వార్తలు

యాక్సెస్ కీలు పాస్‌వర్డ్‌లను భర్తీ చేస్తాయా? వారు చేయగలరా?

దైహిక విధానం నేను యాక్సెస్ కీలతో ఆడుతున్నాను లేదా అవి అధికారికంగా తెలిసిన, కనుగొనదగిన ఆధారాలతో ఆడుతున్నాను.

పాస్‌వర్డ్‌లకు ప్రత్యామ్నాయంగా యాక్సెస్ కీల గురించి ఆలోచించండి. అవి వెబ్ ప్రమాణీకరణలో నిర్వచించబడ్డాయి (WebAuthn) యొక్క స్పెసిఫికేషన్ W3C (వరల్డ్ వైడ్ వెబ్ కన్సార్టియం). ఈ పని అనేక మునుపటి ప్రయత్నాల నుండి ఉద్భవించింది, వాటితో సహా FIDO అలయన్స్ (FIDO = ఫాస్ట్ ఆన్‌లైన్ గుర్తింపు).

నా శీఘ్ర అభిప్రాయం యాక్సెస్ కీలు అవి మంచి ఆలోచన మాత్రమే, మరియు పాస్‌వర్డ్‌లకు బదులుగా వాటిని ఉపయోగించమని ప్రపంచాన్ని ఒప్పించగలిగితే, మనమందరం మెరుగ్గా ఉంటాము. ముఖ్యంగా ఫిషింగ్ విస్తృతంగా అవలంబిస్తే పెద్ద హిట్ అవుతుందని భావిస్తున్నారు. కానీ ఇది జరిగే అవకాశం లేదని నేను భయపడుతున్నాను, కారణాల వల్ల నేను ఒక క్షణంలో వివరిస్తాను.

మరింత సురక్షితమైన మరియు ఉపయోగించడానికి సులభమైన సిస్టమ్‌లను రూపొందించాలనే శాశ్వత అన్వేషణలో, కొన్ని ముఖ్యమైన అమలు సమస్యలు స్పష్టంగా కనిపిస్తాయి. భద్రత గురించి దైహిక దృక్పథం అవసరమని మరియు సిస్టమ్‌తో వినియోగదారు పరస్పర చర్యలను జాగ్రత్తగా ఆలోచించాలని నా అనుభవం నా నమ్మకాన్ని బలపరుస్తుంది.

యాక్సెస్ కీల వెనుక ఉన్న ప్రాథమిక ఆలోచన చాలా సులభం: వినియోగదారు (లేదా, ఎక్కువగా, వినియోగదారు-యాజమాన్య పరికరం) ఒక వెబ్‌సైట్ కోసం ప్రత్యేకంగా ఒక ప్రైవేట్/పబ్లిక్ కీ జతని సృష్టిస్తుంది మరియు వెబ్‌సైట్‌కి పబ్లిక్ కీని అందిస్తుంది. వినియోగదారు గతంలో ఏర్పాటు చేసిన వినియోగదారు పేరు మరియు పాస్‌వర్డ్ వంటి కొన్ని ఇతర పద్ధతులను ఉపయోగించి వెబ్‌సైట్‌లో తన గుర్తింపును నిరూపించుకుంటారు, బహుశా కొన్ని ఇతర అంశాలు కూడా ఉండవచ్చు. తరువాత ఉపయోగం కోసం వెబ్‌సైట్ పబ్లిక్ కీని నిల్వ చేస్తుంది. వినియోగదారు తదుపరిసారి సైట్‌ను ప్రామాణీకరించాలనుకున్నప్పుడు, సైట్ వినియోగదారుకు సవాలును జారీ చేస్తుంది, వారు సవాలుకు వారి ప్రతిస్పందనపై సంతకం చేయడానికి స్థానికంగా నిల్వ చేయబడిన ప్రైవేట్ కీని ఉపయోగిస్తారు. వినియోగదారుని ప్రమాణీకరించడానికి వెబ్‌సైట్ నిల్వ చేయబడిన పబ్లిక్ కీని ఉపయోగిస్తుంది.

