Πως σας ακούγεται ένα μέλλον που δε θα απαιτούσε να θυμόσαστε ή να διαχειρίζεστε μεγάλες λίστες κωδικών πρόσβασης; Φαίνεται ότι ένα τέτοιο μέλλον είναι προ των πυλών. Να μπορείτε δηλαδή να συνδεθείτε με υπηρεσίες, υλικά και εφαρμογές χωρίς την χρήση του γνωστού 123456.
Τι σημαίνει “χωρίς κωδικό πρόσβασης”;
Η σύνδεση χωρίς κωδικό πρόσβασης (αγγλική ορολογία = Passwordless)
καταργεί την ανάγκη παροχής κωδικού πρόσβασης, είτε πρόκειται για έναν
αλφαριθμητικό κωδικό που πρέπει να θυμάστε, είτε τον παρακολουθείτε σε
έναν διαχειριστή κωδικών πρόσβασης. Θα πρέπει ακόμα να θυμάστε ένα
αναγνωριστικό όπως το όνομα χρήστη ή μια διεύθυνση email, αλλά θα
αποδεικνύετε την ταυτότητά σας με κάποιο άλλο τρόπο.
Στην εποχή του ελέγχου ταυτότητας δύο παραγόντων (F2A) υπάρχουν ήδη τέτοιου είδους εφαρμογές χωρίς κωδικό πρόσβασης. Ο τελικός στόχος αυτής της λογικής είναι να αφαιρέσουν εντελώς τους κωδικούς πρόσβασης, και να σας επιτρέπουν να επαληθεύσετε την ταυτότητά σας χρησιμοποιώντας άλλα μέσα.
Τέτοια μέσα μπορεί να είναι μια εφαρμογή ελέγχου ταυτότητας για κινητά, στην οποία έχετε πρόσβαση μόνο εσείς, βιομετρικά στοιχεία όπως δακτυλικό αποτύπωμα ή σάρωση προσώπου, μια φυσική συσκευή όπως κάρτα-κλειδί ή USB stick ή λιγότερο ασφαλείς προσεγγίσεις όπως κωδικοί επαλήθευσης μέσω SMS ή email.
Φυσικά όλα τα παραπάνω μπορεί να συνυπάρχουν και να σας ζητηθεί να χρησιμοποιήσετε περισσότερες από μία μεθόδους για να αποδείξετε την ταυτότητά σας.
Έχουν ήδη γίνει βήματα στην ανάπτυξη συνδέσεων χωρίς κωδικό πρόσβασης, χάρη σε νέα πρότυπα, όπως ο έλεγχος ταυτότητας Ιστού (WebAuthn). Αυτή η προσέγγιση καταργεί την ανάγκη αποθήκευσης βιομετρικών δεδομένων, όπως δακτυλικών αποτυπωμάτων ή ομοιοτήτων προσώπων, σε έναν κεντρικό διακομιστή, κάτι που θα μπορούσε να έχει καταστροφικές επιπτώσεις στην ασφάλεια.
Ο έλεγχος ταυτότητας Ιστού (Web Authentication) επιτρέπει σε ευαίσθητα δεδομένα να παραμένουν στη συσκευή σας, ενώ μόνο ένα κλειδί αποστέλλεται στον διακομιστή. Η επαλήθευση πραγματοποιείται τοπικά στη συσκευή σας, η οποία στη συνέχεια επαληθεύεται χρησιμοποιώντας ένα δημόσιο κλειδί στο διακομιστή. Αυτό καταργεί την ανάγκη προστασίας μυστικών πληροφοριών σε έναν διακομιστή (όπως ένας κωδικός πρόσβασης), καθώς το “password” υπάρχει μόνο στην τοπική συσκευή σας.
Ποια πλεονεκτήματα του Passwordless;
Ένα από τα μεγαλύτερα οφέλη της μη χρήσης κωδικού πρόσβασης είναι η απλότητα. Ενώ οι περισσότεροι άνθρωποι έχουν ήδη προσαρμοστεί στη χρήση των διαχειριστών κωδικών πρόσβασης, εξακολουθούν να υπάρχουν ορισμένοι κωδικοί πρόσβασης (όπως οι κύριοι κωδικοί πρόσβασης ενός password manager) που πρέπει να κρατάτε στο μυαλό σας. Δεν μπορείτε να αποθηκεύσετε τον κωδικό πρόσβασης της βάσης δεδομένων, που περιέχει τους κωδικούς πρόσβασής σας!.
Προχωρόντας χωρίς κωδικό πρόσβασης, μπορείτε να επαληθεύσετε την ταυτότητά σας χωρίς να χρειάζεται να θυμάστε τίποτα. Ίσως χρειαστεί να κάνετε έλεγχο ταυτότητας με μια εφαρμογή για κινητό τηλέφωνο ή να σαρώσετε το πρόσωπο ή το δακτυλικό σας αποτύπωμα και αυτό είναι όλο.
