Viitorul este fără parolă: cum cheile de acces îți vor simplifica viața și ne vor proteja pe toți

Publicat: 2022-11-16

Nu este un secret pentru nimeni că autentificarea fără parolă preia controlul. Liderii tehnologici globali, cum ar fi Apple, Google și Microsoft, se îndreaptă spre utilizarea cheilor de acces. Profitând de criptografia cu chei publice, cheile de acces aduc o experiență aproape de schimbare a paradigmei în securitatea digitală.

iThemes a condus drumul spre a face WordPress și, în cele din urmă, întregul Internet mai sigur și mai utilizabil pentru toată lumea. Viitorul este fără parolă și suntem aici pentru a vă spune de ce.

În acest ghid pentru autentificarea fără parolă, veți afla cum cheile de acces depășesc vulnerabilitățile de securitate ale autentificării bazate pe parole și de ce ar trebui să începeți să le utilizați.

Călătoria către autentificarea fără parolă

Călătoria către autentificarea fără parolă a început deja. Toate browserele majore și giganții tehnologiei au introdus suport complet pentru cheile de acces. 2022 a devenit o nouă piatră de hotar în implementarea conectărilor fără parolă mai consistente, sigure și mai ușoare pe mai multe dispozitive și platforme digitale.

În fiecare an, Ziua Mondială a Parolei, desemnată ca prima zi de joi a lunii mai, sărbătorește noile progrese realizate într-un efort comun de a face web-ul mai sigur și mai utilizabil pentru toată lumea. Pe 5 mai 2022, Apple, Google și Microsoft au anunțat planuri de extindere a suportului pentru standardul de conectare fără parolă creat de Alianța FIDO și Consorțiul World Wide Web.

De ani de zile, Alianța FIDO (Fast Identity Online) și Consorțiul World Wide Web lucrează la un set de standarde care vor permite implementarea autentificării fără parolă pe internet. FIDO 2 este cel mai nou set de specificații, acum acceptat de majoritatea browserelor și platformelor.

Vom analiza mai detaliat modul în care funcționează autentificarea fără parolă în ghid. Dar înainte de asta, să vedem de ce autentificarea cu parolă devine acum treptat un lucru din trecut.

De ce este lăsată în urmă autentificarea bazată pe parolă?

Autentificarea bazată pe parolă a fost la noi de aproape atâta timp cât există internetul, permițând utilizatorilor să se conecteze la un site web sau la o aplicație web folosind o pereche de acreditări - un nume de utilizator și o parolă. Această abordare și-a dovedit fiabilitatea și versatilitatea și a fost standardul industriei de ani de zile.

Cu toate acestea, în ciuda implementării și utilizării sale ușoare, numeroase dezavantaje și riscuri de securitate asociate cu autentificarea bazată pe parole au fost descoperite rapid atât pe partea utilizatorului, cât și pe server. Mai simplu spus, atât utilizatorii, cât și serverele nu au capacitatea de a păstra secretul partajat în siguranță.

Riscurile majore de securitate asociate cu autentificarea bazată pe parolă sunt centrate pe utilizarea parolei ca secret partajat. Acest lucru poate deveni disponibil unui actor rău intenționat în diferite etape ale procesului de autentificare. Parolele pot fi încălcate sau pur și simplu ghicite din cauza unui atac cu forță brută de succes.

3 moduri comune prin care parolele sunt expuse

Studiile au arătat că peste 80% din toate încălcările legate de hacking sunt atribuite compromisurilor parolei. Înseamnă că, la un moment dat, hackerul a reușit să obțină acces neautorizat la sistem usurându-se proprietarul de drept al unui site web sau al unei aplicații web. Dar cum anume sunt piratate site-urile web?

Cele mai frecvente moduri în care parolele sunt expuse includ phishingul, atacurile cu forță brută și încălcarea datelor. Utilizatorii pot fi păcăliți să-și dea informațiile de autentificare. Sau parolele pot fi ghicite sau scurse în cazul unei încălcări a datelor din partea furnizorului de servicii.

