Klucze dostępu nabierają świeżego rozpędu dzięki nowym programom pilotażowym

Zapowiedzi nowych produktów nabierają rozpędu w zakresie kluczy dostępu — cyfrowych danych uwierzytelniających, które umożliwiają uwierzytelnianie bez hasła przy użyciu prywatnych kluczy kryptograficznych. W tym tygodniu Apple i Google, a także wiodący dostawcy menedżerów haseł 1Password i Dashlane, dodatkowo rozszerzyli wsparcie dla kluczy dostępu.

Firma Apple, która jako pierwsza w zeszłym roku zaoferowała obsługę kluczy na swojej platformie iOS, w tym tygodniu poprawiła swoje klucze na firmowej konferencji Worldwide Developers Conference (WWDC). Firma Apple ogłosiła API, które pozwoli kluczom dostępu współpracować z oprogramowaniem innych firm. Interfejs API został zaprojektowany z myślą o jesiennym wydaniu systemu iOS 17, corocznej aktualizacji mobilnego systemu operacyjnego, której premiera została zaprezentowana na WWDC.

Apple rozszerza również obsługę kluczy dostępu w przeglądarce Safari na komputerach Mac, iPhone'ach i iPadach. Rozszerzona obsługa klucza dostępu pojawi się w Przeglądarka Apple Safari 17, pokazany na WWDC. Publiczna wersja beta jest już dostępna, a ogólne wydanie zaplanowano na jesień tego roku.

Jedną z zalet kluczy dostępu jest to, że mogą przyspieszyć logowanie. Dane, które Google opublikowany w zeszłym miesiącu wykazało, że użytkownicy mogą uwierzytelniać się za pomocą kluczy dostępu średnio w 14.9 sekundy, czyli połowę z 30.4 sekund potrzebnych do zalogowania się za pomocą hasła.

Zwolennicy kluczy dostępu twierdzą również, że są one bardziej odporne na ataki phishingowe niż SMS-y, hasła jednorazowe (OTP) i różne inne formy uwierzytelnianie wieloskładnikowe (MFA) ponieważ każdy ma unikalny klucz prywatny i publiczny powiązany z określonym urządzeniem.

Ponadto klucze dostępu są odporne na phishing, ponieważ opierają się na identyfikacji biometrycznej, takiej jak identyfikator twarzy lub identyfikator dotykowy, zamiast haseł. Ponieważ klucz prywatny nigdy nie opuszcza urządzenia, nie można go łatwo ukraść, podczas gdy klucze publiczne znajdują się zarówno na urządzeniu, jak i aplikacji lub witrynie internetowej.

Adopcja Apple dodaje impulsu rynkowemu

Interfejs API klucza dostępu Apple pozwoli programistom zintegrować swoje klucze dostępu z aplikacjami innych firm, w tym menedżerami haseł, w celu udostępniania kluczy dostępu. Według Apple, jego będzie obsługiwał interfejs API klucza dostępu Zarządzane identyfikatory Apple ID, umożliwiające synchronizację za pomocą pęku kluczy iCloud i kontrolę dostępu w celu zarządzania sposobem synchronizowania i udostępniania kluczy dostępu przez użytkowników.

Warto zauważyć, że obsługa zarządzanego identyfikatora Apple ID dla pęku kluczy iCloud pozwoli zewnętrznym menedżerom haseł, takim jak 1Password i Dashlane, zapisywać i wymieniać hasła do systemów iOS, iPadOS i macOS. Klucze dostępu mogą korzystać z firmowej weryfikacji biometrycznej autouzupełniania, Face ID lub Touch ID na urządzeniach Apple.

W tym tygodniu 1Password ogłosiło rozszerzenia beta przeglądarki Safari na macOS, a także przeglądarki Chrome, Firefox, Edge i Brave na macOS, Windows i Linux. W poście na blogu w tym tygodniu, dyrektor ds. produktu 1Password, Steve Won, powiedział, że interfejs API będzie uczynić klucze dostępu bardziej użytecznymi na iPhone'ach.

„Interfejs API umożliwi menedżerom haseł, takim jak 1Password, tworzenie i używanie kluczy dostępu w dowolnej natywnej aplikacji, która dodała obsługę kluczy, w tym Safari” — zauważył Won. Według Won programiści 1Password integrują teraz nowy interfejs API klucza dostępu ze swoim menedżerem haseł.