కీ పాయింట్లు

అందుకే యాక్సెస్ కీలు పాస్‌వర్డ్‌లను భర్తీ చేస్తాయి, ప్రత్యేకంగా పబ్లిక్ కీ క్రిప్టోగ్రఫీ. వినియోగదారు ప్రైవేట్ కీ పరికరం నుండి ఎప్పటికీ నిష్క్రమించదు కాబట్టి, ఫిషింగ్ దాడి విజయవంతం కావడం చాలా కష్టం. ఫిషింగ్ అనేది సాధారణంగా వినియోగదారుని నకిలీ వెబ్‌సైట్‌లో నమోదు చేయడం ద్వారా వారి పాస్‌వర్డ్‌ను బహిర్గతం చేయడంపై ఆధారపడుతుంది. (అధునాతన దాడులు కొన్నిసార్లు వినియోగదారులు తమ రెండవ కారకాన్ని, ప్రత్యేక ఫోన్ కోడ్ వంటి వాటిని బహిర్గతం చేస్తాయి.)

యాక్సెస్ కీలు, వినియోగదారు పరికరానికి స్థానికంగా ఉండటంతో పాటు, నిర్దిష్ట సైట్‌కు ప్రత్యేకంగా ఉంటాయి – సవాలుకు ప్రతిస్పందించడానికి సంబంధిత ప్రైవేట్ కీని ఉపయోగించే ముందు అమలులు నిర్దేశించిన సైట్ నుండి ప్రమాణపత్రాన్ని ధృవీకరిస్తాయి. కాబట్టి, మీరు అనుకోకుండా పాస్‌కీని నకిలీ వెబ్‌సైట్‌లో ఉపయోగించలేరు. అదేవిధంగా, క్రాస్-సైట్ పాస్‌వర్డ్ పునర్వినియోగ సమస్యలు నివారించబడతాయి. పాస్‌వర్డ్ పునర్వినియోగం అంటే ఒక సైట్‌లోని భద్రతా ఉల్లంఘన ఇతరులపై యాక్సెస్‌ని పొందేందుకు ఉపయోగించబడుతుంది. యాక్సెస్ కీలతో ఇవేవీ జరగవు.

భద్రతకు ఒక దైహిక విధానం తప్పనిసరిగా సిస్టమ్‌లో భాగంగా వినియోగదారు వీక్షణను కలిగి ఉండాలి

కొన్ని బలహీనతలు మిగిలి ఉన్నాయి. సాంప్రదాయిక విధానాన్ని (యూజర్‌నేమ్ మరియు పాస్‌వర్డ్ వంటివి) ఉపయోగించి వినియోగదారు ప్రామాణీకరించడం ద్వారా ప్రక్రియ ప్రారంభించబడుతుంది, ఇది సాంప్రదాయ దాడులకు తెరిచి ఉంటుంది. దీన్ని తగ్గించడానికి ఒక మార్గం ఏమిటంటే, బహుళ-కారకాల ప్రమాణీకరణ (MFA) అవసరం – మరియు SMS ద్వారా పంపబడిన వన్-టైమ్ కోడ్‌ల కంటే మెరుగైన ఎంపికలు ఉన్నాయి, వీటిని నేను కవర్ చేస్తాను. పబ్లిక్ కీలకు ఎల్లప్పుడూ ఒక రకమైన ప్రారంభ ప్రక్రియ అవసరం అనే వాస్తవం నుండి బయటపడటం లేదు. (గుర్తుంచుకోవడానికి PGP కీ సంతకం పార్టీలు?)

కానీ ఒక సైట్ తదుపరి పాస్‌వర్డ్ లాగిన్ ప్రయత్నాలను నిషేధించకుండా యాక్సెస్ కీలను స్వీకరిస్తే, సిస్టమ్ మునుపటిలాగే ఫిషింగ్ దాడులకు గురయ్యే అవకాశం ఉంది. చాలా కాలం పాటు పాస్‌కీలను ఉపయోగించిన తర్వాత అకస్మాత్తుగా పాస్‌వర్డ్‌ల కోసం ప్రాంప్ట్ చేయబడితే వారు ఫిష్ చేయబడుతున్నారని అనుభవజ్ఞుడైన వినియోగదారు గుర్తించవచ్చు, అయితే భద్రతా దాడులను గుర్తించడానికి మేము వినియోగదారుల తీర్పుపై ఆధారపడినప్పుడు, మేము నిరాశకు గురవుతాము. పాస్‌వర్డ్‌లకు అదనంగా యాక్సెస్ కీలు జోడించబడుతున్నాయి కానీ (ఇంకా) వాటిని భర్తీ చేయడం లేదు అనే వాస్తవాన్ని పరిష్కరించని విశ్వసనీయ మూలాల నుండి బ్లాగ్ పోస్ట్‌లను చదవడం నన్ను బాధపెడుతోంది. పాస్‌వర్డ్‌లు మినహాయించబడిన సమయం రావచ్చు, కానీ ప్రస్తుత పథంలో మనం అక్కడికి ఎలా చేరుకోవాలో నాకు కనిపించడం లేదు.

