Ξεχάστε τα passwords: Τα passkeys είναι εδώ και υπόσχονται... μηδέν χακαρίσματα - Τι είναι

Ξεκινώντας με τη διαπίστωση ότι διαβάζοντας αυτό το κείμενο ίσως σκεφτείτε «άλλη δουλειά δεν είχαμε, θα αλλάζουμε τώρα και όλα τα password», έχει μια αξία τουλάχιστον να δείτε τι συμβουλεύει το National Cyber Security Centre στη Βρετανία, που ανακοίνωσε ότι οι κωδικοί πρόσβασης πρέπει πλέον να εγκαταλειφθούν.

Το NCSC δήλωσε αυτή την εβδομάδα ότι δεν θα συνιστά πλέον τη χρήση passwords όπου υπάρχουν διαθέσιμα passkeys. Θα πρέπει να αποτελούν την πρώτη επιλογή σύνδεσης για τους καταναλωτές σε όλες τις ψηφιακές υπηρεσίες, καθώς οι κωδικοί πρόσβασης δεν είναι αρκετά ασφαλείς για να αντέξουν στις σύγχρονες κυβερνοαπειλές. Το θέμα που προκύπτει εδώ είναι άλλο...

Τι είναι ένα passkey;

Οι ειδικοί στην ασφάλεια περιγράφουν το passkey ως μια «ψηφιακή σφραγίδα» που σας επιτρέπει να συνδέεστε σε εφαρμογές και ιστοσελίδες και αποθηκεύεται στη συσκευή σας.

Είναι ένας τρόπος σύνδεσης χωρίς κωδικό. Σε αντίθεση με έναν password, δεν μπορεί να κλαπεί μέσω phishing, όπου οι χρήστες εξαπατώνται ώστε να δώσουν τα στοιχεία τους, τα οποία μπορεί αργότερα να εμφανιστούν στο dark web.

Απλώς απαιτεί από το smartphone ή τη συσκευή σας να επιβεβαιώσει ότι είστε εσείς που προσπαθείτε να συνδεθείτε, χρησιμοποιώντας βιομετρικές μεθόδους όπως αναγνώριση προσώπου ή το PIN του τηλεφώνου σας.

Αυτό ενεργοποιεί τη «σφραγίδα» – δηλαδή το ασφαλές passkey – που επιβεβαιώνει στην εφαρμογή ή την ιστοσελίδα ότι είστε αυτός που λέτε. Κάθε λογαριασμός έχει διαφορετικό passkey.

Ακόμη κι αν μια εφαρμογή ή ιστοσελίδα που χρησιμοποιεί passkeys παραβιαστεί, δεν έχει αξία για έναν επιτιθέμενο, επειδή η συσκευή σας κρατά το «ιδιωτικό» passkey που απαιτείται για τη σύνδεση.

Τα passkeys μπορούν επίσης να συγχρονίζονται μεταξύ συσκευών.

Πώς ρυθμίζετε ένα passkey;

Όπως γράφει ο Guardian, η διαδικασία δεν είναι περίπλοκη. Μπορείτε να μεταβείτε στις ρυθμίσεις ασφάλειας ή απορρήτου των εφαρμογών και ιστοσελίδων που ήδη χρησιμοποιείτε ή να ακολουθήσετε προτροπές που σας ζητούν να αναβαθμίσετε σε passkeys. Μπορεί επίσης να σας δοθεί η επιλογή κατά τη δημιουργία νέου λογαριασμού.

Η Google αναφέρει ότι λίγο πάνω από το 50% των χρηστών των υπηρεσιών της στο Ηνωμένο Βασίλειο έχουν ήδη καταχωρήσει passkey.

Γιατί τα passkeys είναι καλύτερα;

Δεν είναι passwords, τα οποία μπορούν να αποσπαστούν μέσω phishing emails ή να βρεθούν στο dark web.

Πέρυσι, ερευνητές του Cybernews δήλωσαν ότι βρήκαν δισεκατομμύρια στοιχεία σύνδεσης. Τα δεδομένα περιλάμβαναν URL, στοιχεία σύνδεσης και password. Παρόλο που υπήρξαν αμφιβολίες για την έκθεση, οι ειδικοί τόνισαν την ανάγκη για τακτική αλλαγή κωδικών και χρήση μέτρων όπως η διπλή ταυτοποίηση (two-factor authentication).

«Τα passwords δεν ήταν ποτέ τέλεια λύση, γιατί συνεχώς προσθέτουμε μέτρα για να τα κάνουμε πιο ασφαλή», είπε ο Dave Chismon, ανώτερος ειδικός του NCSC. «Κι όμως, εξακολουθούν να είναι ευάλωτα σε phishing και κάνουν τη ζωή των χρηστών πιο δύσκολη.

Παρόλο που η τεχνολογία είναι περίπλοκη, για τον χρήστη τα passkeys είναι πιο γρήγορα και απλά από το να θυμάται έναν κωδικό ή να χρησιμοποιεί διπλή επιβεβαίωση.»

Είναι ευάλωτη η αναγνώριση προσώπου;

Η παράκαμψη βιομετρικών ελέγχων είναι δύσκολη. Ο Alan Woodward, καθηγητής κυβερνοασφάλειας στο Πανεπιστήμιο του Surrey, λέει ότι η αναγνώριση προσώπου έχει βελτιωθεί σημαντικά.

«Δεν έχουν βελτιωθεί μόνο οι αλγόριθμοι, αλλά και οι συσκευές περιλαμβάνουν πλέον “απόδειξη ζωής” για να αποτρέπουν τη χρήση εικόνων. Όπως σε όλη την κυβερνοασφάλεια, είναι ένα παιχνίδι συνεχούς εξέλιξης μεταξύ επιτιθέμενων και άμυνας», λέει.

Ένα πιθανό ζήτημα είναι αν κάποιο κοντινό σας άτομο γνωρίζει το PIN σας. Η προφανής λύση είναι να το κρατάτε μυστικό – ακόμη και από την οικογένεια.

Τι άλλες προφυλάξεις πρέπει να λαμβάνετε;

Η μεγαλύτερη απειλή συχνά είναι η ίδια η συμπεριφορά των χρηστών. «Οι περισσότερες επιθέσεις συμβαίνουν λόγω έλλειψης βασικής κυβερνο-υγιεινής», εξηγεί ο Chismon.

Βασικές συστάσεις:

• Χρησιμοποιείτε passkeys ή, αν χρησιμοποιείτε passwords, ενεργοποιήστε τη διπλή ταυτοποίηση
• Χρησιμοποιείτε ισχυρούς και διαφορετικούς κωδικούς (ιδίως για email)
• Χρησιμοποιείτε password manager
• Ενημερώνετε τακτικά εφαρμογές και λειτουργικά συστήματα
• Αποφεύγετε ύποπτα emails, links και συνημμένα (phishing)