Atacurile cu forță brută și încălcări ale datelor

Atacurile de forță brută sunt în creștere, reprezentând aproximativ 80% din toate atacurile de rețea. Deoarece ghicirea parolei a fost automatizată, atacatorului nu ia mult timp să spargă orice cont.

Mașina hackerului (sau chiar o rețea de computere cunoscută sub numele de botnet) poate genera mii de combinații pe secundă. Acest lucru permite atacatorului să obțină acces neautorizat la un site web sau la o aplicație web în cel mai scurt timp.

Și dacă vă întrebați de ce un hacker v-ar ataca site-ul, explicația este simplă. Hackerii au capacitatea de a face mii de solicitări web pe secundă. Ei aleg rareori pe ce site-uri web ar dori să pătrundă – vor încerca să pirateze cât mai multe posibil.

Obținerea accesului de administrator la un site web sau chiar la un întreg server deschide oportunități aproape nelimitate pentru hackeri de a exploata sistemul. Unul dintre acestea este scurgerea de informații despre utilizator, inclusiv nume de utilizator și parole, din baza de date a aplicației.

De ce utilizarea parolelor puternice nu va aborda toate riscurile de securitate

Utilizarea parolelor puternice este absolut esențială și va oferi o linie de apărare puternică împotriva atacurilor cu forță brută. Se crede că utilizarea unei parole puternice abordează toate riscurile de securitate. Cu toate acestea, poate doar să scadă șansele ca acreditările să fie compromise într-o anumită măsură.

Doar aproximativ 30% dintre utilizatori configurează autentificarea cu doi factori. Fără a utiliza autentificarea cu mai mulți factori, hackerii sunt la doar un pas de a obține acces la informații sensibile.

Configurarea parolelor unice, a verificării prin SMS sau a oricărui alt tip de 2FA este o opțiune excelentă pentru a depăși majoritatea vulnerabilităților de securitate ale autentificării parolei. Cu toate acestea, cheile de acces pot face o diferență reală în lumea securității cibernetice.

cheile de acces

Ce sunt cheile de acces?

Cheile de acces sunt acreditări digitale alimentate de criptografie asimetrică care poate înlocui complet autentificarea bazată pe parole. Ca formă de autentificare fără parolă, cheile de acces oferă o modalitate mai rapidă și mai sigură de a vă conecta la servicii și aplicații pe mai multe dispozitive de utilizator.

Autentificarea fără parolă vă permite să scăpați de a fi nevoie să introduceți un nume de utilizator și o parolă pentru a vă conecta. În schimb, dispozitivul dvs. va genera o cheie de acces - o pereche de chei criptografice pe care le va identifica un anumit ID de autentificare.

Cum asigură cheile de acces autentificarea sigură

Fiecare cheie de acces pe care o creați este unică și se referă la un site web individual sau la o aplicație web. Deoarece nu există secrete sau parole partajate pe care utilizatorul trebuie să le amintească, cheile de acces oferă protecție completă împotriva atacurilor de phishing și de forță brută.

Odată ce o nouă cheie de acces este creată, serverul va salva cheia publică și ID-ul acreditării. Cheia privată va fi stocată în siguranță pe dispozitivul utilizatorului sau pe o cheie de securitate hardware, cum ar fi YubiKey, pe care o puteți transporta.

Pentru a accepta cheile de acces, dispozitivul utilizatorului trebuie să aibă cipul de securitate Trusted Platform Module (TPM) pentru a efectua operațiuni criptografice, cum ar fi generarea de chei și un autentificator de platformă. Autentificatorul platformei ar accepta, de obicei, mai multe tipuri de verificare a identității, inclusiv informații biometrice și coduri PIN.