ఆచరణలో

పాస్‌కీ అమలులో రెండు విస్తృత వర్గాలు ఉన్నాయి. ఒక విధానం USB కీ (ఉదా. Yubikey) వంటి నిర్దిష్ట హార్డ్‌వేర్ ముక్కకు కీని జత చేస్తుంది. లేదా పాస్‌కీని సెల్ ఫోన్‌లో నిల్వ చేయవచ్చు మరియు పాస్‌కీని యాక్సెస్ చేయడానికి ముందు బయోమెట్రిక్ ప్రమాణీకరణ (ఉదా., ముఖ గుర్తింపు) అవసరం కావచ్చు.

పాస్‌వర్డ్ అమలు యొక్క రెండవ తరగతి ఆధారాలను బహుళ పరికరాల మధ్య కాపీ చేయడానికి అనుమతిస్తుంది, సాధారణంగా ఆధారాలను సురక్షితంగా ఉంచడానికి మరియు పరికరాల్లో సమకాలీకరించడానికి కొన్ని రకాల పాస్‌వర్డ్ నిర్వాహికిని ఉపయోగిస్తుంది. ఈ సందర్భంలో, పబ్లిక్-ప్రైవేట్ కీ జత పాస్‌వర్డ్ మేనేజర్‌లో నిల్వ చేయబడుతుంది మరియు వినియోగదారుకు యాక్సెస్ కీ అవసరమైనప్పుడు వివిధ పరికరాల్లో (ల్యాప్‌టాప్‌లు, సెల్ ఫోన్‌లు మొదలైనవి) అందుబాటులో ఉంచబడుతుంది.

హార్డ్‌వేర్ టోకెన్‌లు ఫిషింగ్ దాడులను దాదాపు అసాధ్యం చేస్తాయి (అవి పాస్‌వర్డ్‌లను భర్తీ చేస్తే, పైన చూడండి), ఎందుకంటే వినియోగదారు యొక్క క్రెడెన్షియల్‌కు ప్రాప్యత పొందడానికి కీకి భౌతిక ప్రాప్యత మాత్రమే ఏకైక మార్గం. మరోవైపు, పాస్‌వర్డ్ మేనేజర్ అనేది పరికరాల మధ్య సమకాలీకరణను నిర్వహించడానికి సాధారణంగా కొంత క్లౌడ్ సేవను కలిగి ఉండే సాఫ్ట్‌వేర్ యొక్క భాగం. దాడి చేసే వ్యక్తి క్లౌడ్ సేవలోకి లాగిన్ చేయడానికి అవసరమైన ఆధారాలను యాక్సెస్ చేయగలిగితే, వారు అక్కడ నిల్వ చేసిన యాక్సెస్ కీలకు యాక్సెస్ కలిగి ఉంటారు. ఈ కారణంగా (ఇతరులలో), పాస్‌వర్డ్ నిర్వాహకులు తరచుగా కొన్ని రకాల బహుళ-కారకాల ప్రమాణీకరణతో సురక్షితంగా ఉంటారు. ఈ కారకాల్లో ఒకటి బయోమెట్రిక్ లేదా హార్డ్‌వేర్ టోకెన్ కూడా కావచ్చు.

ఒక ప్రక్కన, వివిధ పాస్‌వర్డ్ మేనేజర్ అమలుల భద్రతలో గణనీయమైన వైవిధ్యం ఉందని నేను గమనించాను. లాస్ట్‌పాస్, ఉదాహరణకు, స్పష్టంగా కొన్ని చేసింది చెడు డిజైన్ నిర్ణయాలు అని అర్థం ఒక ఉల్లంఘన ఇది అవసరం కంటే చాలా తీవ్రమైనది. మరోవైపు, 1 పాస్‌వర్డ్ వివరణ మీ పాస్‌వర్డ్ మేనేజర్‌లోని పాస్‌వర్డ్‌లను (లేదా యాక్సెస్ కీలు) ఎవరైనా యాక్సెస్ చేయగల ఏకైక మార్గం మీ అన్ని ప్రామాణీకరణ కారకాలకు (నా విషయంలో హార్డ్‌వేర్ టోకెన్‌ని కలిగి ఉంటే) యాక్సెస్ చేయగలదని సిస్టమ్ సెక్యూరిటీ ఆఫ్ సిస్టమ్ సూచిస్తుంది.

