యాక్సెస్ కీలు పాస్వర్డ్లను భర్తీ చేస్తాయా? వారు చేయగలరా?
దైహిక విధానం నేను యాక్సెస్ కీలతో ఆడుతున్నాను లేదా అవి అధికారికంగా తెలిసిన, కనుగొనదగిన ఆధారాలతో ఆడుతున్నాను.
పాస్వర్డ్లకు ప్రత్యామ్నాయంగా యాక్సెస్ కీల గురించి ఆలోచించండి. అవి వెబ్ ప్రమాణీకరణలో నిర్వచించబడ్డాయి (WebAuthn) యొక్క స్పెసిఫికేషన్ W3C (వరల్డ్ వైడ్ వెబ్ కన్సార్టియం). ఈ పని అనేక మునుపటి ప్రయత్నాల నుండి ఉద్భవించింది, వాటితో సహా FIDO అలయన్స్ (FIDO = ఫాస్ట్ ఆన్లైన్ గుర్తింపు).
నా శీఘ్ర అభిప్రాయం యాక్సెస్ కీలు అవి మంచి ఆలోచన మాత్రమే, మరియు పాస్వర్డ్లకు బదులుగా వాటిని ఉపయోగించమని ప్రపంచాన్ని ఒప్పించగలిగితే, మనమందరం మెరుగ్గా ఉంటాము. ముఖ్యంగా ఫిషింగ్ విస్తృతంగా అవలంబిస్తే పెద్ద హిట్ అవుతుందని భావిస్తున్నారు. కానీ ఇది జరిగే అవకాశం లేదని నేను భయపడుతున్నాను, కారణాల వల్ల నేను ఒక క్షణంలో వివరిస్తాను.
మరింత సురక్షితమైన మరియు ఉపయోగించడానికి సులభమైన సిస్టమ్లను రూపొందించాలనే శాశ్వత అన్వేషణలో, కొన్ని ముఖ్యమైన అమలు సమస్యలు స్పష్టంగా కనిపిస్తాయి. భద్రత గురించి దైహిక దృక్పథం అవసరమని మరియు సిస్టమ్తో వినియోగదారు పరస్పర చర్యలను జాగ్రత్తగా ఆలోచించాలని నా అనుభవం నా నమ్మకాన్ని బలపరుస్తుంది.
యాక్సెస్ కీల వెనుక ఉన్న ప్రాథమిక ఆలోచన చాలా సులభం: వినియోగదారు (లేదా, ఎక్కువగా, వినియోగదారు-యాజమాన్య పరికరం) ఒక వెబ్సైట్ కోసం ప్రత్యేకంగా ఒక ప్రైవేట్/పబ్లిక్ కీ జతని సృష్టిస్తుంది మరియు వెబ్సైట్కి పబ్లిక్ కీని అందిస్తుంది. వినియోగదారు గతంలో ఏర్పాటు చేసిన వినియోగదారు పేరు మరియు పాస్వర్డ్ వంటి కొన్ని ఇతర పద్ధతులను ఉపయోగించి వెబ్సైట్లో తన గుర్తింపును నిరూపించుకుంటారు, బహుశా కొన్ని ఇతర అంశాలు కూడా ఉండవచ్చు. తరువాత ఉపయోగం కోసం వెబ్సైట్ పబ్లిక్ కీని నిల్వ చేస్తుంది. వినియోగదారు తదుపరిసారి సైట్ను ప్రామాణీకరించాలనుకున్నప్పుడు, సైట్ వినియోగదారుకు సవాలును జారీ చేస్తుంది, వారు సవాలుకు వారి ప్రతిస్పందనపై సంతకం చేయడానికి స్థానికంగా నిల్వ చేయబడిన ప్రైవేట్ కీని ఉపయోగిస్తారు. వినియోగదారుని ప్రమాణీకరించడానికి వెబ్సైట్ నిల్వ చేయబడిన పబ్లిక్ కీని ఉపయోగిస్తుంది.