Καταργώντας εντελώς τους κωδικούς πρόσβασης, αφαιρείτε ένα σημείο αδυναμίας στην ασφάλεια ενός λογαριασμού. Αυτό δεν πρόκειται να πραγματοποιηθεί εν μία νυκτί και θα χρειαστεί χρόνος για να συμβιβαστούν πολλοί με ένα μέλλον που χρησιμοποιεί εναλλακτικές μεθόδους επαλήθευσης. Ο επιχειρηματικός κόσμος υιοθετεί ήδη τέτοιες λύσεις, όπως το YubiKey, καθώς το κόστος που σχετίζεται με παραβιάσεις κωδικών πρόσβασης μπορεί να είναι τόσο μεγάλο.
Αυτό το κόστος δεν σημαίνει πάντα και χρήματα. Μπορεί να είναι σπατάλη χρόνου σύνδεσης, πνευματικής κούρασης και αποφυγής λαθών. Οι λύσεις χωρίς κωδικό πρόσβασης δεν θα είναι πάντα απαλλαγμένες από τριβές, αλλά δίνουν λιγότερη έμφαση στον τελικό χρήστη για να θυμάται ή να προστατεύει μια αυθαίρετη σειρά αριθμών, συμβόλων και γραμμάτων.
Ποιες Υπηρεσίες σάς επιτρέπουν Passwordless;
Μέχρι στιγμής μόνο η Microsoft σάς επιτρέπει να συνδεθείτε πλήρως χωρίς κωδικό πρόσβασης. Αυτό σημαίνει ότι μπορείτε να αφαιρέσετε πλήρως τον κωδικό πρόσβασής σας από τον λογαριασμό σας και να χρησιμοποιήσετε τις υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Xbox, Microsoft 365 και Windows, χωρίς να χρειάζεται να πληκτρολογήσετε ή να επικολλήσετε κάποιον κωδικό πρόσβασης.
Μπορείτε να το κάνετε αυτό κατεβάζοντας την εφαρμογή Microsoft Authenticator για Android ή iOS και στη συνέχεια, να συνδεθείτε στον λογαριασμό σας στην Microsoft σε ένα πρόγραμμα περιήγησης ιστού. Μόλις συνδεθείτε, επιλέξτε “Επιλογές ασφαλείας για προχωρημένους” και, στη συνέχεια, κάντε κύλιση προς τα κάτω στην επιλογή “Πρόσθετη ασφάλεια” και κάντε κλικ στο “Ενεργοποίηση” δίπλα στην επιλογή για έναν λογαριασμό χωρίς κωδικό πρόσβασης.
Ως μέρος της διαδικασίας θα κληθείτε να αποθηκεύσετε ορισμένους εφεδρικούς κωδικούς τους οποίους μπορείτε να χρησιμοποιήσετε για να συνδεθείτε στον λογαριασμό σας Microsoft σε περίπτωση που χάσετε την πρόσβαση στην εφαρμογή Microsoft Authenticator. Μπορείτε πάντα να επισκεφτείτε ξανά τον ιστότοπο επιλογών ασφαλείας της Microsoft και να απενεργοποιήσετε τη δυνατότητα, η οποία επαναφέρει τη σύνδεση με κωδικό πρόσβασης στο λογαριασμό σας.
Η Google κινείται επίσης προς ένα μέλλον χωρίς κωδικό πρόσβασης, με την εταιρεία να ανακοινώνει τον Μάιο του 2021 ότι «δημιουργεί ένα μέλλον όπου μια μέρα δεν θα χρειαστείτε καθόλου κωδικό πρόσβασης». Εάν διαθέτετε συσκευή Android, μπορείτε να χρησιμοποιήσετε το smartphone σας για να συνδεθείτε στον ιστό, απλώς συνδεθείτε στον λογαριασμό σας Google, πατήστε «Ασφάλεια» και μετά επιλέξτε «Ρύθμιση» στην επιλογή “Χρησιμοποιήστε το τηλέφωνο σας για να συνδεθείτε”.
Και η Apple έχει κάτι αντίστοιχο σε iOS 15 και macOS 12.
Το Passwordless λύση δεν είναι τέλειο
Καμία λύση δεν είναι τέλεια, ή εντελώς αλάνθαστη. Μπορεί να χάσετε την φυσική πρόσβαση
σε μια συσκευή ή να αφήσετε κάτι συνδεδεμένο που θα μπορούσε να θέσει
τους λογαριασμούς σας σε κίνδυνο. Ακόμη και το Face ID και το Touch ID
μπορούν να χρησιμοποιηθούν σε άτομα που κοιμούνται ή έχουν χάσει τις
αισθήσεις τους. Μέχρι και το DeepFake μπορεί να μπει στο κόλπο.
Ίσως το μεγαλύτερο εμπόδιο θα είναι η υιοθέτηση των περισσότερων ανθρώπων να εγκαταλείψουν τους κωδικούς πρόσβασής τους υπέρ ενός νέου τρόπου. Γιατί, ακόμα και σαν ατελής λύση δεν είναι λόγος να την πετάξετε έξω.
Οι κωδικοί πρόσβασης έτσι κι αλλιώς είναι ξεπερασμένοι και μη πρακτικοί και ήρθε η ώρα να προχωρήσετε.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
Το blog TEO O ΜΑΣΤΟΡΑΣ ουδεμία ευθύνη εκ του νόμου φέρει σχετικά σε άρθρα που αναδημοσιεύονται από διάφορα ιστολόγια. Δημοσιεύονται όλα για την δική σας ενημέρωση.