యాక్సెస్ కీలతో నా చివరి ఆందోళన ఏమిటంటే, “వినియోగదారుల కోసం దీన్ని సులభతరం చేయండి” పరీక్షలో అమలు విఫలమైనట్లు కనిపిస్తోంది, ఇది యాక్సెస్ కీల ఉద్దేశ్యం అని నా అభిప్రాయం. నేను 30 సంవత్సరాలుగా పబ్లిక్ కీ క్రిప్టోగ్రఫీని ఉపయోగిస్తున్నాను. (ఉద్యోగుల గురించి సున్నితమైన సమాచారాన్ని కలిగి ఉన్న ఇమెయిల్‌లను గుప్తీకరించడానికి అతని మేనేజర్లు PGPని ఉపయోగించాలని నా మొదటి బాస్ నొక్కిచెప్పారు – ఓహ్, ఆ రోజులు.) ఖచ్చితంగా పబ్లిక్ కీ క్రిప్టోగ్రఫీపై ఆధారపడిన మరో సాంకేతికతకు కారణం దాని వినియోగాన్ని సరళీకృతం చేయడమే. నేను యాక్సెస్ కీలను ఉపయోగించడానికి గందరగోళంగా ఉంటే, అది మరింత సాధారణ వినియోగదారులకు మంచిది కాదు. నేను మీకు ఒక ఉదాహరణ చెబుతాను.

వినియోగదారు ఇంటర్‌ఫేస్

నేను నా Apple Macలో నా WordPress.com ఖాతాకు పాస్‌కీని జోడించాలని నిర్ణయించుకున్నాను, కాబట్టి నేను నా ప్రస్తుత పాస్‌వర్డ్ మరియు రెండవ అంశం (హార్డ్‌వేర్ టోకెన్) ఉపయోగించి లాగిన్ చేసాను. నేను భద్రతా పేజీకి నావిగేట్ చేస్తాను; పాస్‌కీల ప్రస్తావన లేదు, కాబట్టి నేను “రెండు-కారకాల ప్రమాణీకరణ” క్లిక్ చేసి, ఆపై “సెక్యూరిటీ కీని జోడించు” క్లిక్ చేసాను.

సరే, నేను ఇక్కడ పాస్‌కీ కోసం పాస్‌వర్డ్‌ని ప్రత్యామ్నాయం చేయబోవడం లేదు; బదులుగా, నేను రెండవ అంశంగా భద్రతా కీని జోడిస్తాను. మరియు ఈ ఉదాహరణ యొక్క ప్రయోజనాల కోసం, నేను దానిని నా యుబికీలో నిల్వ చేయాలనుకుంటున్నాను. నేను “కీని జోడించు” క్లిక్ చేసినప్పుడు, నా దృష్టికి మూడు వేర్వేరు సాఫ్ట్‌వేర్ ముక్కలు పోటీపడతాయి.

మొదటిది పాస్‌వర్డ్ మేనేజర్, ఇది యాక్సెస్ కీ యొక్క నిల్వను అందిస్తుంది. (ఈ ప్రాసెస్‌లో యాక్సెస్ కీలు కనిపించడం ఇదే మొదటిసారి – సాధారణ వినియోగదారు ఎలా గందరగోళానికి గురవుతున్నారో మీరు చూడటం ప్రారంభించవచ్చు.) ఈ సందర్భంలో పాస్‌వర్డ్ మేనేజర్ పాల్గొనడం నాకు ఇష్టం లేదు, కాబట్టి నేను విండోను తీసివేస్తాను.

