.
iThemes wprowadza uwierzytelnianie bez hasła do WordPress
WordPress zawsze był celem o wysokim priorytecie dla hakerów na całym świecie.
Wzrost liczby ataków na witryny oparte na WordPressie i globalne ilości złośliwego oprogramowania nie pozostają niezauważone. Ponieważ złośliwe ataki są coraz bardziej ukierunkowane, bezpieczeństwo witryn internetowych jest teraz ważniejsze niż kiedykolwiek.
Od lat iThemes szuka nowych sposobów ochrony witryn WordPress przed stale rosnącymi zagrożeniami bezpieczeństwa. Cotygodniowe raporty dotyczące luk w zabezpieczeniach WordPress pomogły nam zrozumieć, jak zabezpieczyć jeden z krytycznych obszarów witryny WordPress – pulpit administratora.
Klucze dostępu to bez wątpienia jedna z najbardziej niezwykłych innowacji w świecie cyberbezpieczeństwa. Rosnąca adaptacja kluczy dostępu na różnych platformach i systemach operacyjnych może zmienić Internet na zawsze. Klucze WordPress mogą naprawdę zmienić bezpieczeństwo WordPress. A iThemes nie czekał ani minuty dłużej, aby udostępnić uwierzytelnianie bez hasła społeczności WordPress.
We wrześniu 2022 r. iThemes Security Pro obejmował obsługę kluczy WordPress do uwierzytelniania bez hasła. Wprowadzając najnowsze osiągnięcia w dziedzinie bezpieczeństwa cybernetycznego do Twojej witryny WordPress, iThemes Security Pro zrobił ogromny krok w kierunku bezpieczniejszego i bardziej spójnego uwierzytelniania.
Dzięki iThemes Security Pro klucze do uwierzytelniania WordPress są dostępne na wszystkich typach urządzeń. Możesz użyć uwierzytelniania platformy, takiego jak Apple Touch ID, Face ID i Windows Hello, a także dowolnego uwierzytelniania roamingowego.
Zacznij używać kluczy dostępu do WordPress
Aby zacząć używać kluczy dostępu do uwierzytelniania administratora WordPress, zaktualizuj iThemes Security Pro do najnowszej wersji. Opcja włączenia uwierzytelniania bez hasła będzie dostępna na karcie Bezpieczeństwo logowania. Po włączeniu obsługi kluczy dostępu skonfiguruj klucze dostępu dla użytkowników WordPress z pulpitu administratora.
Jeśli nadal nie korzystasz z automatycznych aktualizacji rdzenia, motywu i wtyczek WordPress, czas zacząć. BackupBuddy, wielokrotnie nagradzane rozwiązanie do tworzenia kopii zapasowych dla WordPress, pomoże Ci zbudować solidną strategię tworzenia kopii zapasowych, aby pewnie obsłużyć wszystkie aktualizacje.
Prowadzisz więcej niż jedną stronę internetową? iThemes Sync pomoże Ci zarządzać wieloma witrynami WordPress z jednego pulpitu nawigacyjnego, oszczędzając czas i pieniądze. Zaawansowane monitorowanie, śledzenie metryk SEO i integracja z BackupBuddy i iThemes Security Pro – wszystko to dostępne z osobistym asystentem witryny WordPress.
Jak giganci technologiczni wdrażają klucze dostępu
Trzech światowych gigantów technologicznych — Apple, Google i Microsoft — utorowało drogę do uwierzytelniania bez hasła we wszystkich głównych przeglądarkach i systemach operacyjnych. Android, iOS i Windows mogą teraz korzystać z potężnych wbudowanych uwierzytelniaczy platformy i synchronizować klucze dostępu na wielu urządzeniach.
Jabłko
Firma Apple wprowadziła klucze dostępu wraz z wydaniem systemów IOS 16 i macOS Ventura, dzięki czemu uwierzytelnianie bez hasła jest dostępne dla użytkowników na wszystkich urządzeniach Apple. Wbudowane uwierzytelnienia firmy Apple, takie jak Touch ID i Face ID, zezwalają na używanie kluczy dostępu w przeglądarce Safari i innych głównych przeglądarkach.
Klucze dostępu są synchronizowane na wszystkich urządzeniach Apple użytkownika za pomocą pęku kluczy iCloud. Kiedy użytkownik włącza pęk kluczy iCloud po raz pierwszy, urządzenie Apple ustanawia krąg zaufania i tworzy nową unikalną parę kluczy przechowywaną w pęku kluczy urządzenia. W ten sposób pęk kluczy iCloud zapewnia kompleksowe szyfrowanie za pomocą silnych kluczy kryptograficznych.
