Zaporke za Google su neshvatljive. Uključili ste ih, zar ne?

Do sada ste vjerojatno čuli da Google računi bez lozinke imaju konačno stigli. Ova alternativa za lozinke poznata je kao "zaporke".

Mnogo je zabluda o pristupnim ključevima, kako u pogledu njihove upotrebljivosti tako i prednosti sigurnosti i privatnosti koje nude u usporedbi s trenutnim metodama provjere autentičnosti. To ne čudi, s obzirom na to da se lozinke koriste zadnjih 60 godina, a pristupni ključevi su tako novi. Ukratko, uz nekoliko minuta obuke, zaporke je lakše koristiti nego zaporke, a u pitanje je nekoliko mjeseci—kad desetak industrijskih partnera završi s izvođenjem preostalih dijelova—upotreba zaporki bit će lakša još. Zaporke su također znatno sigurnije i čuvaju privatnost od lozinki, iz razloga koje ću objasniti kasnije.

Što je uopće pristupni ključ?

Ovaj članak pruža početnicu kako bi ljudi počeli s Googleovom implementacijom pristupnih ključeva i objašnjava tehničke podloge koje ih čine puno lakšim i učinkovitijim načinom zaštite od računa preuzimanja. Pregršt manjih web-mjesta—posebno PayPal, Instacart, Best Buy, Kayak, Robinhood, Shop Pay i Cardpointers—ima uveo je razne opcije za prijavu s pristupnim ključevima, ali ti su izbori više dokaz koncepta nego funkcioniranje rješenja. Google je prva velika mrežna usluga koja je pristupne ključeve učinila dostupnima, a njegova je ponuda dovoljno rafinirana i sveobuhvatna da preporučujem ljudima da ih uključe već danas.

Prvo, pomaže točno znati što je pristupni ključ i kako funkcionira. Apple daje koristan opis ovdje tehničkih temelja zaporki:

Zaporke su izgrađene na standardu WebAuthentication (ili "WebAuthn") koji koristi kriptografiju s javnim ključem. Tijekom registracije računa, operativni sustav stvara jedinstveni par kriptografskih ključeva koji se povezuje s računom za aplikaciju ili web mjesto. Ove ključeve generira uređaj, sigurno i jedinstveno, za svaki račun.

Jedan od tih ključeva je javan i pohranjen je na poslužitelju. Ovaj javni ključ nije tajna. Drugi ključ je privatan i potreban je za prijavu. Poslužitelj nikada ne sazna što je privatni ključ. Na Apple uređajima s dostupnim Touch ID-om ili Face ID-om, oni se mogu koristiti za autorizaciju upotrebe pristupnog ključa, koji zatim autentificira korisnika u aplikaciji ili na web mjestu. Ne prenosi se dijeljena tajna, a poslužitelj ne treba štititi javni ključ. Zbog toga su zaporke vrlo jake, vjerodajnice jednostavne za korištenje koje su visoko otporne na krađu identiteta. Prodavači platformi surađivali su unutar FIDO Alliance-a kako bi osigurali da su implementacije pristupnog ključa kompatibilne s više platformi i da mogu raditi na što je moguće više uređaja.

Specifikacije FIDO zahtijevaju da bilo koji mehanizam sinkronizacije koji korisnik odabere (bilo da je od Applea, Microsofta, Googlea ili treće strane) osigura end-to-end enkripcija na način na koji iCloud Keychain i sinkronizacija lozinki s preglednicima trenutno rade (na Chromeu sinkronizacija E2EE lozinke mora biti Upaljeno). To znači da je privatni ključ nepoznat pružatelju usluga oblaka. Privatni ključ nalazi se na uređaju i može mu se pristupiti samo otključavanjem uređaja pomoću PIN-a za otključavanje, otiska prsta ili skeniranja lica. Privatni ključ nikada ne napušta pouzdane korisničke uređaje, osim kao E2EE blob sinkroniziran putem jednog od velika tri ili, uskoro, treće strane kao što je 1Password.

Zaporke Google računa podržavaju dovoljno platformi da ne postoji samo jedan način njihove upotrebe. Način na koji se osoba koja prvenstveno koristi Android i Linux prijavljuje drugačije će izgledati i koristiti drugačiji tok od osobe koja koristi sve Apple platforme ili osobe koja koristi iOS ili Android sa Windowsima. Ne postoji način da se u jednom članku navedu upute korak po korak za sve platforme. Ovaj primer umjesto toga koristi kombinaciju uređaja i operativnih sustava—točnije Pixel 7, iPhone 13, iPad devete generacije, ThinkPad sa sustavom Windows 10 i MacBook Air—s ciljem da se barem dotakne osnovnog rada svih ih.

WTF radi li ovaj pristupni ključ na mom Pixelu?

Kad sam se probudio u srijedu – na dan kada je Google uveo Google račune bez lozinke – moj Pixel 7 već je imao automatski kreiranu pristupnu šifru. Nisam primijetio dok nisam pristupio g.co/passkeys, što je prečac do myaccount.google.com/signinoptions/passkeys, stranica koju je Google instalirao za upravljanje pristupnim ključevima računa. Na moje iznenađenje, ključ je već bio tamo. Budući da je moj račun upisan u Googleov Program napredne zaštite (APP), ovaj novi ključ pojavio se odmah iznad ključeva dvofaktorske provjere autentičnosti (2FA) koje APP zahtijeva za pokretanje novih preglednika koji se prijavljuju.

Kao što slika pokazuje, koristio sam Chrome na MacBook Airu za pristup stranici iako je moj preferirani preglednik ovih dana Firefox. Razlog: Firefox još ne podržava pristupne ključeve na macOS-u, iako će se to promijeniti, vjerojatno prije nego kasnije. Na kraju sam odlučio nastaviti koristiti Safari do kraja procesa jer se zaporke stvorene pomoću tog preglednika na macOS-u i iOS-u automatski sinkroniziraju putem iCloud Keychaina. Za sada pristupni ključevi izrađeni pomoću Chromea i Edgea na Appleovim platformama nisu.

Pristupajući istoj stranici g.co/passkeys u Safariju, pomaknuo sam se do dna i kliknuo "Create a Passkey" i dobio dijaloški okvir s kratkim objašnjenjem zaporki. Odatle sam kliknuo gumb "Nastavi". Sljedeći zaslon koji se pojavio objasnio je da spremam pristupni ključ koji će biti pohranjen u iCloudu. Nakon što sam kliknuo "gotovo", odjeljak zaporke na myaccounts.google.com ažuriran je da bi pokazao da je stvorena nova zaporka.