Dalam sebuah artikel terbaru dari penerbit teknologi terkenal yang memuji keutamaan Manajer Kata Sandi Bitwarden, penulis menulis yang berikut (pada saat Anda membaca ini, bagian tersebut mungkin telah diperbaiki):
“Passkeys adalah upaya untuk mengganti kata sandi dengan kunci yang tidak perlu Anda ingat atau khawatirkan sama sekali. Saat Anda membuat passkey untuk situs web, situs ini mengeluarkan dua potong kode, yang disimpan di server, yang disimpan di perangkat Anda. Ketika Anda kembali ke situs, situs memeriksa kode yang disimpannya ke perangkat Anda dan jika ada di sana, itu login Anda.
Bagian ini mencakup beberapa pernyataan yang salah yang bekerja melawan upaya Aliansi Fido untuk mendidik masyarakat tentang mengapa Passkeys lebih aman daripada kata sandi untuk mengautentikasi dengan situs web atau aplikasi. (Aliansi Fido adalah konsorsium pemimpin berteknologi tinggi-termasuk Microsoft, Google, dan Apple-yang mengembangkan dan mempromosikan standar teknologi passkey.)
Bagian ini mendapatkan satu hal yang benar: “Passkeys adalah upaya untuk mengganti kata sandi dengan kunci yang tidak harus Anda ingat atau khawatirkan.” Itu pasti salah satu aspirasi standar passkey.
Juga: Mengapa jalan dari kata sandi ke passkeys panjang, bergelombang, dan sepadan – mungkin
“Itulah visinya. Hasil akhirnya harus benar -benar mudah,” kata Mitchell Galavan, Google Lead Authentication UX Designer, selama wawancara baru -baru ini dengan ZDNET. “[You shouldn’t] Bahkan harus memikirkannya, “tambah Galavan, yang juga berfungsi sebagai ketua bersama kelompok kerja Aliansi Fido U/X.” Pengalaman itu harus mulus. Anda bahkan tidak perlu tahu bahwa Passkeys muncul di perangkat Anda jika Anda tidak mau – Anda hanya pergi ke tempat yang Anda inginkan. “
Ketika Passkeys bekerja, yang tidak selalu terjadi, mereka dapat menawarkan pengalaman yang hampir otomatis dibandingkan dengan ID pengguna dan alur kerja kata sandi yang khas. Beberapa pendukung Passkey suka mengatakan bahwa Passkeys akan menjadi kematian kata sandi. Namun, lebih realistis, setidaknya untuk dekade berikutnya, mereka akan berarti kematian beberapa Kata sandi – Mungkin banyak kata sandi. Kita akan lihat. Meski begitu, gagasan membunuh kata sandi adalah tujuan yang sangat layak.
Kerusakan yang dilakukan oleh kata sandi
Selama empat dekade, kata sandi telah menjadi tumit teknologi komputer Achilles. Sebagian besar kerusakan yang dilakukan – dengan akun yang dikompromikan, pencurian identitas, pengekspos informasi pribadi, dan pencurian dana digital – melibatkan kata sandi yang dikompromikan.
Dalam banyak kasus, kata sandi tanpa sadar dibagikan dengan aktor jahat, seringkali melalui phishing (dan baru -baru ini, Smishing). Phishing (email) dan smishing (pesan teks) adalah bentuk digital dari rekayasa sosial yang menipu pengguna yang tidak curiga untuk memasukkan ID pengguna dan kata sandi mereka ke dalam situs web palsu, yang tampak otentik, dan dioperasikan secara kriminal.
Juga: 7 Aturan Kata Sandi Pakar keamanan hidup pada tahun 2025 – yang terakhir mungkin mengejutkan Anda
Kata sandi dan passkeys serupa dalam satu hal penting: mereka masing -masing melibatkan rahasia. Namun, perbedaan terbesar antara kata sandi dan passkeys adalah bagaimana rahasia itu ditangani. Dengan kata sandi, rahasia itu adalah rahasia bersama.
Dengan kata sandi, Anda harus selalu membagikan rahasia Anda dengan operator situs web atau aplikasi (dikenal di dunia cybersecurity sebagai “Partai Mengandalkan”). Anda melakukan ini ketika Anda mengatur atau mengatur ulang kata sandi, dan Anda melakukan ini saat Anda login.
Phishers dan Smishers sepenuhnya bergantung pada prinsip dasar rahasia bersama. Tujuan awal mereka adalah selalu membuat Anda berbagi rahasia dengan mereka.
