Peter Holmes
0 
1889
102
Hasła mają kluczowe znaczenie dla bezpieczeństwa w Internecie. Ale przy tak wielu usługach, zarówno online, jak i offline, śledzenie haseł jest trudne. Systemy logowania bez hasła zaczynają startować, usuwając wymóg wprowadzania hasła przy każdym logowaniu do usługi.
Ale jeśli nie używasz hasła, jak zabezpieczyć swoje konto? Czym są loginy bez hasła i czy są bezpieczne?
Co to jest logowanie bez hasła?
Loginy bez hasła to systemy uwierzytelniania, które wykorzystują alternatywy do hasła, aby umożliwić dostęp do konta. Na przykład zamiast hasła otrzymasz powiadomienie e-mail, które działa jak token logowania. Alternatywnie może pojawić się wyskakujące okienko na smartfonie, umożliwiające kontrolę dostępu do konta.
W tym celu logowanie bez hasła często wykorzystuje wcześniej istniejącą formę uwierzytelnienia, aby zagwarantować Twoją tożsamość.
Możliwe, że już logowałeś się bez hasła przy użyciu konta Gmail. Zamiast wpisywać hasło przy każdym logowaniu, Google może wysłać monit bezpośrednio na telefon. Monit pokazuje czas i lokalizację próby logowania, z opcją zatwierdzenia lub odmowy logowania.
Jak działa logowanie bez hasła??
Po zalogowaniu się na stronie musisz podać hasło, aby odblokować konto. Hasło jest znane tylko tobie i stronie, dzięki czemu twoje konto jest bezpieczne. Ufasz, że witryna zachowa Twoje hasło w bezpiecznym miejscu, będzie je bezpiecznie przechowywać, a sama witryna nie będzie narażona na ataki.
Ponadto zdecydowanie używasz silnych, unikalnych haseł dla każdej witryny i usługi, ponieważ jest to najbezpieczniejsza praktyka.
Jednak to drugie stało się trudne. Utworzenie silnego hasła jednorazowego użytku dla każdej witryny spowodowało, że użytkownicy utworzyli łatwe do zapamiętania, ale straszne hasła. Nawet jeśli stworzysz bezpieczne hasło, rzut oka na liczbę naruszeń danych w każdym miesiącu może podważyć twoje wysiłki.
Dzięki uwierzytelnianiu bez hasła nie musisz ufać witrynie hasłem. Zamiast wpisywać hasło za każdym razem, logowania bez hasła używają kilku różnych metod uwierzytelniania.
Uwierzytelnianie bez hasła za pomocą wiadomości e-mail
Najpopularniejszym systemem logowania bez hasła jest obecnie e-mail. Wielu użytkowników uzna, że logowanie za pomocą wiadomości e-mail bez hasła jest najbardziej znanym systemem, działającym podobnie do resetowania hasła.
Podczas próby logowania podajesz adres e-mail. Usługa wysyła bezpieczną wiadomość e-mail na adres powiązany z kontem, a wiadomość zawiera bezpieczny, jednorazowy magiczny link umożliwiający wejście na konto usługi. Magiczny link zawiera unikalny token logowania weryfikowany przez usługę, zamieniający go na token weryfikacji długoterminowej.
Istnieją inne warianty w systemie e-mail. Na przykład w przypadku istniejącego konta usługa może wysłać użytkownikowi jednorazowy kod klucza DKIM powiązany z danymi konta. Użytkownik otrzymuje kod DKIM i wprowadza go na stronie. Witryna weryfikuje kod w oparciu o istniejące dane użytkownika i kończy proces logowania.
Logowanie bez hasła za pomocą wiadomości SMS
W tym przypadku użytkownik wprowadza prawidłowy numer telefonu. Usługa wysyła jednorazowy kod na numer telefonu. Użytkownik może następnie zalogować się do usługi. Alternatywnie, niektóre usługi oferują “robo-call” użytkownik, w przypadku którego usługa zamiany tekstu na mowę odczyta kod bezpośrednio.
Bezpieczeństwo SMS-ów jest jednak badane. Zdecydowana większość z nas nie ma się czym martwić. Ale kilka osób o wysokiej wartości (szczególnie tych z dużą ilością kryptowalut) doświadczyło ataków hakerskich na SMS-y. Sprawdź dokładnie, czym jest atak polegający na zamianie kart SIM i jak się przed nim chronić Czym jest zamiana karty SIM? 5 porad, jak się chronić przed tym oszustwem Co to jest zamiana karty SIM? 5 porad, jak uchronić się przed tym oszustwem Wraz ze wzrostem dostępu do kont mobilnych i 2FA dla bezpieczeństwa, zamiana kart SIM stanowi coraz większe zagrożenie bezpieczeństwa. Oto jak to zatrzymać. .
Biometryczne logowanie bez hasła
Niektóre metody logowania bez hasła używają usług skanowania biometrycznego do uwierzytelnienia tożsamości. Usługi uwierzytelniania biometrycznego są dostępne na większej liczbie urządzeń niż kiedykolwiek. (Czy powinieneś przełączyć się na usługę biometryczną dla swojego smartfona?)
