מפתחות סיסמה מחליפים סיסמאות בתחומים שונים, כאשר אפילו בנקים גדולים נכנסים לסיפון. אבל האם הם עומדים בהבטחה לאימות מאובטחת ושמישה ללא סיסמה?
NAB מבטל סיסמאות בהדרגה לטובת מפתחות סיסמה, ביומטריה
ה-NAB של אוסטרליה מצביע בחיוב. ידיעה מהחברה אומרת שהיא "מצפה לבטל את הסיסמאות לבנקאות באינטרנט בחמש השנים הקרובות, ולהחליף את אמצעי האבטחה בטֶכנוֹלוֹגִיָה."
Ubank, שירות הבנקאות הדיגיטלית של NAB, כבר מציע בחירהעבור לקוחות חדשים. הושקה ללקוחות קיימים יוצאת לדרך.
נציגי הבנק אומרים שמפתחות סיסמה מציעים חלופה מאובטחת לסיסמאות, שהופכות יותר ויותר לפרצות מידעשיכול להוביל לגניבת זהות.
מפתחות סיסמה המקושרים לביומטריה מאפשרים אבטחה בכל "מערכת האקולוגית של המכשיר המהימנה של הלקוח". כלומר ברגע שנוצר מפתח סיסמה, "לקוחות יכולים להיכנס לאפליקציית Ubank באותו אופן כפי שהם היו עושים כדי לבטל את נעילת המכשיר הנייד שלהם, באמצעות טביעת אצבע או, PIN או תבנית החלקה."
NAB, אם כן, מסכים עםותומכים אחרים במפתחי סיסמה שמפתחות גישה מציעים הגנה אבטחה טובה יותר מאשר סיסמאות.
אבל האם הםטוֹב?
מפתחות סיסמה 'לא יכולים להיחשב לאבטחה שמיש': Goodin
שמא אחד מאמין לשעבר אומר, לא באמת. עבור Ars Technica, עורך האבטחה הבכיר דן גודין עושה אתטַעֲנָהשמפתחות גישה נופלים קורבן לאותו גורל כמו הרבה חידושים טכנולוגיים: נהדר בתיאוריה, אבל ביצוע גרוע.
"הוקודמו של WebAuthn החופף שעומד בבסיס מפתחות הסיסמה הם לא פחות מאלגנטיות טהורה", כותב גודין. והשימוש במגמת עלייה: "מפתחות סיסמה נתמכים כעת במאות אתרים ובערך תריסר מערכות הפעלה ודפדפנים."
"למרבה הצער, מכיוון שהתמיכה הפכה להיות נפוצה בכל מקום בדפדפנים, מערכות הפעלה, מנהלי סיסמאות והצעות אחרות של צד שלישי, הקלות והפשטות שנצפו בוטלו - עד כדי כך שהם לא יכולים להיחשב לאבטחה שמיש, מונח שאני מגדיר כאמצעי אבטחה שקל להשתמש בו, או רק בהדרגה יותר, לשימוש."
עבור Goodin, מפתחות סיסמה עשויים להיות טובים יותר מסיסמאות, במיוחד במקרים של שימוש ארגוני. אבל הם לא מספיק טובים.
חלק מזה מסתכם בכך שיותר מדי קולות מצאו יותר מדי בעיות, ולא עובדים יחד כדי לתקן אותן. גודין מצטט את ויליאם בראון, מהנדס תוכנה המתמחה ב, שאומר "יש מחסומים בכל תור שמנחים אותך דרך רעיון של מפתח כיצד עליך להשתמש" במפתחי סיסמה.
"אף אחד מהם לא מפר עסקות, אבל הם מסתכמים".
הבעיה מצביעה על שאלה ערכית בסיסית עם מפתחות סיסמה. אלא אם הם יכולים להיות דבר אחד עבור רוב האנשים - בדומה לאימות כפי שצ'אפסטיק הוא לשפתון - במקום חבורה של חוויות כניסה שונות שנאספו תחת מונח אחד, האם הם יכולים אי פעם להיות מה שהם שואפים להיות?
ובהתחשב במורכבות של המערכת האקולוגית הדיגיטלית על פני דפדפנים, מערכות הפעלה, אפליקציות ופלטפורמות, כיצד ניתן אי פעם להתחברות מאובטחת מספיק כדי לספק את תו הזהב של ללא חיכוכים?
כדי להמשיך ברישום מפתח סיסמה, התחבר עם ה-OTP שלך
Goodwin מתאר ניסיון ליצור מפתח סיסמה עבור אחשבון ב-Firefox, מה שמוביל לצרור של הנחיות ותגובות "לא אינטואיטיביות" של ארנב. הוא גם מציין את הביקורת לפיה "הטמעות של מפתחות עד היום נועלות משתמשים בפלטפורמה שבה הם יצרו את האישור".
במצטבר, החסימות, העקיפות והבלבול של השילוט הדיגיטלי מסתכמים בסבך טכני וחוויתי שלא מושך יותר את האדם הממוצע מהצורך לזכור תריסר סיסמאות שונות, ולאפס נשכחות לפי הצורך.
לוגיקה עיצובית קונבנציונלית אומרת ראשית לזהות את הבעיה שאתה פותר. בהבטחת קלות שימוש, עיצוב כלי אבטחה אלגנטי מבחינה טכנית ולאחר מכן אספקתו בחבילה מתסכלת כמו מה שהוא אמור להחליף,יכול להיות שהוא מפשפש בעבודה הבסיסית של להקל על הכניסה לדברים מבלי לדאוג לנתונים גנובים.
"אני עדיין חושב שמפתחות סיסמה מספקים את ההבטחה הגדולה ביותר עד כה למילוי מלכודות האבטחה הרבות של סיסמאות ולהורדת הקושי לזכור ולאחסן אותן", אומר גודווין. "לעת עתה, הטרחה של שימוש במפתחות סיסמה, יחד עם האבטחה המופחתת שלהם שנוצרה על ידי נוכחות של תקלות, פירושו שאף אחד לא צריך להרגיש כמו טכנופוב או פיגר על עמידה בסיסמאות שלו."
"עם כל מזל, מפתחות כניסה יהיו מוכנים יום אחד להמונים, אבל היום הזה (עדיין) לא כאן."
נושאי מאמר
|||||||
