Hirdetés
A jelszavak elengedhetetlenek az internetes biztonság szempontjából. De oly sok online és offline szolgáltatás mellett nehéz a jelszavak nyomon követése. A jelszó nélküli bejelentkezési rendszerek kezdik elindulni, megszüntetve a jelszó megadásának követelményét minden egyes szolgáltatásba való bejelentkezéskor.
De ha nem használ jelszót, hogyan védheti meg fiókját? Mi a jelszó nélküli bejelentkezés és biztonságos?
Mi a jelszó nélküli bejelentkezés?
A jelszó nélküli bejelentkezések olyan hitelesítő rendszerek, amelyek a jelszó alternatíváit használják, hogy hozzáférjenek fiókjához. Például jelszó helyett e-mail értesítést kap, amely bejelentkezési jogkivonatként működik. Alternatív megoldásként előugró ablakot kaphat az okostelefonon, amely lehetővé teszi a fiókhoz való hozzáférés ellenőrzését.
Ebben a jelszó nélküli bejelentkezés gyakran egy már létező hitelesítési formát használ a személyazonosságának garantálása érdekében.
Lehet, hogy a Gmail-fiókjával már találkozott jelszó nélküli bejelentkezésekkel. Ahelyett, hogy minden alkalommal be kellene írnia a jelszavát, a Google közvetlenül a telefonjára küldhet egy felszólítást. A prompt megjeleníti a bejelentkezési kísérlet idejét és helyét, azzal a lehetőséggel, hogy jóváhagyja vagy elutasítsa a bejelentkezést.
Hogyan működik a jelszó nélküli bejelentkezés?
Amikor belép egy weboldalra, meg kell adnia egy jelszót a fiók feloldásához. A jelszó csak Ön és a webhely ismert, ezáltal biztonságban van a fiókja. Bízod abban, hogy a webhely biztonságban fogja tartani a jelszavát, biztonságosan tárolja, és hogy maga a webhely sem sebezhető.
Ezenkívül minden egyes webhelynél és szolgáltatásnál határozottan egyedi jelszavakat használ, mert ez a legbiztonságosabb gyakorlat.
Ez utóbbi azonban nehezebbé vált. Ha minden webhelyhez erős, egyszer használatos jelszót hoztak létre, a felhasználók könnyen emlékezetes, de szörnyű jelszavakat hoztak létre. És még ha biztonságos jelszót is létrehoz, a havi adatsértések számának áttekintése alááshatja erőfeszítéseit.
Jelszó nélküli hitelesítés esetén nem kell megbíznia a webhelyet jelszóval. Ahelyett, hogy minden alkalommal jelszót írna be, a jelszó nélküli bejelentkezés néhány különféle hitelesítési módszert használ.
E-mail alapú jelszó nélküli hitelesítés
A leggyakoribb jelszó nélküli bejelentkezési rendszer jelenleg e-mailben történik. Számos felhasználó az e-mail alapú jelszó nélküli bejelentkezést fogja találni a legismertebb rendszerként, hasonlóan a jelszó-visszaállításhoz.
Amikor megpróbál bejelentkezni, megad egy e-mail címet. A szolgáltatás biztonságos e-mailt küld a fiókhoz társított címre, és az e-mail biztonságos, egyszer használatos varázslatos linket tartalmaz a szolgáltatói fiók megadásához. A mágikus link egy egyedi bejelentkezési jogkivonatot tartalmaz, amelyet a szolgáltatás ellenőriz, és hosszú időre érvényes ellenőrző tokenre cseréli.
Az e-mail rendszeren vannak más változatok. Például létező fiók esetén a szolgáltatás egy-egy felhasználású DKIM kulcskódot küldhet a felhasználónak, amely a számla adataihoz van kötve. A felhasználó megkapja a DKIM kódot, és beírja azt a webhelyre. A webhely ellenőrzi a kódot a meglévő felhasználói adatok alapján, és befejezi a bejelentkezési folyamatot.
SMS alapú jelszó nélküli bejelentkezés
Ebben az esetben a felhasználó érvényes telefonszámot ír be. A szolgáltatás egyszer használatos kódot küld a telefonszámra. A felhasználó bejelentkezhet a szolgáltatásba. Alternatív megoldásként, néhány szolgáltatás „robo-call” szolgáltatást kínál a felhasználó számára, ahol a szöveg-beszéd szolgáltatás közvetlenül elolvassa a kódot.
Az SMS biztonságát azonban vizsgálják. Nagyon többségünknek nem kell aggódnia. De több értékes személy (főleg azok, akiknél nagy mennyiségű kriptovaluta volt) szenvedett SMS-szimbolikus támadásokkal. Pontosan nézze meg, mi a sim-csere támadás, és hogyan védje meg Mi a SIM-kártya cseréje? 5 tipp, hogy megvédje magát a csalástólA mobilszámla-hozzáférés és a 2FA biztonság növekedésével a SIM-kártya cseréje növekvő biztonsági kockázatot jelent. Itt van, hogyan lehet megállítani. Olvass tovább .
Biometrikus alapú jelszó nélküli bejelentkezés
Egyes jelszó nélküli bejelentkezési módszerek biometrikus szkennelési szolgáltatásokat használnak személyazonosságának hitelesítésére. A biometrikus hitelesítési szolgáltatások több eszközön jelennek meg, mint valaha. (Kellene váltson okostelefonjának biometrikus szolgáltatására?)
