נכון לעכשיו, יש דרך עיקרית אחת שבה אנו מאבטחים גישה מקוונת: שם משתמש וסיסמה. עם זאת, גם אם ניצור סיסמה ארוכה, מסובכת ומורכבת, עדיין נותרה חולשה מרכזית אחת במערך האבטחה הזה - המשתמש.

מיליונים כבר היו קורבנות לאתרי פישינג, הנדסה חברתית וצורות אחרות של התקפות שפוגעות בסיסמאות. זו הסיבה שאפל רוצה להסיר את הסיסמה ולהחליף אותה במפתחות סיסמה.

אז איך מפתחות אפל פותרים את בעיית הסיסמה?

מהו תקן אימות האינטרנט (WebAuthn)?

תקן זה מפורסם על ידי World Wide Web Consortium (W3C), ארגון המוקדש לבניית פרוטוקולים והנחיות לפיתוח אתרים לטווח ארוך. על ידי פיתוח טכנולוגיית אימות חדשה זו, הקבוצה מקווה להפחית את ההסתמכות שלנו על סיסמאות כדרך העיקרית או היחידה להגנה על הנתונים שלנו.

אפל היא גם חברה ב-W3C, והם משלבים את תקן WebAuthn במפתחות אפל. תכונה זו פועלת גם עם מחזיק מפתחות iCloud, כך שאנשים שכבר משתמשים בשירות זה אינם צריכים להעביר את המערכת שלהם.

על ידי הטמעת ה-API של WebAuthn, מפתחי אתרים ויצרני מכשירים מבטיחים אימות שיעבוד על פני מערכות שונות. לכן, בין אם אתה משתמש ב-Android, iOS, Mac או Windows, המערכת ללא סיסמה זו אמורה לעבוד.

instagram viewer

כיצד מפתחות אפל שומרים על בטיחותך?

קרדיט תמונה: תפוח עץ

רובנו הסתמכנו על שם משתמש וסיסמאות בשלב מסוים. אתה כנראה עדיין עושה את זה עכשיו. אך ניתן לפרוץ בקלות סיסמאות, במיוחד אם למשתמש אין סיסמה מאובטחת או אם הם קורבן של הנדסה חברתית.

השילוב המסורתי של שם משתמש וסיסמה אומר גם שמידע זה מאוחסן באינטרנט. לכן, אם השירות שבו אתה משתמש, כמו Twitch למשל, נפרץ, ההתקפה פוגעת בנתונים ועוד. אם תשתמש שוב בשם המשתמש והסיסמה שלך, מה שרבים עושים אך אנו ממליצים שלא, גם חשבונות אחרים שלך נמצאים בסיכון.

אימות דו-גורמי (2FA) פותח כדי לפתור בעיה זו. על ידי הוספת שכבת אבטחה נוספת, משתמשים עוזרים למנוע גישה לא מורשית לחשבונות שלהם.

למרות שטכנולוגיה זו הגבירה באופן דרמטי את האבטחה, במיוחד נגד התקפות כוח אכזרי, משתמשים רבים עדיין נפגעים על ידי התקפות הנדסה חברתית. ולמרות שמשתמשים בעלי ידע טכנולוגי יכולים לזהות בקלות התקפות, מי שלא מכיר כל כך לא יוכל לזהות את הסימנים של התקפות כמו הונאות דיוג.

מפתחות אפל שואפים לפתור בעיה זו על ידי הסרת הסיסמה לחלוטין. בעת כניסה לשירות מקוון, אינך צריך עוד להקליד את שם המשתמש והסיסמה שלך. במקום זאת, אתה רק צריך להשתמש בתכונות האבטחה הביומטריות של המכשיר שלך, כמו FaceID או TouchID.

השירות גם לא מוגבל רק במכשיר Apple שלך. אתה יכול להשתמש במפתחות סיסמה במחשב Windows או בטאבלט אנדרואיד. כל עוד אתה ניגש לאתר שמיישם את ה-API של WebAuthn, אתה יכול להשתמש בתכונות הביומטריות של מכשיר Apple שלך ​​כדי להיכנס לחשבון שלך, גם אם אתה ניגש אליו בגאדג'ט שאינו של אפל. זה כמו להשתמש במכשיר Apple שלך ​​כמפתח אוניברסלי שיכול לפתוח כל דלת דיגיטלית.

איך מפתחות אפל עובדים?