Cheile de acces pot fi, de asemenea, sincronizate automat între dispozitivele utilizatorului printr-un serviciu cloud. Prin urmare, nu trebuie să creați o nouă pereche de chei pe alte dispozitive. Sincronizarea cheii de acces este criptată de la capăt la capăt, iar serviciul cloud va stoca în siguranță o copie criptată a cheii de acces.

Chiar dacă cheia publică este scursă, va fi inutilă pentru hacker fără cheia privată corespunzătoare. Acest lucru elimină orice posibilitate de acces neautorizat din cauza unei încălcări a datelor. Nu există nicio modalitate reală ca un actor rău intenționat să te uzurpe identitatea.

Cum funcționează cheile de acces?

Utilizarea cheilor de acces a devenit posibilă datorită dezvoltării criptografiei asimetrice și a mai multor standarde și protocoale create de Alianța FIDO și Consorțiul World Wide Web. Să analizăm mai detaliat cum funcționează cheile de acces, aflând mai multe despre criptografia cu chei publice, WebAuthn și Protocolul Client la Autentificare.

Criptografia cu cheie publică

Cheia publică, sau criptografia asimetrică, implică o pereche de chei - private și publice - care sunt utilizate pentru a cripta și decripta datele schimbate de diferite părți. Cheia privată trebuie păstrată secretă în timp ce cheia publică este publicată online (sau dată serverului când este creată o cheie de acces).

Pe lângă autentificarea fără parolă, criptografia asimetrică ajută la asigurarea criptării end-to-end pentru a securiza traficul care circulă prin rețea. Un certificat SSL/TLS are cheia privată instalată pe serverul de origine, în timp ce cheia publică este folosită pentru a verifica identitatea unui site web înainte de a stabili o conexiune.

API-ul de autentificare web (WebAuthn) și protocolul client la autentificare

Alături de Client to Authenticator Protocol, Web Authentication API face parte din cadrul FIDO2, un set de tehnologii care fac posibilă utilizarea autentificării fără parolă între servere, browsere și autentificatoare.

WebAuthn, prescurtare pentru Web Authentication API, este o nouă specificație dezvoltată de World Web Consortium și FIDO care permite serverelor să implementeze autentificarea fără parolă. Începând din 2019, WebAuthn este acceptat de toate browserele majore, inclusiv Chrome, Firefox, Safari și Edge.

Ca interfață de programare a aplicațiilor, WebAuthn permite site-urilor web și aplicațiilor web să înregistreze și să autentifice utilizatorii folosind chei de acces în loc de parole.

Web Authentication funcționează împreună cu alte standarde FIDO, cum ar fi Credential Management și Client to Authenticator Protocol 2 (CTAP 2). CTAP 2 este un protocol de nivel de aplicație care specifică comunicarea dintre browser, sistemul de operare și un autentificator de roaming.

Înregistrarea unei chei de acces

Când înregistrați o nouă cheie de acces pentru a vă autentifica, serverul care găzduiește aplicația va genera o provocare. Apoi, dispozitivul dvs. va crea o nouă pereche de chei, va semna provocarea și va trimite cheia publică către server, împreună cu ID-ul acreditării.

Serverul va salva cheia publică și identificatorul de autentificare pentru a vă autentifica data viitoare când vă conectați. Puteți crea mai multe chei de acces pentru fiecare cont pentru redundanță. Acest lucru ajută, de asemenea, la recuperarea mai rapidă a contului în cazul în care se pierde cheia de acces principală.

Cheia privată va fi salvată pe dispozitiv și stocată în siguranță acolo. Singura modalitate prin care puteți accesa cheia privată este prin verificarea identității dvs. folosind un senzor biometric. Aceasta include amprenta digitală sau modelele faciale sau un PIN.

Procesul de autentificare fără parolă

Odată ce o nouă cheie de acces este creată pentru contul dvs., puteți utiliza autentificarea fără parolă oricând trebuie să vă conectați la un site web sau la o aplicație. În loc să vă conectați cu un nume de utilizator și o parolă, puteți alege să utilizați o cheie de acces.