Az ötlet az, hogy amikor egy webhelyre szeretne hozzáférni, egy okostelefonon megjelenik egy prompt. A kívánt biometrikus rendszer segítségével feloldja az okostelefont, és a feloldás igazolja személyazonosságát.
Az Apple Face ID-jétől eltekintve (az iPhone X-et és iPad Pro után gyártó készülékek esetében) harmadik generáció és az iPod Touch hetedik generációja), a mobil eszközök biometrikus szkennelése nem teljes biztosítsa.
Más gyártók arcszkennelő hardverei nem olyan fejlett és egy fénykép használatával becsapják őket, mivel teljes 3D-s nyomtatott és festett fej szükséges ahhoz, hogy becsapja az Apple Face ID-jét. Más esetekben az ujjlenyomat-leolvasók lehetővé teszik a részleges felismerést 5 módszerrel a hackerek megkerülhetik az ujjlenyomat-leolvasókat (hogyan védjék meg magukat)Gondolod, hogy az ujjlenyomat-olvasó biztonságossá teszi az eszközt? Gondolj újra! Az ujjlenyomat-leolvasók ötféle módon támadhatók meg. Olvass tovább egy eszköz feloldásához.
Jelenleg egy biometrikus jelszó nélküli bejelentkezési rendszer valószínűleg nem a legjobb megoldás. A jövőben azonban ez lehet a legjobb választás.
Fizikai kulcs Jelszó nélküli bejelentkezés
A fizikai biztonsági kulcsok egy másik jelszó nélküli bejelentkezési hitelesítési lehetőséget kínálnak. A fizikai biztonsági kulcs egy speciális USB biztonsági kulcs. Ha hozzáférni szeretne a fiókjához, dugja be a biztonsági kulcsot a számítógépbe. Az online szolgáltatás a biztonsági kulcson keresztül érvényesíti a fiókját, megszüntetve a jelszó szükségességét.
A fizikai biztonsági kulcs kiváló példái a Google Titan sorozat és a Yubico Yubikey sorozat.
A jelszó nélküli bejelentkezések hasonlóak a kétfaktoros hitelesítéshez?
Igen és nem.
Igen, a jelszó nélküli bejelentkezés hasonló a kétfaktoros hitelesítéshez (2FA) abban az esetben, ha egy másik hitelesítési módszerrel fér hozzá fiókjához. A 2FA úgy működik, hogy fiókját két külön tényezővel, általában egy jelszóval és egy különálló eszközzel védi.
Nem, nem ugyanaz, mert bár ön külön eszközt használ a fiók hitelesítéséhez, ez mégis csak egyetlen tényező.
Biztonságosabb a jelszó nélküli bejelentkezés?
Bármi, ami megakadályozza a felhasználót, hogy szörnyű jelszavakat hozzon létre, igaz? A jelszó nélküli bejelentkezések eltávolítják a hiba másik pontját a végfelhasználótól. Jelenleg a jelszó nélküli bejelentkezés nem széles körben elterjedt. Számos fő szolgáltatás használja őket, például a Gmail (a fent említettek szerint) és a Slack Magic Links.
A webhelytulajdonosok és a moderátorok számára a legnagyobb pozitívum a felhasználói jelszavak kezelésének hirtelen hiánya. A Cleartext fájlban tárolt titkosítatlan jelszavak a rémálmok dolgai; ez a hackerek álmai. Azoknak a felhasználóknak, akik ritkán férnek hozzá egy szolgáltatáshoz, szintén nem kell átmenniük a „jelszó visszaállítása” rigmarolt.
A jelszó nélküli bejelentkezések a felhasználók gyors bejelentkezéséhez is segítenek. Ezzel szemben, ha rendszeresen kijelentkeznek a szolgáltatásból, akkor az e-mailben vagy SMS-ben történő újbóli engedélyeztetés az időtartamtól függően bosszantó lehet.
Jelenleg használja a Jelszókezelőt
A jelszó nélküli bejelentkezéshez időbe telik, hogy a mainstream rendszerré váljon. A labda azonban gördül. A legtöbb nagy böngésző (a Safari kivételével minden) támogatja a jelszó nélküli bejelentkezést. 2019 februárjában a Google azt is bejelentette, hogy az Android 7 (azaz Android Nougat) vagy újabb verziót futtató eszközök szintén jelszó nélküli bejelentkezési támogatást kapnak.
Ez azt jelenti, hogy jelszó nélküli bejelentkezési támogatást nyújt az összes Android-eszköz közel 50 százaléka. És a jelszó nélküli bejelentkezési szabványok, mint például a FIDO2 és a WebAuthn, továbbra is frissítéseket kapnak, tovább véve a hitelesítési módszert.
Az írás idején továbbra is szüksége van jelszóra. Szüksége van egy erős, egyszer használatos jelszóra. Ezt szem előtt tartva miért ne fontolja meg a jelszókezelő használatát A legjobb jelszókezelők minden alkalomraArra törekszel, hogy emlékezzen az egyre bonyolultabb jelszavakra? Ideje támaszkodni az egyik ingyenes vagy fizetett jelszókezelőre! Olvass tovább ?
Gavin a MUO vezető írója. Ezenkívül a MakeUseOf kripto-központú testvérhelyének, a Blocks Decoded szerkesztője és SEO menedzserje. Van egy BA (Hons) kortárs írása digitális művészeti gyakorlatokkal, amelyeket Devon dombjaiból ölelnek fel, valamint több mint egy évtizedes szakmai tapasztalattal rendelkezik. Nagyon sok teát fogyaszt.