కీ పాయింట్లు
అందుకే యాక్సెస్ కీలు పాస్వర్డ్లను భర్తీ చేస్తాయి, ప్రత్యేకంగా పబ్లిక్ కీ క్రిప్టోగ్రఫీ. వినియోగదారు ప్రైవేట్ కీ పరికరం నుండి ఎప్పటికీ నిష్క్రమించదు కాబట్టి, ఫిషింగ్ దాడి విజయవంతం కావడం చాలా కష్టం. ఫిషింగ్ అనేది సాధారణంగా వినియోగదారుని నకిలీ వెబ్సైట్లో నమోదు చేయడం ద్వారా వారి పాస్వర్డ్ను బహిర్గతం చేయడంపై ఆధారపడుతుంది. (అధునాతన దాడులు కొన్నిసార్లు వినియోగదారులు తమ రెండవ కారకాన్ని, ప్రత్యేక ఫోన్ కోడ్ వంటి వాటిని బహిర్గతం చేస్తాయి.)
యాక్సెస్ కీలు, వినియోగదారు పరికరానికి స్థానికంగా ఉండటంతో పాటు, నిర్దిష్ట సైట్కు ప్రత్యేకంగా ఉంటాయి – సవాలుకు ప్రతిస్పందించడానికి సంబంధిత ప్రైవేట్ కీని ఉపయోగించే ముందు అమలులు నిర్దేశించిన సైట్ నుండి ప్రమాణపత్రాన్ని ధృవీకరిస్తాయి. కాబట్టి, మీరు అనుకోకుండా పాస్కీని నకిలీ వెబ్సైట్లో ఉపయోగించలేరు. అదేవిధంగా, క్రాస్-సైట్ పాస్వర్డ్ పునర్వినియోగ సమస్యలు నివారించబడతాయి. పాస్వర్డ్ పునర్వినియోగం అంటే ఒక సైట్లోని భద్రతా ఉల్లంఘన ఇతరులపై యాక్సెస్ని పొందేందుకు ఉపయోగించబడుతుంది. యాక్సెస్ కీలతో ఇవేవీ జరగవు.
భద్రతకు ఒక దైహిక విధానం తప్పనిసరిగా సిస్టమ్లో భాగంగా వినియోగదారు వీక్షణను కలిగి ఉండాలి
కొన్ని బలహీనతలు మిగిలి ఉన్నాయి. సాంప్రదాయిక విధానాన్ని (యూజర్నేమ్ మరియు పాస్వర్డ్ వంటివి) ఉపయోగించి వినియోగదారు ప్రామాణీకరించడం ద్వారా ప్రక్రియ ప్రారంభించబడుతుంది, ఇది సాంప్రదాయ దాడులకు తెరిచి ఉంటుంది. దీన్ని తగ్గించడానికి ఒక మార్గం ఏమిటంటే, బహుళ-కారకాల ప్రమాణీకరణ (MFA) అవసరం – మరియు SMS ద్వారా పంపబడిన వన్-టైమ్ కోడ్ల కంటే మెరుగైన ఎంపికలు ఉన్నాయి, వీటిని నేను కవర్ చేస్తాను. పబ్లిక్ కీలకు ఎల్లప్పుడూ ఒక రకమైన ప్రారంభ ప్రక్రియ అవసరం అనే వాస్తవం నుండి బయటపడటం లేదు. (గుర్తుంచుకోవడానికి PGP కీ సంతకం పార్టీలు?)
కానీ ఒక సైట్ తదుపరి పాస్వర్డ్ లాగిన్ ప్రయత్నాలను నిషేధించకుండా యాక్సెస్ కీలను స్వీకరిస్తే, సిస్టమ్ మునుపటిలాగే ఫిషింగ్ దాడులకు గురయ్యే అవకాశం ఉంది. చాలా కాలం పాటు పాస్కీలను ఉపయోగించిన తర్వాత అకస్మాత్తుగా పాస్వర్డ్ల కోసం ప్రాంప్ట్ చేయబడితే వారు ఫిష్ చేయబడుతున్నారని అనుభవజ్ఞుడైన వినియోగదారు గుర్తించవచ్చు, అయితే భద్రతా దాడులను గుర్తించడానికి మేము వినియోగదారుల తీర్పుపై ఆధారపడినప్పుడు, మేము నిరాశకు గురవుతాము. పాస్వర్డ్లకు అదనంగా యాక్సెస్ కీలు జోడించబడుతున్నాయి కానీ (ఇంకా) వాటిని భర్తీ చేయడం లేదు అనే వాస్తవాన్ని పరిష్కరించని విశ్వసనీయ మూలాల నుండి బ్లాగ్ పోస్ట్లను చదవడం నన్ను బాధపెడుతోంది. పాస్వర్డ్లు మినహాయించబడిన సమయం రావచ్చు, కానీ ప్రస్తుత పథంలో మనం అక్కడికి ఎలా చేరుకోవాలో నాకు కనిపించడం లేదు.