במקום לשמור את שם המשתמש והסיסמה ביחד באינטרנט, מפתחות אפל השתמש בהצפנה אסימטרית. לפי עמוד התמיכה באבטחת מפתחות סיסמה של אפל:

במהלך רישום החשבון, מערכת ההפעלה יוצרת זוג מפתחות קריפטוגרפי ייחודי לשיוך לחשבון עבור האפליקציה או האתר. מפתחות אלו נוצרים על ידי המכשיר, בצורה מאובטחת וייחודית, עבור כל חשבון.

אחד מהמפתחות הללו הוא ציבורי, ומאוחסן בשרת. המפתח הציבורי הזה אינו סוד. המפתח השני הוא פרטי, והוא מה שצריך כדי להיכנס בפועל. השרת אף פעם לא לומד מהו המפתח הפרטי. במכשירי אפל עם Touch ID או Face ID זמין, ניתן להשתמש בהם כדי לאשר שימוש במפתח הסיסמה, אשר לאחר מכן מאמת את המשתמש לאפליקציה או לאתר. שום סוד משותף לא מועבר, והשרת אינו צריך להגן על המפתח הציבורי.

כאשר אתה משתמש בשם משתמש וסיסמה, השרת מחזיק את המנעול (שם המשתמש שלך) ואת המפתח (הסיסמה שלך). כדי לפתוח את המנעול, אתה מראה לשרת שיש לך מפתח דומה, והוא פותח לך את הדלת.

אבל עם מפתחות אפל, השרת לעולם לא יחזיק את המפתח. במקום זאת, הוא נותן לך את המנעול, ואתה פותח אותו בעצמך. ומכיוון שהשרת ימסור לך את המנעול רק אם יש לו אותו פיזית (כלומר הנתונים שלך מאוחסנים בפועל בשרת שלו), פריצות דיוג יהפכו לא יעיל כי אין להם את המנעול (כלומר, הם לא יכולים לבקש את המפתח, כי מפתחות אפל ישחררו אותו רק אם הם מספקים מפתח תקף לנעול).

עם מערכת זו, רק הישות החוקית יכולה לבקש סיסמה, מה שמבטיח שמשתמשים נוטים פחות ליפול קורבן להונאות דיוג והתקפות אחרות של הנדסה חברתית. זה גם הרבה יותר נוח מכיוון שמשתמשים כבר לא צריכים לזכור מספר עצום של אישורי כניסה. כל מה שהם צריכים זה להיות מחוברים ל-Apple ID המוגן 2FA שלהם.

דוגמה נוספת למערכת ללא סיסמה

בעוד שאפל עשויה להיות הראשונה שנאפתה ביעילות במערכת הפעלה של סמארטפון, היא לא החברה הראשונה שהטמיעה מערכות ללא סיסמה. אם יש לך חשבון Microsoft, כנראה שנתקלת בטכנולוגיה הזו.

אם הגדרת כניסות ללא סיסמה עם חשבון Microsoft שלך, אתה יכול להיכנס אליו באמצעות אפליקציית Microsoft Authenticator - אין צורך בשם משתמש וסיסמה. למרות שהוא זמין בעיקר בדפדפן Microsoft Edge, אתה יכול גם להשתמש ב- Windows Hello או אבטחה כדי להשתמש באפליקציית Microsoft Authenticator כדי להיכנס לחשבון Microsoft שלך בדפדפנים אחרים כמו Google כרום.

להגיד שלום לסיסמאות?

למרות ששמות משתמש וסיסמאות הגנו על משתמשים במשך יותר מ-60 שנה, ייתכן שהם כן לקראת סוף חייהם תודה על מערכות אבטחה טובות יותר במקומות אחרים, שקל יותר לשימוש גַם. ככל שאנו נרשמים ליותר ויותר שירותים, הרעיון לשנן עשרות, אם לא מאות, של שילובי שם משתמש-סיסמה יכול להיות מרתיע.

האקרים גם נעשים מתוחכמים יותר, מה שמאפשר להם להתפשר על נתונים אפילו עם אבטחה משופרת. ולמרות שאימות רב-גורמי הגביר במידת מה את האבטחה של אישורי כניסה מסורתיים, הוא עדיין משאיר את המשתמש כנקודת תורפה משמעותית.

עם מפתחות סיסמה, נוכל להתקדם משם משתמש וסיסמאות לעתיד בטוח יותר. וכאשר טכנולוגיות חדשות כמו מחשוב קוונטי מתפתחות ומשוחררות לשוק, השילוב המסורתי של שם המשתמש והסיסמה מסתכן בהתיישן בן לילה.