گوگل و سایر شرکتها با اتحاد FIDO کار میکنند تا نحوه عملکرد امنیت آنلاین را با استفاده از مفهومی که آن را Passkey مینامند، تغییر دهند. این یک ایده عالی با چند نقص است که به این معنی است که واقعاً چیزی نیست که گوگل باید آن را به همه ارائه دهد.
کلیدهای عبور با استفاده از دو عنصر حیاتی کار می کنند: سخت افزار ویژه ای که در حال حاضر در اکثر بهترین تلفن های اندرویدی وجود دارد و نرم افزار رمزنگاری که تمام مشخصات را برآورده می کند تا اعتبار FIDO نامیده شود.
هنگامی که تلفن خود را راه اندازی می کنید، یک کلید منحصر به فرد ایجاد می شود و در محفظه ایمن تلفن شما ذخیره می شود. این شناسه با استفاده از استانداردهای FIDO برای ایجاد مجموعهای از اعتبارنامهها که میتوانند به هر دستگاهی که با تلفن شما در ارتباط است، یا هر نرمافزاری که روی آن دستگاه در حال اجرا است، مانند مرورگر وب یا یک برنامه، منتقل شود.
پس از تنظیم همه چیز، تنها کاری که باید انجام دهید این است که قفل گوشی خود را باز کنید تا این اعتبارنامه های امن را ارائه دهید.
شما هیچ اطلاعاتی ارائه نمی کنید که بتوان از آن برای شناسایی شما استفاده کرد، اما هر مجموعه ای از اعتبارنامه ها هنوز منحصر به فرد هستند. تنها مؤلفه آنلاین یک کلید پشتیبان ذخیره شده در ابر است تا به شما کمک کند حساب های خود را بازیابی کنید.
به عبارت ساده، این بدان معنی است که تلفن شما یک کلید را ذخیره می کند. وقتی می خواهید به یک حساب آنلاین که با کلیدهای عبور کار می کند دسترسی پیدا کنید، قفل گوشی خود را باز می کنید و کلید ثابت می کند که واقعاً شما هستید.
من این آینده را دوست دارم که در آن رمز عبور و نام کاربری واقعا وجود ندارد. نه به اندازه اپل و گوگل که می دانند برای استفاده از آن تقریباً باید یک تلفن سازگار داشته باشید و تنها دو انتخاب واقعی وجود دارد – iOS و Android – اما فکر می کنم این یک گام در مسیر درست است.
با این حال، توصیه نمیکنم به محض مشاهده درخواست یا دریافت ایمیل از Google، آن را روشن کنید. فقط کاملاً آماده نیست.
خود فرآیند سوار شدن کمی نیمه کاره است. برخی از همکاران من اینجا در Android Central به طور نیمه موفقیت آمیزی از آن عبور کرده اند و پس از سر زدن به یک کد QR نمایش داده شده در تلفن و درخواست اسکن آن با همان تلفن، URL هایی که خراب هستند و در واقع با ضربه زدن کاری انجام نمی دهند. بر روی آنها، و به ما گفته شد که کلید امنیتی USB باید درج شود، حتی اگر یکی از آنها هرگز تنظیم نشده باشد، همه ما به یک نتیجه رسیدیم – این برای زمان اصلی آماده نیست.
این بدان معنا نیست که نمی تواند در آینده آماده باشد یا نخواهد بود. ما قبلاً این مورد را از Google دیدهایم – قابلیتی را که هنوز هم نیاز به جلا دادن زیادی دارد قبل از اینکه آن را در اختیار میلیاردها کاربر قرار دهید – و ما مشاهده کردهایم که Google به سرعت آن را تغییر داده و آن را همانطور که در نظر داشت عمل میکند. این بدان معناست که در حال حاضر، راه اندازی حساب خود با یک رمز عبور ممکن است تجربه بسیار ضعیفی باشد.
این مشکل واقعی نیست، حداقل به نظر من. مشکل من این است که به یک دستگاه فیزیکی متصل است که اگر میخواهید از یک سرویس آنلاین استفاده کنید، باید در دسترس داشته باشید.
آن دستگاه نباید یک تلفن باشد. همچنین میتوانید از یک کلید امنیتی فیزیکی، یک پوشیدنی یا هر چیزی که از سختافزار و نرمافزار صحیح پشتیبانی میکند، برای احراز هویت استفاده کنید. و این به خوبی کار می کند – من از a استفاده می کنم کلید USB سازگار با FIDO به عنوان یک روش احراز هویت دو مرحله ای برای دسترسی به حساب های من. همچنین میدانم که برای مواقعی که کلیدم را ندارم مانند امروز که در خانه در دفترم نیستم، راهحل پشتیبان آسانی دارم. Google Authenticator یا حتی پیامک می تواند نجات دهنده باشد.
با این حال، اکثر مردم از تلفن خود به عنوان رمز عبور استفاده می کنند. شما قبلاً آن را دارید، پول زیادی برای آن خرج کردهاید و شرکتی که آن را از آن خریدهاید به شما گفته است که همه چیز در مورد آن چقدر امن است. علاوه بر این، گوگل استفاده از تلفن شما را آسان می کند زیرا می خواهد شما حتی بیشتر به تلفن خود متکی باشید.
با این حال، از خود بپرسید، ممکن است گوشی خود را گم کنید؟ اینجاست که کارها به این راحتی نیست.
از نظر تئوری، تنها کاری که برای فعال کردن مجدد کلید امن خود باید انجام دهید این است که با یک تلفن جدید وارد حساب Google خود شوید. حتی “آینده بدون رمز عبور” همچنان به یک رمز عبور نیاز خواهد داشت. در حالی که من نتوانستم این را آزمایش کنم، می گویم احتمالاً همانطور که در نظر گرفته شده است کار می کند زیرا کم پیچیدگی ترین بخش سیستم است – یک نسخه پشتیبان از بخش مهم، اما بی فایده به خودی خود در فضای ابری برای بازیابی ذخیره کنید. همیشه به آن نیاز داشته باشید
امیدواریم دسترسی به حساب Google خود قفل نشده باشید و بتوانید گذرواژه واقعی را که به شما گفته شده است به خاطر بسپارید و راهی برای دریافت پیامک از Google یا ورود به برنامه احراز هویت داشته باشید. همه بدون گوشی شما در دستان شما. خداوند به شما کمک کند اگر تلفن شما به سرقت رفت و شخصی حساب شما را با استفاده از چندین بار ورود به آن شیلنگ کرد.
اینها مسائل واقعی هستند که هر روز درباره آنها می شنویم. در حال حاضر وحشتناک است که نمی توانید به کسی کمک کنید تا به حساب خود که سال ها عکس در آن ذخیره شده است بازگردد. عدم دسترسی به لاگین آنها برای چیزهایی از نتفلیکس تا بانکشان در حالی که همه چیز مرتب می شود یک کابوس است.
به زودی همه ما از کلیدهای عبور استفاده خواهیم کرد زیرا چاره ای نخواهیم داشت. قبل از اینکه این اتفاق بیفتد، مطمئن هستم که کسی به فکر کاربرپسندتر کردن سیستم باشد.
منبع: https://www.androidcentral.com/phones/the-problem-with-passkeys