Majkrosoft je krajem godine objavio rezultate svoje kampanje za prelazak sa klasičnih lozinki na passkey sistem autentifikacije, mada bez otkrivanja konkretnih brojki o ukupnom broju aktivnih korisnika.
Softverski gigant navodi da je za povećano korišćenje passkey sistema najviše zaslužan pažljivo osmišljen pristup korisnicima kroz kontinuirane notifikacije, poznat kao "nudge" sistem.
Sandžita Randžit, menadžerka proizvoda, objašnjava da kompanija pažljivo dozira učestalost ovih notifikacija kako ne bi opteretili korisnike, posebno uzimajući u obzir da se one ne mogu isključiti.
Šta zapravo znači rast od 987%? Prema podacima koje je Majkrosoft objavio, novo iskustvo prijavljivanja rezultiralo je smanjenjem upotrebe standardnih lozinki za 10 odsto, dok je korišćenje passkey verifikacije poraslo za navedenih 987 procenata. Međutim, bez početnih brojki, teško je proceniti stvarni uticaj ovog rasta. Ako je, na primer, početni broj korisnika bio mali, čak i ovako dramatičan procentualni rast možda ne predstavlja značajan deo ukupne korisničke baze Majkrosofta.
Bil Gejts je još 2004. godine na RSA Security konferenciji predvideo "smrt lozinki". Dve decenije kasnije, ova vizija počinje da se ostvaruje kroz konkretna tehnološka rešenja.
Od 2013. godine, Alijansa za brzi identitet (FIDO) radi na standardizaciji beskompromisne autentifikacije. Razvoj WebAuthn standarda i FIDO2 projekta omogućio je implementaciju passkey tehnologije na konzistentan način kroz različite platforme i uređaje.
Kako passkey zapravo funkcioniše? Tehnologija se zasniva na kriptografiji javnog ključa. Kada korisnik kreira passkey, generiše se privatni ključ koji se bezbedno čuva na uređaju i povezuje sa sistemom za otključavanje (biometrijski podaci ili PIN). Odgovarajući javni ključ se čuva na serveru aplikacije.
Zašto je passkey sigurniji od klasičnih lozinki? Glavna prednost ovog sistema je što na serverima nema osetljivih podataka koji bi mogli biti ukradeni, jer javni ključevi ne zahtevaju posebnu zaštitu. Dodatno, svaki passkey je vezan za konkretnu aplikaciju, što sprečava zloupotrebe vezane za višestruko korišćenje istih pristupnih podataka.
Koji su izazovi i potencijalni problemi? Uprkos impresivnim statistikama rasta, sistem nije bez mana. Kompromitovan uređaj može dovesti do otkrivanja privatnih ključeva, a postoji i rizik od socijalnog inženjeringa koji može navesti korisnike da kreiraju passkey za maliciozne servise.
Izazov predstavlja i mogući gubitak pristupa uređaju na kojem su sačuvani passkey ključevi - u tom slučaju potreban je alternativni metod autentifikacije, što može uključivati tradicionalne lozinke ili kompleksniji proces oporavka naloga. Takođe, prenosivost passkey ključeva između različitih platformi i aplikacija za upravljanje pristupnim podacima još uvek nije potpuno razrađena.
0 komentara