Serverul va trimite ID-ul acreditării (sau mai multe ID-uri dacă ați generat mai multe chei de acces pentru cont) și o provocare. Dispozitivul dvs. va folosi apoi ID-ul de autentificare pentru a găsi cheia potrivită și vă va solicita să vă validați identitatea utilizând una dintre metodele de autentificare acceptate.

Odată ce cheia este deblocată, dispozitivul dumneavoastră va semna provocarea și o va trimite serverului pentru autentificare. Serverul va verifica provocarea semnată folosind cheia publică din pereche și va acorda acces la contul dvs.

iThemes aduce WordPress autentificare fără parolă

WordPress a fost întotdeauna o țintă de mare prioritate pentru hackerii din întreaga lume.

Creșterea numărului de atacuri pe site-urile WordPress și volumele globale de malware nu trec neobservate. Pe măsură ce atacurile rău intenționate vizează mai mult, securitatea site-ului este acum mai importantă ca niciodată.

De ani de zile, iThemes a căutat noi modalități de a proteja site-urile WordPress de amenințările de securitate din ce în ce mai mari. Rapoartele săptămânale de vulnerabilitate WordPress ne-au ajutat să înțelegem cum să securizăm una dintre zonele critice ale unui site web WordPress - tabloul de bord administrativ al acestuia.

Cheile de acces sunt, fără îndoială, una dintre cele mai remarcabile inovații din lumea securității cibernetice. Adaptarea tot mai mare a cheilor de acces pe platforme și sisteme de operare poate schimba internetul pentru totdeauna. Cheile de acces WordPress pot face o diferență reală pentru securitatea WordPress. Iar iThemes nu a mai așteptat nici un minut pentru a face autentificarea fără parolă disponibilă comunității WordPress.

În septembrie 2022, iThemes Security Pro a inclus suport pentru cheile de acces WordPress pentru autentificare fără parolă. Aducând cele mai recente evoluții în securitatea cibernetică pe site-ul dvs. WordPress, iThemes Security Pro a făcut un pas uriaș către o experiență de autentificare mai sigură și mai consecventă.

Cu iThemes Security Pro, cheile de acces pentru autentificarea WordPress sunt disponibile pe toate tipurile de dispozitive. Puteți utiliza un autentificator de platformă, cum ar fi Apple Touch ID, Face ID și Windows Hello, precum și orice autentificator de roaming.

Începeți să utilizați cheile de acces pentru WordPress

Pentru a începe să utilizați cheile de acces pentru autentificarea administratorului WordPress, asigurați-vă că actualizați iThemes Security Pro la cea mai recentă versiune. Opțiunea de a activa autentificarea fără parolă va fi disponibilă din fila Login Security. Odată ce suportul pentru cheile de acces este activat, configurați cheile de acces pentru utilizatorii WordPress din tabloul de bord administrativ.

Dacă încă nu profitați de actualizările automate de bază, teme și pluginuri WordPress, este timpul să începeți. BackupBuddy, o soluție de backup premiată pentru WordPress, vă va ajuta să construiți o strategie puternică de backup pentru a gestiona toate actualizările cu încredere.

Ai mai multe site-uri web? iThemes Sync vă va ajuta să gestionați mai multe site-uri WordPress dintr-un singur tablou de bord, economisind timp și bani. Monitorizare avansată, urmărire a valorilor SEO și integrare cu BackupBuddy și iThemes Security Pro - toate disponibile pentru dvs. cu asistentul dvs. personal pentru site-ul WordPress.

Cum implementează Tech Giants cheile de acces

Cei trei giganți ai tehnologiei la nivel mondial – Apple, Google și Microsoft – au deschis calea către autentificarea fără parolă în toate browserele și sistemele de operare majore. Android, iOS și Windows pot folosi acum autentificatoare puternice de platformă încorporate și chei de acces de sincronizare pe mai multe dispozitive.

