Όπως έχει ειπωθεί επανειλημμένα, οι κωδικοί πρόσβασης είναι προβληματικοί. Όμως η Παγκόσμια Ημέρα Κωδικού Πρόσβασης (που έρχεται κάθε χρόνο την 1η Μαΐου) προσφέρει μια καλή αφορμή για να τους εγκαταλείψετε οριστικά.
Φυσικά, ο σκοπός αυτής της ημέρας είναι να σας παρακινήσει να ενημερώσετε τους κωδικούς σας ώστε να γίνουν πιο ασφαλείς – όπως το να εγκαταλείψετε επιτέλους το «password12345» για κάτι όπως το «XSmpJAI5v@NtG-7L#Q2F». Ή, αν προτιμάτε τις φράσεις-κλειδιά (passphrases), κάτι του στυλ «Water-Whom-Atom-Flame-Snake5».
Αντί για την απλή ενημέρωση, προτιμήστε την αντικατάσταση. Συγκεκριμένα, αντικαταστήστε τους κωδικούς σας με passkeys (ψηφιακά κλειδιά πρόσβασης).
Γιατί τα Passkeys υπερέχουν σε ασφάλεια
Τα passkeys δεν απαιτούν απομνημόνευση, αποθηκεύονται απευθείας στο κινητό σας και είναι πολύ πιο ισχυρά από τους παραδοσιακούς κωδικούς. Ένα βασικό πλεονέκτημα είναι ότι παρουσιάζουν εξαιρετική αντοχή σε επιθέσεις phishing. Επιπλέον, αν μια ιστοσελίδα παραβιαστεί από χάκερ (κάτι πολύ συνηθισμένο στις μέρες μας), τα διαπιστευτήριά σας δεν μπορούν να «σπαστούν» ούτε να χρησιμοποιηθούν από κανέναν άλλον.
Πώς λειτουργεί η ασύμμετρη κρυπτογράφηση
Όταν δημιουργείτε ένα passkey, παράγεται ένα ζεύγος από ένα δημόσιο και ένα ιδιωτικό κλειδί. (Αυτή η μέθοδος είναι γνωστή ως κρυπτογράφηση δημόσιου κλειδιού ή ασύμμετρη κρυπτογράφηση).
- Το ιδιωτικό κλειδί φυλάσσεται στη συσκευή σας ή στον διαχειριστή κωδικών (password manager).
- Οι συσκευές που υποστηρίζουν αυτή την τεχνολογία περιλαμβάνουν τηλέφωνα, tablet, υλικό ασφαλείας (όπως τα YubiKeys) και συμβατούς υπολογιστές.
- Μπορείτε να επιλέξετε αν θα αποθηκεύετε τα passkeys τοπικά στη συσκευή σας ή στο cloud.
Αυτά τα «μυστικά κλειδιά» προστατεύονται μέσω της βιομετρικής ταυτοποίησης της συσκευής σας (π.χ. δακτυλικό αποτύπωμα ή αναγνώριση προσώπου) ή μέσω της μεθόδου ασφαλείας που χρησιμοποιεί ο διαχειριστής κωδικών σας.
Πιστεύετε ότι ήρθε η ώρα να εγκαταλείψετε οριστικά τους παραδοσιακούς κωδικούς για χάρη μιας πιο ασφαλούς λύσης;
Η διαδικασία σύνδεσης βήμα-προς-βήμα
Εν τω μεταξύ, το δημόσιο κλειδί κοινοποιείται στον ιστότοπο για τον οποίο δημιουργήθηκε. Για να συνδεθείτε στον λογαριασμό με τον οποίο είναι συνδεδεμένα, απαιτούνται και τα δύο κλειδιά (δημόσιο και ιδιωτικό). Κάθε φορά που συνδέεστε, ο ιστότοπος θα ζητά απόδειξη ότι είστε ο κάτοχος του λογαριασμού, μέσω των εξής βημάτων:
- Αποστέλλεται ένα αίτημα στη συσκευή σας (ή στον διαχειριστή κωδικών) για να ξεκινήσει η διαδικασία επαλήθευσης.