Sebaliknya, dengan Passkeys – tidak masuk akal seperti kedengarannya – rahasianya tidak pernah dibagikan dengan pesta yang mengandalkan. Itu benar. Dengan Passkeys, saat Anda masuk ke situs web atau aplikasi, Anda tidak perlu berbagi rahasia untuk menyelesaikan proses login. Setelah Anda terbiasa tidak berbagi rahasia dengan situs dan aplikasi yang sah, kemungkinan berbagi rahasia dengan phisher atau smisher sangat berkurang atau dihilangkan sama sekali.
Prinsip Passkey
Passkeys didasarkan pada kriptografi kunci publik, di mana dua kunci dipasangkan. Satu kunci adalah publik dan dapat dibagikan kepada siapa pun, sementara yang lain bersifat pribadi dan tidak dibagikan kepada siapa pun.
Juga: Kunci Keamanan Terbaik 2025: Tes Ahli
Kemungkinan besar, ketika artikel yang disebutkan di atas merujuk pada “dua potong kode,” itu merujuk pada kunci publik dan pribadi yang membentuk apa yang dikenal sebagai pasangan kunci publik/pribadi yang membentuk dasar dari passkey.
Alasan bahwa pasangan kunci publik/pribadi sangat keren adalah bahwa apa pun yang dienkripsi dengan kunci publik hanya dapat didekripsi dengan kunci pribadi dan sebaliknya. Jadi, jika saya memberi Anda setengah publik dari pasangan kunci publik/pribadi dan Anda mengenkripsi sesuatu dengannya, saya satu -satunya orang yang dapat mendekripsi informasi itu selama saya satu -satunya orang yang memiliki setengah pribadi; kunci pribadi. Di sisi lain, jika saya menggunakan kunci pribadi saya untuk mengenkripsi sesuatu, siapa pun dengan kunci publik yang sesuai dapat mendekripsi.
Juga: Biometrik vs. Kode Pass: Apa yang dikatakan pengacara jika Anda khawatir tentang pencarian telepon tanpa jaminan
Dengan Passkeys, perangkat yang digunakan pengguna akhir – misalnya, komputer desktop atau smartphone mereka – adalah yang bertanggung jawab untuk menghasilkan pasangan kunci publik/pribadi sebagai bagian dari proses pendaftaran passkey awal. Setelah melakukannya, ia membagikan kunci publik – yang bukan rahasia – dengan situs web atau aplikasi yang ingin masuk oleh pengguna. Kunci pribadi – rahasia – tidak pernah dibagikan dengan pesta yang mengandalkan itu.
Di sinilah artikel teknologi di atas membuatnya terbelakang. Bukan “situs” yang “memuntahkan dua potong kode” menyimpan satu di server dan yang lainnya di perangkat Anda. Ini adalah perangkat yang memuntahkan dua potong kode, menyimpan satu – kunci pribadi – ke perangkat Anda sambil mengirim yang lain – kunci publik – ke pihak yang mengandalkan (“server”).
Kata Sandi vs. Passkeys sekilas
Kata sandi |
Passkey |
|
Bergantung pada rahasia bersama yang mudah dielakkan oleh partai -partai yang terlibat, membuatnya rentan terhadap penemuan oleh para aktor ancaman. |
Bergantung pada rahasia yang tetap dalam kepemilikan pengguna dan tidak pernah dibagikan, hampir menghilangkan peluang penemuan oleh aktor ancaman. |
|
Serangkaian karakter yang dipilih oleh pengguna, kadang -kadang dengan bantuan alat (manajer kata sandi) yang ada di kontrol pengguna. |
Sepasang kunci yang cocok dari kunci kriptografi publik dan pribadi yang diturunkan dari sistem. |
|
Pengguna memilih cara menyimpan rahasia (memori, catatan tempel, manajer kata sandi, dll.). |
Rahasia (kunci pribadi dari pasangan kunci publik-swasta) secara otomatis disimpan dengan cara yang aman di mana bahkan pengguna tidak dapat dengan mudah mengingatnya atau membagikannya. |
|
Memasukkan ID pengguna dan kata sandi adalah pengalaman pengguna di mana -mana yang dipahami dan didukung secara luas. |
Pengalaman pengguna dapat sangat berbeda dari satu implementasi ke yang berikutnya, yang bisa membingungkan. Belum didukung oleh banyak situs web dan aplikasi. |
|
Rahasia yang sama dapat digunakan kembali di beberapa situs web dan aplikasi (alias, mengandalkan pihak). |
Rahasianya unik dan spesifik untuk pesta yang mengandalkan. Pengguna tidak memiliki opsi untuk menggunakannya kembali. |
|
Standar de facto untuk kata sandi dan implementasi multifaktor relatif kuno dan lengkap. |
Standar yang dipimpin konsorsium adalah pekerjaan dalam proses. Ekosistem Passkey masih melibatkan beberapa kesenjangan teknologi. |
|
Pengguna rentan terhadap pemulihan kredensial selama situs web dan aplikasi mendukung ID pengguna dan kata sandi (yang dilakukan sebagian besar situs). |
Akan benar -benar memenuhi janjinya hanya setelah kata sandi dihilangkan, yang tidak mungkin terjadi di masa mendatang. |
Perbedaan antara keduanya sangat penting karena jika pihak yang mengandalkan menghasilkan pasangan kunci publik/pribadi, maka implikasinya adalah bahwa pihak yang mengandalkan itu, pada satu titik, memiliki pasangan penuh, yang berarti memiliki rahasia. Salah satu prinsip utama dari Standar Passkey adalah bahwa mengandalkan partai -partai tidak pernah bersentuhan dengan rahasia.