W październiku Google ogłosił wprowadzenie obsługi klucza dostępu do Google Chrome i Androida. Był to kamień milowy w integracji kluczy dostępu z ekosystemem. W Chrome i Androidzie klucze dostępu są przechowywane w Menedżerze haseł Google. Poświadczenia są synchronizowane między urządzeniami użytkownika zalogowanymi na to samo konto Google.
W przyszłości Google planuje rozszerzyć obsługę kluczy dostępu dla Androida. Nowe API umożliwi korzystanie z kluczy dostępu do aplikacji na Androida.
Microsoftu
Firma Microsoft przoduje we wdrażaniu uwierzytelniania bez hasła w Internecie. Przed 2022 r. obsługa kluczy dostępu była już uwzględniona w systemach Windows 365 i Azure Virtual Desktop.
Microsoft umożliwia logowanie bez hasła za pomocą Windows Hello, niezawodnego narzędzia do uwierzytelniania platformy, które jest teraz wbudowane w Windows 10 i 11. Implementacja kluczy dostępu przez Microsoft jest podobna do implementacji Apple. Umożliwia synchronizację kluczy dostępu między urządzeniami zalogowanymi do tego samego konta Microsoft.
Inne firmy korzystające z kluczy dostępu
Kilka firm przyjęło już uwierzytelnianie bez hasła w oparciu o standardy opracowane przez FIDO Alliance. PayPal, Amazon, eBay, Facebook, Netflix i IBM należą do innowatorów wprowadzających na swoich platformach uwierzytelnianie bez hasła.
Podsumowanie
W oparciu o kryptografię asymetryczną oraz wiele potężnych protokołów i specyfikacji opracowanych przez FIDO Alliance i World Web Consortium, klucze dostępu mogą w niedalekiej przyszłości całkowicie zastąpić uwierzytelnianie oparte na hasłach. Największe firmy technologiczne stopniowo rozszerzają wsparcie dla kluczy dostępu. Wkrótce możemy zapomnieć o atakach siłowych i nieautoryzowanym dostępie.
Po latach poszukiwania odpowiedniego rozwiązania zapewniającego bardziej spójne uwierzytelnianie, klucze dostępu upraszczają nasze życie i nas chronią. Czy już zapomniałeś, czym są hasła? Jeszcze nie, ale zdecydowanie musisz być gotowy do używania kluczy dostępu.
Przyszłością uwierzytelniania są klucze dostępu! Zaloguj się do swojej witryny WordPress za pomocą danych biometrycznych dostępnych tylko w iThemes Security Pro
Problemy związane z atakami siłowymi poprzez upychanie danych uwierzytelniających, ataki phishingowe i ponowne wykorzystywanie haseł sprawiły, że nasze cyfrowe życie stało się mniej bezpieczne. Wszyscy próbowaliśmy zachęcić do uwierzytelniania dwuskładnikowego jako ochrony, ale mniej niż 30% użytkowników faktycznie korzysta z 2FA. Problemem są logowania oparte na hasłach.
Przyszłością uwierzytelniania są klucze dostępu, a iThemes Security Pro jako pierwszy wprowadza tę przełomową technologię do witryn WordPress. Wykorzystując przełomową technologię WebAuthn opartą na kryptografii publicznej/prywatnej, klucze dostępu sprawiają, że hasła stają się przestarzałe. Teraz administratorzy witryn i użytkownicy końcowi mogą bezpiecznie logować się bez niedogodności związanych z dodatkowymi aplikacjami dwuskładnikowymi, menedżerami haseł lub złożonymi wymaganiami dotyczącymi haseł.
Kiki ma tytuł licencjata z zarządzania systemami informatycznymi i ponad dwuletnie doświadczenie w systemach Linux i WordPress. Obecnie pracuje jako specjalista ds. bezpieczeństwa w Liquid Web i Nexcess. Wcześniej Kiki była częścią zespołu wsparcia Liquid Web Managed Hosting, gdzie pomogła setkom właścicieli witryn WordPress i dowiedziała się, jakie problemy techniczne często napotykają. Jej pasja do pisania pozwala jej dzielić się swoją wiedzą i doświadczeniem, aby pomagać ludziom. Oprócz technologii Kiki lubi uczyć się o kosmosie i słuchać podcastów o prawdziwych przestępstwach.