ఆచరణలో
పాస్కీ అమలులో రెండు విస్తృత వర్గాలు ఉన్నాయి. ఒక విధానం USB కీ (ఉదా. Yubikey) వంటి నిర్దిష్ట హార్డ్వేర్ ముక్కకు కీని జత చేస్తుంది. లేదా పాస్కీని సెల్ ఫోన్లో నిల్వ చేయవచ్చు మరియు పాస్కీని యాక్సెస్ చేయడానికి ముందు బయోమెట్రిక్ ప్రమాణీకరణ (ఉదా., ముఖ గుర్తింపు) అవసరం కావచ్చు.
పాస్వర్డ్ అమలు యొక్క రెండవ తరగతి ఆధారాలను బహుళ పరికరాల మధ్య కాపీ చేయడానికి అనుమతిస్తుంది, సాధారణంగా ఆధారాలను సురక్షితంగా ఉంచడానికి మరియు పరికరాల్లో సమకాలీకరించడానికి కొన్ని రకాల పాస్వర్డ్ నిర్వాహికిని ఉపయోగిస్తుంది. ఈ సందర్భంలో, పబ్లిక్-ప్రైవేట్ కీ జత పాస్వర్డ్ మేనేజర్లో నిల్వ చేయబడుతుంది మరియు వినియోగదారుకు యాక్సెస్ కీ అవసరమైనప్పుడు వివిధ పరికరాల్లో (ల్యాప్టాప్లు, సెల్ ఫోన్లు మొదలైనవి) అందుబాటులో ఉంచబడుతుంది.
హార్డ్వేర్ టోకెన్లు ఫిషింగ్ దాడులను దాదాపు అసాధ్యం చేస్తాయి (అవి పాస్వర్డ్లను భర్తీ చేస్తే, పైన చూడండి), ఎందుకంటే వినియోగదారు యొక్క క్రెడెన్షియల్కు ప్రాప్యత పొందడానికి కీకి భౌతిక ప్రాప్యత మాత్రమే ఏకైక మార్గం. మరోవైపు, పాస్వర్డ్ మేనేజర్ అనేది పరికరాల మధ్య సమకాలీకరణను నిర్వహించడానికి సాధారణంగా కొంత క్లౌడ్ సేవను కలిగి ఉండే సాఫ్ట్వేర్ యొక్క భాగం. దాడి చేసే వ్యక్తి క్లౌడ్ సేవలోకి లాగిన్ చేయడానికి అవసరమైన ఆధారాలను యాక్సెస్ చేయగలిగితే, వారు అక్కడ నిల్వ చేసిన యాక్సెస్ కీలకు యాక్సెస్ కలిగి ఉంటారు. ఈ కారణంగా (ఇతరులలో), పాస్వర్డ్ నిర్వాహకులు తరచుగా కొన్ని రకాల బహుళ-కారకాల ప్రమాణీకరణతో సురక్షితంగా ఉంటారు. ఈ కారకాల్లో ఒకటి బయోమెట్రిక్ లేదా హార్డ్వేర్ టోకెన్ కూడా కావచ్చు.
ఒక ప్రక్కన, వివిధ పాస్వర్డ్ మేనేజర్ అమలుల భద్రతలో గణనీయమైన వైవిధ్యం ఉందని నేను గమనించాను. లాస్ట్పాస్, ఉదాహరణకు, స్పష్టంగా కొన్ని చేసింది చెడు డిజైన్ నిర్ణయాలు అని అర్థం ఒక ఉల్లంఘన ఇది అవసరం కంటే చాలా తీవ్రమైనది. మరోవైపు, 1 పాస్వర్డ్ వివరణ మీ పాస్వర్డ్ మేనేజర్లోని పాస్వర్డ్లను (లేదా యాక్సెస్ కీలు) ఎవరైనా యాక్సెస్ చేయగల ఏకైక మార్గం మీ అన్ని ప్రామాణీకరణ కారకాలకు (నా విషయంలో హార్డ్వేర్ టోకెన్ని కలిగి ఉంటే) యాక్సెస్ చేయగలదని సిస్టమ్ సెక్యూరిటీ ఆఫ్ సిస్టమ్ సూచిస్తుంది.