- Απαιτείται το δακτυλικό σας αποτύπωμα, η σάρωση προσώπου ή άλλη μέθοδος ταυτοποίησης για να εγκριθεί το αίτημα.
- Εάν δώσετε την έγκρισή σας, το ιδιωτικό σας κλειδί (το λεγόμενο μυστικό κλειδί) χρησιμοποιείται για τη δημιουργία μιας ψηφιακής υπογραφής, η οποία στη συνέχεια αποστέλλεται στον ιστότοπο.
- Ο ιστότοπος χρησιμοποιεί την ψηφιακή υπογραφή για να προσπαθήσει να «ξεκλειδώσει» το δημόσιο κλειδί που του είχατε δώσει. Αν η προσπάθεια επιτύχει, συνδεθήκατε.
Όταν τα passkeys εφαρμόζονται σωστά, κανείς δεν μπορεί να βρει το ιδιωτικό σας κλειδί βασιζόμενος στο δημόσιο — πράγμα που σημαίνει ότι οι διαρροές δεδομένων και οι παραβιάσεις δεν είναι πλέον τόσο επικίνδυνες (τουλάχιστον όσον αφορά την ασφάλεια των κωδικών). Επίσης, τα passkeys λειτουργούν μόνο για τον συγκεκριμένο ιστότοπο για τον οποίο δημιουργήθηκαν, οπότε δεν μπορούν να υποκλαπούν ή να χρησιμοποιηθούν από ψεύτικους κακόβουλους ιστότοπους, που είναι και ο τρόπος με τον οποίο οι απάτες phishing κλέβουν τους κωδικούς πρόσβασης.
Το μοναδικό ουσιαστικό πρόβλημα με τα passkeys προκύπτει εάν επιλέξετε να τα αποθηκεύσετε τοπικά σε μια συσκευή — σε περίπτωση που τη χάσετε, ενδέχεται να κλειδωθείτε έξω από τον λογαριασμό σας. Ωστόσο, αυτό συμβαίνει μόνο αν επιλέξετε συνειδητά την τοπική αποθήκευση, όπως σε έναν υπολογιστή Windows με αποκλειστικά τοπικό λογαριασμό (κάτι σπάνιο πλέον) ή σε ένα YubiKey. Τέτοια ζητήματα αποφεύγονται εύκολα αν διαθέτετε μια δεύτερη συσκευή ή ένα φυσικό κλειδί ασφαλείας, ή αν έχετε ορίσει ως εφεδρική λύση έναν εξαιρετικά ισχυρό κωδικό και ταυτοποίηση δύο παραγόντων (2FA).
Πώς να ξεκινήσετε τη μετάβαση
Αυτή η τελευταία επιλογή δεν σας απαλλάσσει πλήρως από τους κωδικούς, αλλά τουλάχιστον σας καλύπτει στο μεγαλύτερο μέρος της καθημερινότητάς σας. Η σύνδεση με passkey είναι συνήθως ταχύτερη από τη χρήση κωδικών, ακόμα και σε σύγκριση με τη χρήση ενός διαχειριστή κωδικών με αυτόματη συμπλήρωση.
Αν η μετάβαση σας φαίνεται βουνό, ξεκινήστε από τις μεγάλες υπηρεσίες όπως η Google, η Apple και η Microsoft, καθώς και από μεγάλα ηλεκτρονικά καταστήματα όπως το Amazon. Η μετατροπή των εφαρμογών και των ιστοσελίδων που χρησιμοποιείτε συχνότερα, καθώς και εκείνων που διαχειρίζονται ευαίσθητες πληροφορίες (όπως στοιχεία πληρωμής), θα κάνει την online ζωή σας άμεσα πιο ασφαλή και εύκολη.