Podczas gdy Google wydał swój interfejs API kluczy dostępu dla Androida na początku tego roku, programiści czekali na porównywalny interfejs API iOS firmy Apple. „Ta zmiana na iOS to ostatni element układanki, który pozwoli dostawcom zewnętrznym na pełne wykorzystanie kluczy dostępu”, napisał w poście na blogu Rew Islam, dyrektor ds. inżynierii produktu i innowacji Dashlane ogłaszając wsparcie dla iOS. „Dashlane będzie oferować obsługę klucza dostępu zarówno w systemie iOS, jak i Android, dzięki czemu korzystanie z klucza dostępu będzie bezproblemowe”.

Klucze dostępu Google to poważna sprawa

Użytkownicy i administratorzy Google Workspace i Google Cloud mogą teraz logować się na swoje konta za pomocą swoich kluczy dostępu. W tym tygodniu Google ogłosił, że uwierzytelnianie za pomocą klucza dostępu jest dostępne w otwartej wersji beta dla ponad 9 milionów organizacji posiadających konta Google Workspace i Google Cloud. Podczas gdy Google będzie nadal umożliwiać użytkownikom logowanie się do kont służbowych i osobistych za pomocą haseł, firma postrzega klucze dostępu jako łatwiejszą i bezpieczniejszą formę uwierzytelniania.

„Kiedy użytkownik loguje się za pomocą hasła do swoich aplikacji Workspace, takich jak Gmail lub Dysk Google, hasło może potwierdzić, że użytkownik ma dostęp do swojego urządzenia i może je odblokować za pomocą odcisku palca, rozpoznawania twarzy lub innego mechanizmu blokady ekranu ”, kierownik techniczny Google Workspace Shruti Kulkarni i kierownik produktu Jeroen Kemperman odnotowali 5 czerwca 2023 r., blogu. „Dane biometryczne użytkownika nigdy nie są wysyłane na serwery Google ani do innych witryn i aplikacji”.

Andrew Shikiar, dyrektor wykonawczy FIDO Alliance, uważa ostatnie posunięcie Google za znaczący wzrost liczby kluczy dostępu. „To ogromne, ogromne stwierdzenie, że klucze dostępu są gotowe na czas największej oglądalności i później” — mówi Shikiar. „Uważamy, że pomoże to przyspieszyć dalsze wprowadzanie kluczy dostępu”. Technologia klucza dostępu jest oparta na specyfikacji FIDO Alliance, która implementuje konsorcjum World Wide Web Consortium (W3C) Standard WebAuthn.

Piloci z kluczem dostępu obfitują w Enterprise

Shikiar mówi, że liczba organizacji prowadzących programy pilotażowe z kluczami dostępu stale rośnie. Wśród nich jest kilka dużych banków, PayPal, Home Depot, Hyatt Hotels, Intuit i Shopify. Hyatt korzystał Uwierzytelnianie FIDO z YubiKeys firmy Yubico, aby zapewnić urzędnikom hotelowym i pracownikom call center uwierzytelnianie bez hasła.

„Wykonali dużo pracy, wdrażając FIDO i klucze dostępu, a jeśli spojrzysz na aplikację World of Hyatt, to właśnie tam zainwestowali w ochronę informacji swoich klientów” — mówi Derek Hanson, wiceprezes Yubico ds. architektury rozwiązań i sojuszy .

W kwietniu tego roku Hyatt dodał obsługę klucza dostępu do swojej aplikacji World of Hyatt. Początkowo rejestracje były powolne, ale rejestracje kluczy gwałtownie wzrosły w dniu, w którym Google ogłosiło obsługę kluczy dostępu na kontach Google. „W dniu ogłoszenia Google zauważyliśmy gwałtowny wzrost liczby tworzonych kluczy” — mówi Hannah Hodak, starszy menedżer ds. produktu w firmie Hyatt. „Od tego czasu zaobserwowaliśmy również niewielki, ale ogólny wzrost liczby tworzonych kluczy dostępu”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• EVM Finanse. Ujednolicony interfejs dla zdecentralizowanych finansów. Dostęp tutaj.
• Quantum Media Group. Wzmocnienie IR/PR. Dostęp tutaj.
• PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
• Źródło: https://www.darkreading.com/dr-tech/apple-and-google-expand-support-for-passkeys