ఆ తర్వాత “సైన్ ఇన్” చేయడానికి (దేని కోసం? – నేను ఇప్పటికే సైట్‌లోకి లాగిన్ అయ్యాను) మరియు పాస్‌కీని సేవ్ చేయడానికి TouchIDని ఉపయోగించాలనుకుంటున్నారా అని అడుగుతున్న macOS విండో కనిపిస్తుంది. మళ్ళీ, విభిన్న పరిభాషను గమనించండి. నేను ఆ విండోను తీసివేసినప్పుడు, బ్రౌజర్ ప్రయత్నించాల్సిన సమయం ఆసన్నమైంది నాలుగు పాస్‌కీని సేవ్ చేసే మార్గాలు, చివరకు హార్డ్‌వేర్ టోకెన్‌లో నిల్వ చేసే ఎంపికతో సహా. నేను USB కీని ఇన్సర్ట్ చేసి కొనసాగిస్తాను.

పరిభాషలో అస్థిరత (యాక్సెస్ కీలు లేదా సెక్యూరిటీ కీలు) మరియు కేసులను (రిప్లేస్‌మెంట్ పాస్‌వర్డ్ లేదా బలమైన సెకను) ఉపయోగించడంతో పాటు యాక్సెస్ కీలను నిల్వ చేయడానికి మూడు వేర్వేరు సిస్టమ్‌లు ఒక నిజమైన ప్రదేశంగా పోరాడుతున్నందున ఇది గందరగోళ అనుభవం అని మనమందరం అంగీకరించగలమని నేను భావిస్తున్నాను. కారకం?)

అన్ని సాఫ్ట్‌వేర్‌లు “సహాయం” చేయాలనుకుంటున్నట్లు అనిపిస్తుంది, అయితే ఈ విభిన్న సాఫ్ట్‌వేర్ ముక్కలు ఒకదానితో ఒకటి మరియు తుది వినియోగదారుతో పరస్పర చర్య చేసే సిస్టమ్ స్థాయిలో ప్రవర్తనను ఎవరూ గమనించడం లేదు. నేను నా భార్యను (సామాజిక శాస్త్రవేత్త, కంప్యూటర్ శాస్త్రవేత్త కాదు) పాస్‌వర్డ్ మేనేజర్ మరియు 2FAను స్వీకరించమని ప్రోత్సహించాను, మరియు ఆమె నా నాయకత్వాన్ని అనుసరించడానికి చాలా సుముఖంగా ఉంది, కానీ గందరగోళ పరిభాష మరియు దిగ్భ్రాంతి కలిగించే ఎంపికల శ్రేణి తరచుగా (మరియు అర్థమయ్యేలా) నిరాశకు దారి తీస్తుంది. ఆమె వైపు.

భద్రత మరియు వినియోగానికి మధ్య దీర్ఘకాల ట్రేడ్-ఆఫ్ ఉంది. భద్రతకు దైహిక విధానాన్ని తీసుకోవడం చాలా ముఖ్యం మరియు ఇది సిస్టమ్‌లో భాగంగా వినియోగదారు వీక్షణను చేర్చాలని నేను నమ్ముతున్నాను. మీరు భద్రతా సాంకేతికతను వినియోగదారులకు తగినంత సులభతరం చేయలేకపోతే, అది మంచి భద్రతను అందించే అవకాశం లేదు.

యాక్సెస్ కీలు మరియు WebAuthn స్పెసిఫికేషన్‌లు కేవలం టెక్-అవగాహన ఉన్న డొమైన్‌కు బదులుగా పబ్లిక్ కీ క్రిప్టోగ్రఫీని రోజువారీ వినియోగదారులకు అందుబాటులో ఉండేలా చేయడానికి ఉద్దేశించబడ్డాయి. సరిగ్గా చేస్తే, వారు వెబ్‌లో భద్రతను తీవ్రంగా మెరుగుపరుస్తారు.

ప్రైవేట్/పబ్లిక్ కీ జతల సృష్టి మరియు వినియోగాన్ని నిర్వహించడానికి విస్తృత ఎంపిక ప్రమాణీకరణ పరికరాలను (FIDO కీలు లేదా పాస్‌వర్డ్ నిర్వాహకులు వంటివి) అనుమతించే చక్కగా నిర్వచించబడిన API ఉంది. కానీ తుది వినియోగదారుకు విషయాలు మరింత స్థిరంగా మరియు సున్నితంగా ఉంటే తప్ప, ఇది PGP లాగా ముగుస్తుందని నేను భయపడుతున్నాను లేదా క్లయింట్ సర్టిఫికేట్లు TLSలో: చాలా మంది వినియోగదారులపై తక్కువ ప్రభావాన్ని చూపే సాంకేతికంగా చెల్లుబాటు అయ్యే పరిష్కారం. ®

Source

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button