Măr

Apple a introdus cheile de acces odată cu lansarea IOS 16 și macOS Ventura, făcând autentificarea fără parolă disponibilă utilizatorilor pe toate dispozitivele Apple. Autentificatoarele încorporate de la Apple, cum ar fi Touch ID și Face ID, autorizează utilizarea cheilor de acces în Safari și în alte browsere majore.

Cheile de acces se sincronizează pe toate dispozitivele Apple ale utilizatorului cu ajutorul iCloud Keychain. Când un utilizator activează iCloud Keychain pentru prima dată, dispozitivul Apple stabilește un cerc de încredere și creează o nouă pereche de chei unică stocată în brelocul dispozitivului. În acest fel, iCloud Keychain oferă criptare end-to-end cu chei criptografice puternice.

Google

În octombrie, Google a anunțat că va aduce suport pentru cheile de acces pentru Google Chrome și Android. Acesta a fost o etapă majoră în integrarea cheilor de acces în ecosistem. Pe Chrome și Android, cheile de acces sunt stocate în Managerul de parole Google. Acreditările sunt sincronizate între dispozitivele utilizatorului conectate la același cont Google.

În viitor, Google intenționează să extindă suportul pentru cheile de acces pentru Android. Un nou API va permite utilizarea cheilor de acces pentru aplicațiile Android.

Microsoft

Microsoft a fost lider în implementarea autentificării fără parolă pe internet. Înainte de 2022, suportul pentru cheile de acces era deja inclus pentru Windows 365 și Azure Virtual Desktop.

Microsoft permite autentificarea fără parolă utilizând Windows Hello, o platformă robustă de autentificare integrată acum în Windows 10 și 11. Implementarea de către Microsoft a cheilor de acces este similară cu cea a Apple. Vă permite să vă sincronizați cheile de acces între dispozitivele conectate la același cont Microsoft.

Alte companii care folosesc cheile de acces

Mai multe companii au adoptat deja autentificarea fără parolă pe baza standardelor dezvoltate de FIDO Alliance. PayPal, Amazon, eBay, Facebook, Netflix și IBM sunt printre inovatorii care aduc autentificarea fără parolă pe platformele lor.

Încheierea

Pe baza criptografiei asimetrice și a multor protocoale și specificații puternice dezvoltate de FIDO Alliance și World Web Consortium, cheile de acces pot înlocui complet autentificarea bazată pe parole în viitorul apropiat. Cele mai mari companii de tehnologie extind treptat suportul pentru cheile de acces. Putem uita în curând de atacurile cu forță brută și accesul neautorizat.

După ani în care am găsit soluția potrivită pentru a oferi o experiență de autentificare mai consistentă, cheile de acces sunt aici pentru a ne simplifica viața și a ne proteja. Ar trebui să uiți deja ce sunt parolele? Nu încă, dar cu siguranță trebuie să fiți pregătit să utilizați cheile de acces.

Viitorul autentificării este cheile de acces! Conectați-vă la site-ul dvs. WordPress cu Biometrics disponibil numai în iThemes Security Pro

Problemele atacurilor cu forță brută prin umplerea acreditărilor, atacurile de phishing și parolele reutilizate au făcut viața noastră digitală mai puțin sigură. Cu toții am încercat să încurajăm autentificarea cu doi factori ca protecție, dar mai puțin de 30% dintre utilizatori folosesc de fapt 2FA. Autentificarea pe bază de parolă reprezintă o problemă.

Viitorul autentificării este cheile de acces, iar iThemes Security Pro este primul care aduce această tehnologie inovatoare pe site-urile WordPress. Folosind tehnologia revoluționară WebAuthn bazată pe criptografia publică/privată, cheile de acces fac parolele învechite. Acum, administratorii de site-uri web și utilizatorii finali pot avea conectări sigure fără inconvenientul unor aplicații suplimentare cu doi factori, manageri de parole sau cerințe complexe de parolă.

Aflați mai multe despre cheile de acces