Depuis les premiers jours d'Internet au paysage ultra-connecté dans lequel nous nous trouvons aujourd'hui, la sécurité a toujours été l'un des défis les plus importants de la technologie.
Les mots de passe ont tout protégé des e-mails et des comptes de médias sociaux aux portails bancaires et aux réseaux d'entreprise. Pourtant, les menaces numériques devenant plus intelligentes de jour en jour, l'incapacité des mots de passe traditionnels commence à se montrer.
Il y a quelque chose appelé A Passkey, qui a récemment pris de l'importance.
Essentiellement, PassKeys utilise la cryptographie et la capacité matérielle de pointe et promet une signification révisée de sécurité pour les consommateurs et l'entreprise.
Cet article montrera comment fonctionnent les clés de Pass, pourquoi ils sont plus sûrs et à quoi peut ressembler un avenir d'authentification ou être avec la technologie à son premier plan.
Si vous vous êtes déjà demandé comment créer un touché Pass, cette nouvelle forme de gestion des informations d'identification devient de plus en plus accessible. Les principales plates-formes et systèmes d'exploitation adoptent rapidement des normes qui permettent de créer et de déployer des clés Passkeys avec une relative facilité.
Mais avant de plonger dans les détails, il est crucial de comprendre exactement ce qu'est un touché et pourquoi cela génère tellement d'excitation parmi les experts en sécurité.
Le problème avec les mots de passe
Les mots de passe sont un mécanisme de sécurité universel depuis des décennies. Cependant, la combinaison simple de lettres, de chiffres et de symboles a quelques faiblesses sérieuses en cela:
Réutilisation et simplicité: Les gens réutilisent souvent le même mot de passe ou une variation sur plusieurs comptes. Cela les rend très vulnérables aux exploits de piratage, par lequel le compromis d'un compte entraîne les autres.
Génie social: Les mots de passe les plus complexes deviennent extrêmement vulnérables aux méthodes de phishing et d'autres méthodes d'ingénierie sociale lorsque des informations d'identification sont accordées à des parties malveillantes par la ruse.
Force brute et attaques du dictionnaire: Forcing par brute, essayant différentes combinaisons de mots de passe avec des outils automatisés, est considérablement plus rapide de nos jours. À moins que votre mot de passe ne soit véritablement long et aléatoire, la force brute reste une menace très valable.
Problèmes de stockage: Stocker des mots de passe au sein d'un gestionnaire de mots de passe ou d'une base de données d'une organisation augmente la surface d'attaque; Une seule brèche dans une base de données centralisée peut révéler des millions de références.
Que sont les Kekkeys, exactement?
PassKeys est une nouvelle classe d'authentification qui vise à éradiquer les faiblesses associées aux mots de passe traditionnels. Ils sont basés sur une combinaison de cryptographie par clé publique et de fonctionnalités de fiducie.
Au lieu de taper un mot de passe qui pourrait être intercepté ou phisé, le périphérique d'un utilisateur a dépassé un smartphone ou un module de sécurité matérielle-Orchestre une cérémonie d'authentification à l'aide de paires de clés privées.
- Clé publique: Il reste sur le serveur; Il n'est pas secret et peut être partagé sans aucun risque de sécurité.
- Clé privée: Reste sur l'appareil de l'utilisateur et ne part jamais; Par conséquent, l'interception ou le vol est minime.
C'est une configuration assez étroitement alignée sur les spécifications développées par la Fido Alliance, avec laquelle l'organisation souhaite permettre des normes ouvertes et interopérables dans l'authentification moderne.
Dans la vraie vie, chaque fois qu'un utilisateur se connecte, un défi du serveur doit être «signé» par l'appareil avec la clé privée de l'utilisateur.
L'ensemble du processus implique une poignée de main cryptographique invisible pour l'utilisateur; Tout ce que l'utilisateur peut voir est une invite pour confirmer ou déverrouiller via la biométrie ou la broche.
Pourquoi les clés de pass sont plus sécurisées
- Résistant au phishing: Étant donné que l'utilisateur n'a pas à taper un secret manuellement, les mauvais sites Web ne peuvent pas le voler. Le mécanisme cryptographique sous-jacent empêche les authentifications de travailler uniquement pour le domaine correct.
- Sécurité centrée sur l'appareil: Parce qu'une clé privée sera conservée sur l'appareil uniquement, les violations des diplômes centralisées deviendront beaucoup moins dommageables. Si un attaquant parvient à pénétrer dans le serveur, alors, sans la clé privée respective, aucune signature valide ne peut être générée.
- Intégration de la biométrie: Passkeys est généralement connecté à la sécurité au niveau matériel, telles que les lecteurs d'empreintes digitales ou les systèmes de reconnaissance faciale. Ces couches d'authentification sont généralement plus difficiles à briser par rapport aux mots de passe purs.
- Aucune complexité de mot de passe: Avec PassKeys, les utilisateurs n'ont pas à se souvenir d'eux ou à concevoir des chaînes trop compliquées; La cryptographie fait le travail acharné, ce qui facilite l'utilisation de la sécurité et moins sujets à l'erreur humaine.
Applications du monde réel
Les systèmes d'exploitation modernes, iOS, Android, Windows et certaines distributions Linux ont déjà commencé à intégrer les capacités Passkey dans leurs cadres.
Les institutions financières testent les clés Passkeys dans les applications bancaires mobiles, tandis que les grands acteurs comme Google et Apple parlent pour avoir fait l'option générale dans leurs univers.
Ce sera lorsque les Passkeys seront utilisées partout comme les mots de passe une fois, mais un million de fois plus en toute sécurité.
PassKeys aidera également à réduire considérablement les frais généraux des réinitialisations du mot de passe pour les entreprises, souvent un mal de tête logistique et de sécurité majeur.
Ils réduisent également les frais généraux administratifs associés aux politiques de mot de passe, telles que la complexité ou l'expiration forcés. La centralisation de l'authentification des utilisateurs d'une manière plus robuste cryptographiquement permet aux entreprises de mieux protéger les données et les systèmes sensibles.
Défis et considérations
Malgré leurs avantages évidents, Passkeys n'est pas une solution miracle.
Les migrations de systèmes à grande échelle vers les nouveaux modèles d'authentification prennent du temps, de l'investissement et une feuille de route stratégique. Les développeurs doivent assurer une compatibilité vers l'arrière ou du moins l'interopérabilité de Passkeys avec les systèmes hérités. En outre, des questions restent concernant les appareils partagés et les situations hors ligne où la mise en œuvre de Passkeys pourrait être un peu plus délicate.
Pourtant, les efforts de normalisation des consortiums de l'industrie permettent de déployer de plus en plus des solutions de lake à grande échelle.
L'avenir de l'authentification
À plus long terme, les analystes affirment que Passkeys sera développé pour fonctionner en verrouillage avec des identités décentralisées, des références basées sur la blockchain et même des systèmes de détection d'anomalies basés sur l'IA.
Imaginez un avenir où votre identité numérique est répartie sur de nombreux nœuds sécurisés, à l'abri des tactiques de phishing habituelles. PassKeys pourrait être la technologie qui permet à ce type d'innovations de prospérer sans abandonner un Iota sur la facilité d'utilisation.
Nous pouvons nous attendre à de nouveaux mouvements à des architectures à zéro-frust à la fois dans les mondes de consommation et d'entreprise à mesure que les utilisateurs se familiarisent avec PassKeys.
Sans avoir besoin de s'appuyer sur des secrets statiques, les politiques de sécurité peuvent prendre en compte les évaluations des risques en temps réel, les niveaux de confiance des appareils et les facteurs d'authentification plus dynamiques.