యాక్సెస్ కీలతో నా చివరి ఆందోళన ఏమిటంటే, “వినియోగదారుల కోసం దీన్ని సులభతరం చేయండి” పరీక్షలో అమలు విఫలమైనట్లు కనిపిస్తోంది, ఇది యాక్సెస్ కీల ఉద్దేశ్యం అని నా అభిప్రాయం. నేను 30 సంవత్సరాలుగా పబ్లిక్ కీ క్రిప్టోగ్రఫీని ఉపయోగిస్తున్నాను. (ఉద్యోగుల గురించి సున్నితమైన సమాచారాన్ని కలిగి ఉన్న ఇమెయిల్లను గుప్తీకరించడానికి అతని మేనేజర్లు PGPని ఉపయోగించాలని నా మొదటి బాస్ నొక్కిచెప్పారు – ఓహ్, ఆ రోజులు.) ఖచ్చితంగా పబ్లిక్ కీ క్రిప్టోగ్రఫీపై ఆధారపడిన మరో సాంకేతికతకు కారణం దాని వినియోగాన్ని సరళీకృతం చేయడమే. నేను యాక్సెస్ కీలను ఉపయోగించడానికి గందరగోళంగా ఉంటే, అది మరింత సాధారణ వినియోగదారులకు మంచిది కాదు. నేను మీకు ఒక ఉదాహరణ చెబుతాను.
వినియోగదారు ఇంటర్ఫేస్
నేను నా Apple Macలో నా WordPress.com ఖాతాకు పాస్కీని జోడించాలని నిర్ణయించుకున్నాను, కాబట్టి నేను నా ప్రస్తుత పాస్వర్డ్ మరియు రెండవ అంశం (హార్డ్వేర్ టోకెన్) ఉపయోగించి లాగిన్ చేసాను. నేను భద్రతా పేజీకి నావిగేట్ చేస్తాను; పాస్కీల ప్రస్తావన లేదు, కాబట్టి నేను “రెండు-కారకాల ప్రమాణీకరణ” క్లిక్ చేసి, ఆపై “సెక్యూరిటీ కీని జోడించు” క్లిక్ చేసాను.
సరే, నేను ఇక్కడ పాస్కీ కోసం పాస్వర్డ్ని ప్రత్యామ్నాయం చేయబోవడం లేదు; బదులుగా, నేను రెండవ అంశంగా భద్రతా కీని జోడిస్తాను. మరియు ఈ ఉదాహరణ యొక్క ప్రయోజనాల కోసం, నేను దానిని నా యుబికీలో నిల్వ చేయాలనుకుంటున్నాను. నేను “కీని జోడించు” క్లిక్ చేసినప్పుడు, నా దృష్టికి మూడు వేర్వేరు సాఫ్ట్వేర్ ముక్కలు పోటీపడతాయి.
మొదటిది పాస్వర్డ్ మేనేజర్, ఇది యాక్సెస్ కీ యొక్క నిల్వను అందిస్తుంది. (ఈ ప్రాసెస్లో యాక్సెస్ కీలు కనిపించడం ఇదే మొదటిసారి – సాధారణ వినియోగదారు ఎలా గందరగోళానికి గురవుతున్నారో మీరు చూడటం ప్రారంభించవచ్చు.) ఈ సందర్భంలో పాస్వర్డ్ మేనేజర్ పాల్గొనడం నాకు ఇష్టం లేదు, కాబట్టి నేను విండోను తీసివేస్తాను.
ఆ తర్వాత “సైన్ ఇన్” చేయడానికి (దేని కోసం? – నేను ఇప్పటికే సైట్లోకి లాగిన్ అయ్యాను) మరియు పాస్కీని సేవ్ చేయడానికి TouchIDని ఉపయోగించాలనుకుంటున్నారా అని అడుగుతున్న macOS విండో కనిపిస్తుంది. మళ్ళీ, విభిన్న పరిభాషను గమనించండి. నేను ఆ విండోను తీసివేసినప్పుడు, బ్రౌజర్ ప్రయత్నించాల్సిన సమయం ఆసన్నమైంది నాలుగు పాస్కీని సేవ్ చేసే మార్గాలు, చివరకు హార్డ్వేర్ టోకెన్లో నిల్వ చేసే ఎంపికతో సహా. నేను USB కీని ఇన్సర్ట్ చేసి కొనసాగిస్తాను.
