Conform ArenaIT: Parolele digitale, pe cale de dispariție: passkey-urile vin să revoluționeze securitatea online
Lumea digitală, sufocată de parole complexe și vulnerabile la furt, se află în fața unei transformări majore. Passkey-urile, o tehnologie nouă bazată pe criptografie, promit să înlocuiască parolele tradiționale, oferind o securitate sporită și o experiență de utilizare simplificată. Această schimbare fundamentală are deja susținerea giganților tehnologici precum Google, Apple și Microsoft.
De la nevoia de intimitate la vulnerabilitatea generalizată
Parolele, concepute inițial la începutul anilor ’60 pentru a permite mai multor utilizatori să folosească același computer, și-au depășit cu mult scopul inițial. Deși au evoluat prin metode precum hashing și salt-ul pentru a nu mai fi stocate ca text simplu, esența problemei a rămas. Parola rămâne un secret pe care utilizatorul îl cunoaște și serviciul îl verifică, creând o vulnerabilitate majoră în cazul compromiterii.
Refolosirea parolelor, adaptarea ușoară a acestora în funcție de anul curent sau simpla mnemonică a utilizatorilor fac ca parolele să fie ținte ușoare pentru atacurile de tip credential stuffing și phishing. Deși codurile primite prin SMS par o soluție, ele pot fi interceptate prin diverse metode, de la SIM swap la malware.
Cum funcționează passkey-urile și ce beneficii aduc
Passkey-urile elimină nevoia de a memora și tasta parole. Ele funcționează pe baza unei perechi de chei criptografice: o cheie publică, partajată cu serviciul online, și o cheie privată, ce rămâne stocată pe dispozitivul utilizatorului (telefon, laptop, tabletă) sau într-un manager de parole. Autentificarea se realizează printr-o provocare criptografică trimisă de server, pe care dispozitivul o semnează cu cheia privată. Esențial, cheia privată nu părăsește niciodată dispozitivul sau managerul, sporind considerabil securitatea.
În cazul unui atac asupra unui server, atacatorii nu vor găsi parole utilizabile, ci doar chei publice, fără valoare pentru autentificare. De asemenea, sistemul de operare și browserul recunosc domeniul real, prevenind succesul clonelor de site-uri web utilizate în atacurile de phishing. Experiența utilizatorului devine mai fluidă, autentificarea fiind confirmată prin amprentă, Face ID, Windows Hello sau PIN, fără a mai fi necesară tastarea parolei sau introducerea unui cod SMS.
Passkey-urile pot fi sincronizate prin ecosistemele existente, precum iCloud Keychain sau Google Password Manager, facilitând restaurarea pe noi dispozitive. Există și opțiuni mai stricte, legate de o singură cheie hardware, ce oferă securitate sporită, dar implică riscul pierderii accesului în lipsa unei metode de recuperare. Specialiștii recomandă, pentru conturile critice, utilizarea a cel puțin două metode de acces.
Viitorul autentificării: spre o lume fără parole
Deși nu sunt invulnerabile – un dispozitiv infectat cu malware sau accesul fizic la telefon pot compromite securitatea – passkey-urile reprezintă un pas major în direcția corectă. Mari companii precum Meta, Amazon și PayPal au integrat deja suportul pentru passkeys, iar standardele FIDO2 și WebAuthn sunt tot mai răspândite în browsere și sisteme de operare.
Passkey-urile nu vor elimina parolele peste noapte, având în vedere fragmentarea și vechimea multor servicii online. Totuși, opțiunea „Sign in with passkey” va deveni o prezență tot mai comună. Pentru utilizatorul obișnuit, recomandarea este activarea passkey-urilor pe conturile importante, utilizarea unui manager de parole performant și evitarea dependenței de SMS pentru autentificarea în doi pași. Criptografia modernă, aplicată prin intermediul passkey-urilor, mută accentul de pe memorarea și protejarea unui secret pe gestionarea unui proces securizat, reducând semnificativ posibilitatea erorilor umane.
Sursa: ArenaIT
