עדכון חדש מקרב אותנו לעולם בלי סיסמאות

מקור: גוגל

כולם מנסים להתחכם עם סיסמאות. מצד אחד, מנסים להקל על החיים כדי לזכור את כולן, אבל אז כנראה שהסיסמאות קלות מדי (וממחזרים אותן שוב ושוב), מה שמאפשר להאקרים לפרוץ לחשבונות שלכם בקלות. מצד שני, אם משתמשים בסיסמה מורכבת מדי, כנראה לא תזכרו אותה וגם אז היא עלולה לדלוף ממאגר כזה או אחר. לפני שנתיים הגיע לחיינו הפתרון שעשוי להעלים מחיינו את הסיסמאות, וכעת הוא מקבל את אחד השדרוגים הקריטיים ביותר.

כל הענקיות תמכו בתחליף הסיסמאות

בחודש מאי 2022 התאחדו אפל, גוגל ומיקרוסופט כדי להודיע על תמיכה בתקן של ארגון FIDO בשם Passkeys. מערכת Passkeys משתמשת במפתחות קריפטוגרפיים בתקן WebAuthn, המאפשר לאתרים לוודא שאתם מי שאתם טוענים שאתם – בלי צורך בסיסמה. המפתחות הללו מאוחסנים בדרך כלל במנהל הסיסמאות שיושב במכשיר שלכם, ואתם רק צריכים להזדהות אל מול המכשיר באמצעות טביעת אצבע, סריקת פנים או קוד הגישה שלכם. המכשיר למעשה מעיד בפני האתר שאתם אכן אתם. מעין סיסמה מוצפנת שאתם אפילו לא יכולים לדעת אותה, וגם אם היא “דולפת”, היא לא רלוונטית כל עוד ההאקר לא מחזיק במכשיר שלכם.

לפי נתוני FIDO, שימוש ב-Passkeys מזרז את תהליכי ההתחברות לחשבונות ב-75% ומצמצם את כמות השגיאות ב-20%. גוגל הייתה מהראשונות להטמיע את ה-Passkeys בג’ימייל, ומיקרוסופט ואפל הצטרפו לאחר מכן, כך שכמעט כל האקוסיסטמים המרכזיים מאפשרים לכם להיפטר בהדרגה מסיסמאות ולהתקדם לתקן בטוח יותר.

אז מה הבעיה? מלבד העובדה שגם המפתחים צריכים לתמוך ב-Passkeys כדי שלמשל תוכלו להפסיק להשתמש בסיסמה ל-Slack שלכם, הבעיה החמורה של Passkeys טמונה בעובדה שברגע שהנפקתם Passkey במנהל הסיסמאות של גוגל, למשל – הוא תקוע שם. הכל טוב ויפה כל עוד אתם נעולים על האקוסיסטם שבו הנפקתם את ה-Passkeys שלכם, אבל אם אתם רוצים למשל להתחיל להשתמש במנהל סיסמאות חיצוני כמו 1Password, או שפשוט בא לכם לעבור לאפליקציית הסיסמאות החדשה שהגיעה עם iOS 18, אין דרך להעביר את הפאסקיז שלכם – וזה לא טוב למשתמשים ולא לתחרות. במילים אחרות, במקום להיות גורם שהוא רק חיובי, ה-Passkeys הפכו לעוד לבנה בחומה שמשמרת אתכם בתוך האקוסיסטם שבו אתם נמצאים עכשיו.

נראה שגם בארגון FIDO הבינו שזה היה מחסום שגרם למשתמשים ולחברות שלא לאמץ את התקן, ולכן הם פירסמו עכשיו מפרט מעודכן לפרוטוקול העברת Passkeys בצורה מאובטחת. ברגע שהמפרט יצטרף לסטנדרט, כל חברה שמציעה Passkeys תאפשר העברת סיסמאות ו-Passkeys מגורם אחד לשני. בארגון חילקו את המפרט לשני חלקים, ה-Credential Exchange Protocol, או CXP, ו-Credential Exchange Format או CXF.

תקן בטוח להעברת Passkeys

בניגוד למשל למנהלי סיסמאות שבדרך כלל מייצאים את הסיסמאות שלכם בקובץ CSV שאפשר לגנוב ברגע, התהליך החדש יכלול כמה שלבים קריטיים מאחורי הקלעים: בשלב הראשון, אתם מבקשים לבצע ייצוא ל-Passkey שלכם, והבקשה שיוצאת ממנהל סיסמאות אחד הופכת לבקשה לייבוא במנהל הסיסמאות שאליו אתם רוצים לעבור.

הבקשה הזאת כוללת “אתגר” שמאמת את זהות המשתתפים בתהליך, את היקף בקשת הייצוא והצהרה על סוג ההצפנה שבמקרה הזה תהיה בפרוטוקול Diffie-Hellman. ברגע שהמשתמשת מאשרת את המעבר, הספק המייצא משתמש במפתח כדי לייצר או להשיג את פתח ההצפנה, אוסף ומצפין את כל המידע המבוקש וחותם על האתגר שהגיע מהספק המייבא. כל המידע הזה, הכולל את המידע המוצפן, האתגר החתום והמפתח הפומבי נקלט אצל הספק המייבא שאליו אתם מנסים לעבור, הוא מאשר את האתגר, מאחזר את המפתח ואז מפענח את המידע המוצפן שמפורמט ב-CXF. לאחר מכן, המידע מאוחסן אצל הספק החדש. כמובן שמהצד של המשתמש, אתם לא אמורים להרגיש באף אחד מהתהליכים הללו מלבד הבקשה לייצוא והבקשה לייבוא של ה-Passkeys.

בינתיים, 1Password כבר הודיעה על התמיכה בתקן המעודכן, וספקיות כמו Dashlane, Bitwarden, NordPass, ו-Google לקחו חלק בכתיבת התקן, כך שסביר להניח שכולן יתמכו בו. מי שנעדרות מרשימת המשתתפים הן אפל וגם מיקרוסופט, אך אפשר לשער שהן לא יתנו לגוגל להיתפס בתור חברה פתוחה והוגנת מהן. בשלב הזה, התקן הוא בגדר טיוטה ראשונה, כך ששאר התעשייה תוכל להגיב עליו, ולאחר מכן הוא יהפוך לרשמי וסופי. מכאן, זה כבר יעבור למגרש של החברות שיצטרכו לעדכן את התשתיות שלהן עם תמיכה בתקן. זה אומר שלפחות בינתיים, נצטרך להמשיך להמתין, אבל זהו צעד חשוב בכיוון הנכון לאימוץ נרחב והוגן יותר של Passkeys, וזה כבר טוב לכולם.

הכתבה פורסמה לראשונה בגיקטיים