పరిభాషలో అస్థిరత (యాక్సెస్ కీలు లేదా సెక్యూరిటీ కీలు) మరియు కేసులను (రిప్లేస్మెంట్ పాస్వర్డ్ లేదా బలమైన సెకను) ఉపయోగించడంతో పాటు యాక్సెస్ కీలను నిల్వ చేయడానికి మూడు వేర్వేరు సిస్టమ్లు ఒక నిజమైన ప్రదేశంగా పోరాడుతున్నందున ఇది గందరగోళ అనుభవం అని మనమందరం అంగీకరించగలమని నేను భావిస్తున్నాను. కారకం?)
అన్ని సాఫ్ట్వేర్లు “సహాయం” చేయాలనుకుంటున్నట్లు అనిపిస్తుంది, అయితే ఈ విభిన్న సాఫ్ట్వేర్ ముక్కలు ఒకదానితో ఒకటి మరియు తుది వినియోగదారుతో పరస్పర చర్య చేసే సిస్టమ్ స్థాయిలో ప్రవర్తనను ఎవరూ గమనించడం లేదు. నేను నా భార్యను (సామాజిక శాస్త్రవేత్త, కంప్యూటర్ శాస్త్రవేత్త కాదు) పాస్వర్డ్ మేనేజర్ మరియు 2FAను స్వీకరించమని ప్రోత్సహించాను, మరియు ఆమె నా నాయకత్వాన్ని అనుసరించడానికి చాలా సుముఖంగా ఉంది, కానీ గందరగోళ పరిభాష మరియు దిగ్భ్రాంతి కలిగించే ఎంపికల శ్రేణి తరచుగా (మరియు అర్థమయ్యేలా) నిరాశకు దారి తీస్తుంది. ఆమె వైపు.
భద్రత మరియు వినియోగానికి మధ్య దీర్ఘకాల ట్రేడ్-ఆఫ్ ఉంది. భద్రతకు దైహిక విధానాన్ని తీసుకోవడం చాలా ముఖ్యం మరియు ఇది సిస్టమ్లో భాగంగా వినియోగదారు వీక్షణను చేర్చాలని నేను నమ్ముతున్నాను. మీరు భద్రతా సాంకేతికతను వినియోగదారులకు తగినంత సులభతరం చేయలేకపోతే, అది మంచి భద్రతను అందించే అవకాశం లేదు.
యాక్సెస్ కీలు మరియు WebAuthn స్పెసిఫికేషన్లు కేవలం టెక్-అవగాహన ఉన్న డొమైన్కు బదులుగా పబ్లిక్ కీ క్రిప్టోగ్రఫీని రోజువారీ వినియోగదారులకు అందుబాటులో ఉండేలా చేయడానికి ఉద్దేశించబడ్డాయి. సరిగ్గా చేస్తే, వారు వెబ్లో భద్రతను తీవ్రంగా మెరుగుపరుస్తారు.
ప్రైవేట్/పబ్లిక్ కీ జతల సృష్టి మరియు వినియోగాన్ని నిర్వహించడానికి విస్తృత ఎంపిక ప్రమాణీకరణ పరికరాలను (FIDO కీలు లేదా పాస్వర్డ్ నిర్వాహకులు వంటివి) అనుమతించే చక్కగా నిర్వచించబడిన API ఉంది. కానీ తుది వినియోగదారుకు విషయాలు మరింత స్థిరంగా మరియు సున్నితంగా ఉంటే తప్ప, ఇది PGP లాగా ముగుస్తుందని నేను భయపడుతున్నాను లేదా క్లయింట్ సర్టిఫికేట్లు TLSలో: చాలా మంది వినియోగదారులపై తక్కువ ప్రభావాన్ని చూపే సాంకేతికంగా చెల్లుబాటు అయ్యే పరిష్కారం. ®