Bagaimana Passkeys bekerja sihir mereka
Setelah pihak yang mengandalkan menerima kunci publik dari perangkat pengguna, ia menyimpan kunci publik dengan cara yang dapat ditarik kembali ketika pengguna kembali ke login. Ketika pengguna kembali untuk masuk, pihak yang mengandalkan menggunakan kunci publik pengguna (yang disimpan di langkah sebelumnya) untuk mengenkripsi serangkaian informasi yang relatif acak yang dikenal sebagai “tantangan.” Ini mengirimkan tantangan itu kembali ke pengguna. Setelah menerima tantangan, pengguna bergantung pada kunci pribadi yang cocok untuk mendekripsi pesan. Kemudian terkancrypts string dan mengirimkannya kembali ke pihak yang mengandalkan, yang kemudian menggunakan kunci publik untuk mendekripsi untuk melihat apakah itu cocok dengan string acak yang awalnya dikirim ke pengguna. Jika ada kecocokan, pengguna diautentikasi untuk menggunakan situs atau aplikasi pihak yang mengandalkan.
Juga: Mengapa otentikasi multi-faktor sangat penting pada tahun 2025
Oleh karena itu, pernyataan bahwa “Ketika Anda kembali ke situs, situs memeriksa kode yang disimpannya ke perangkat Anda dan jika ada di sana, ia mencatat Anda” juga tidak benar. Pertama, situs tidak pernah menyimpan apapun ke perangkat Anda. Kedua, situs ini tidak dapat menginterogasi perangkat Anda untuk keberadaan salah satu kunci.
Jadi, bagaimana hal ini berhenti phishing? Pertama, begitu pengguna mendaftarkan passkey dengan pihak yang mengandalkan, mereka harus, sejak saat itu, tidak pernah diminta untuk ID pengguna atau kata sandi mereka oleh pihak yang mengandalkan itu. Jika pengguna menerima email (phishing) atau teks (smishing) dengan tautan yang membawanya ke situs web yang, pada gilirannya, meminta ID dan kata sandi pengguna mereka, pengguna harus berasumsi bahwa situs tersebut palsu. Lagi pula, ini meminta informasi yang sudah usang.
Selain itu, katakanlah situs jahat entah bagaimana mendapatkan kunci publik Anda dan menawarkan Anda kemampuan untuk masuk dengan passkey Anda. Anda mungkin melangkah lebih jauh dengan mengotentikasi dengan situs jahat. Tetapi bahkan jika Anda melangkah sejauh itu, Anda tidak akan pernah berbagi kredensial aktual dengan aktor jahat dengan cara yang dapat mereka gunakan untuk masuk ke akun Anda.
Juga: Bagaimana Pergi Kata Sandi Dapat Menyederhanakan Hidup Anda
Passkeys masih harus ditempuh sebelum mereka menyadari potensi mereka. Beberapa implementasi saat ini sangat buruk sehingga bisa menunda adopsi mereka. Tetapi adopsi Passkeys adalah apa yang diperlukan untuk akhirnya mengurangi kejahatan selama beberapa dekade yang telah mengganggu internet. Untuk mendorong adopsi itu, sangat penting untuk memastikan bahwa ketika ada orang yang menceritakan kisah passkey, itu diceritakan secara akurat.
Tetap di depan berita keamanan dengan Teknologi hari inidikirim ke kotak masuk Anda setiap pagi.