Chodzi o to, że gdy chcesz uzyskać dostęp do strony, na smartfonie pojawia się monit. Odblokowujesz smartfona za pomocą preferowanego systemu biometrycznego, a odblokowanie działa jako weryfikacja Twojej tożsamości.
Jednak oprócz identyfikatora twarzy Apple (w przypadku urządzeń wyprodukowanych po iPhone'ie X, iPadzie Pro trzeciej generacji i iPodzie Touch siódmej generacji) skanowanie biometryczne urządzeń mobilnych nie jest całkowicie bezpieczne.
Sprzęt innych producentów do skanowania twarzy nie jest tak zaawansowany i jest oszukiwany przy użyciu zdjęcia, podczas gdy do wydrukowania i identyfikacji twarzy Apple potrzebny jest wydrukowany w 3D i pomalowany głowica. W innych przypadkach skanery linii papilarnych umożliwiają częściowe rozpoznanie 5 sposobów hakerów omijających skanery linii papilarnych (jak się chronić) 5 sposobów hakerów omijających skanery linii papilarnych (jak się chronić) Myślisz, że czytnik linii papilarnych sprawia, że Twoje urządzenie jest bezpieczne? Pomyśl jeszcze raz! Oto 5 sposobów na włamanie skanerów linii papilarnych. aby odblokować urządzenie.
W chwili obecnej biometryczny system logowania bez hasła prawdopodobnie nie jest najlepszą opcją. W przyszłości może jednak stać się najlepszą opcją.
Klucz fizyczny Logowanie bez hasła
Fizyczne klucze bezpieczeństwa oferują kolejną opcję uwierzytelniania bez hasła. Fizyczny klucz bezpieczeństwa to specjalny klucz bezpieczeństwa USB. Gdy chcesz uzyskać dostęp do konta, podłącz swój klucz bezpieczeństwa do komputera. Usługa online sprawdza poprawność konta za pomocą klucza bezpieczeństwa, eliminując potrzebę hasła.
Najważniejsze przykłady fizycznego klucza bezpieczeństwa to seria Titan Google i seria Yubikey Yubico.
Czy logowanie bez hasła jest jak uwierzytelnianie dwuskładnikowe?
tak i nie.
Tak, logowanie bez hasła jest podobne do uwierzytelniania dwuskładnikowego (2FA), ponieważ uzyskujesz dostęp do konta przy użyciu alternatywnej metody uwierzytelniania. 2FA polega na zabezpieczeniu konta przy użyciu dwóch oddzielnych czynników, zwykle hasła i oddzielnego urządzenia.
Nie, to nie to samo, ponieważ chociaż używasz osobnego urządzenia do uwierzytelnienia swojego konta, nadal jest to tylko jeden czynnik.
Czy logowanie bez hasła jest bardziej bezpieczne?
Coś, co powstrzymuje użytkowników przed tworzeniem okropnych haseł, jest dobre, prawda? Loginy bez hasła usuwają kolejny punkt awarii od użytkownika końcowego. W chwili obecnej logowanie bez hasła nie jest powszechne. Korzysta z nich kilka głównych usług, takich jak Gmail (jak wspomniano powyżej) i Slack Magic Links.
Największym pozytywem dla właścicieli witryn i moderatorów jest nagły brak konieczności radzenia sobie z hasłami użytkowników. Nieszyfrowane hasła przechowywane w pliku czystego tekstu są koszmarami; dla hakera to marzenie. Użytkownicy, którzy rzadko uzyskują dostęp do usługi, nie muszą przechodzić przez “Zresetuj swoje hasło” rigmarole też.
Logowanie bez hasła może również pomóc użytkownikom szybko zalogować się do usługi. I odwrotnie, jeśli regularnie wylogowujesz się z usługi, konieczność ponownej autoryzacji przez e-mail lub SMS może być irytująca, w zależności od czasu.
Na razie użyj Menedżera haseł
Logowanie bez hasła zajmie trochę czasu, aby stać się głównym nurtem. Piłka jednak się toczy. Większość głównych przeglądarek (wszystkie oprócz Safari) obsługują takie czy inne hasła bez logowania. W lutym 2019 r. Google ogłosiło również, że urządzenia z systemem Android 7 (czyli Android Nougat) lub nowszym otrzymają również obsługę logowania bez hasła.
Oznacza to obsługę logowania bez hasła dla prawie 50 procent wszystkich urządzeń z Androidem. Standardy logowania bez hasła, takie jak FIDO2 i WebAuthn, będą nadal otrzymywać aktualizacje, dodatkowo zabezpieczając metodę uwierzytelniania.
W chwili pisania tego hasła nadal potrzebujesz hasła. Potrzebujesz silnego, jednorazowego hasła. Mając to na uwadze, dlaczego nie rozważyć skorzystania z menedżera haseł Najlepsi menedżerowie haseł na każdą okazję Najlepsi menedżerowie haseł na każdą okazję Masz problemy z zapamiętaniem coraz bardziej skomplikowanych haseł? Czas polegać na jednym z tych bezpłatnych lub płatnych menedżerów haseł! ?