אפל, גוגל ומיקרוסופט מודיעות ביחד: לא תצטרכו יותר סיסמאות

במקום לזכור מאות סיסמאות ולחכות שהן ידלפו, כל החברות הגדולות הודיעו על תמיכה בתקן שמאפשר לכם להפוך את הסמארטפון שלכם לכלי ההזדהות שלכם

תמונה: אגודת ה-FIDO

החל מ-2013, ביום חמישי הראשון של חודש מאי חוגגים ברחבי העולם את "יום הסיסמאות". אבל בזמן שבישראל הפכו עוד סטייק (רגיל או בשר מתורבת) על המנגל, דווח על הסכם שלום עולמי – לפחות בעולם הטכנולוגיה, כש-3 ענקיות הטכנולוגיה ששולטות במערכות ההפעלה הפופולריות ביותר – הודיעו ביחד שהן חוברות ליוזמת FIDO. הצעד הזה הרבה יותר מעניין ממה שהוא נשמע, כי הוא מקרב אותנו עוד צעד לעולם נטול סיסמאות.

במקום סיסמאות, Passkey שאתם אפילו לא יודעים

חוקרי אבטחה רבים יסבירו לכם שסיסמאות כתובות הן בסך הכל Something You Know. כלומר, מידע שאמנם רק אתם אמורים לדעת, אבל בפועל אפשר לנחש אותו. לעומת זאת, Something You Have הוא כבר משהו שמשמש להוכחת גישה, כמו המייל שלכם שאתם מקבלים אליו קוד, או הסמארטפון שלכם שיכול לשמש להוכחה שאתם באמת מחזיקים בו. המחמירים, משתמשים גם ב-Something You Are, שהוא מזהה פיזי שייחודי רק לכם כמו טביעת אצבע או מבנה פנים. השילוב של שלושתם נחשב לדרך האולטימטיבית לשמירה על אבטחת החשבונות המרובים שלכם. כאן נכנסת לתמונה FIDO.

אפל, גוגל ומיקרוסופט הודיעו במקביל על שיתוף הפעולה עם יוזמת FIDO, שבעצם מאפשרת לנו להפוך את הסמארטפונים לכלי ההזדהות הראשי שלנו, כך שנוכל להתחבר לחשבונות, אתרים ופלטפורמות באותה הדרך שאנחנו נכנסים לסמארטפון שלכם. כלומר, פשוט להזדהות אל מול המכשיר שלנו עם טביעת אצבע, סריקת פנים (או אפילו עם הקוד או הדפוס Pattern שקבענו) – והוא בתורו מייצר Passkey מוצפן, שהוא בעצם טוקן קריפטוגרפי, שמועבר אל האתר שאליו אנחנו מנסים להיכנס, ומאפשר לנו להיכנס אליו ללא סיסמה. בפועל, ברגע שניכנס לאתר תומך, במקום להזדהות בלפטופ ולהזין שם משתמש וסיסמה, פשוט תקפוץ לנו הודעה בסמארטפון ותבקש מאיתנו להניח את האצבע על קורא טביעות האצבע, או לחלופין לצייר את דפוס הפתיחה או להביט במכשיר לפתיחה בזיהוי פנים.

כך זה עובד

כך, גם אם האקרים מנסים להיכנס לחשבונות שלכם, ויש להם את המייל והסיסמה, הם עדיין זקוקים לגישה פיזית למכשירים ואולי גם לפרטים הביומטריים שלכם – מה שהופך למשל מתקפות פישינג להרבה פחות מסוכנות. מצד שני, אתם גם מרוויחים חווית משתמש הרבה יותר אחידה ופשוטה, כשאתם לפתע לא צריכים לשנן ולזכור את מאות הסיסמאות שלכם שכבר מזמן דלפו לרשת, אלא פשוט להיכנס לחשבונות שלכם באותה קלות שאתם מפעילים את הסמארטפון שלכם.

יכנס לפעולה כבר בשנה הבאה

התקן של FIDO הוא לא חדש, ואם אתם משתמשי אנדרואיד, יכול להיות שכבר הפכתם את הסמארטפון שלכם למפתח אבטחה לחשבונות שלכם עוד ב-2019. החדשות המצוינות כאן הן שכל החברות יתמכו בתקן, מה שיאפשר לכם לגשת לכל החשבונות הראשיים שלכם באותה צורה ובאמצעות כל הדפדפנים, הסמארטפונים, הטאבלטים והלפטופים הפופולריים ביותר בעולם – וזה אומר שתוכלו להסיר את הסיסמאות שלכם מלא מעט חשבונות ואתרים. למקרה שהתחלתם לדאוג מאיבוד גישה במקרה שהסמארטפון שלכם ניזוק או נגנב, לפחות לפי גוגל, ה-Passkeys הייחודיים שלכם מסונכרנים לגיבוי מאובטח בענן כך שאפשר להעביר אותם למכשיר חדש בלי בעיה.

כל החברות הודיעו כי יטמיעו את FIDO בכל המערכות שלהן בשנה הבאה, כך שבינתיים תצטרכו להמשיך להתגונן מפני פריצות באמצעים יותר מוכרים כמו Two Step Verification ואפליקציות Authenticator למיניהן.

עוד סיפורים כאלו מחכים לכם עכשיו עוד סיפורים כאלו מחכים לכם עכשיו בערוץ העדכונים הרשמי של גיקטיים

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

32 תגובות על "אפל, גוגל ומיקרוסופט מודיעות ביחד: לא תצטרכו יותר סיסמאות"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
סריס
Guest

לא הבנתי

שושי
Guest

זיהוי בשתי שלבים עם שלב אחד

אסף
Guest

שני

יואב
Guest

ואם אתם מאבדים את הטלפון – הלך עליכם.

ישראל
Guest

לא נכון.
מבוסס טביעת אצבע ופנים, אם תאבדו אותם אז באמת הלך עליכם.

עמית
Guest

במצב של false rejection גם הלך עליכם.

איתן
Guest

מניח שגם על זה חשבו, בטח תקבל Sms או אימייל במקרה כזה, כמו שקורה עם 2FA בלא מעט תצורות.

יסמין
Guest

מה שהופך התחברות לפשוט וקל יותר – אני בעד – אבל עדיין דואגת מה יקרה במקרה שהפלאפון נגנב ונפרץ

עמית
Guest

במקרה כזה אפשר למחוק את התוכן מרחוק.
אאל"ט באנדרואיד צריך להתקין מראש אפליקציה לאיתור המכשיר ומחיקה.
חפשי remote wipe.

ינון
Guest

ואיך אתה מוכיח שזה אתה אם נפרץ לך?

אלירן
Guest

בדוק יהיה קישור עקיף לחשבון גוגל וכדומה במידה והטלפון אבד או שליחה למס טלפון או אימייל לשם שחרור.
אל תדאגו חשבו על זה המון לפנינו חח

ילד של פעם
Guest

עושים את זה כדי לבטל כל אפשרות לאנונימיות

מישו
Guest

ובאחד הימים מישהו יפרוץ או סתם יעתיק את הדיסק של מאגר הביומטרי שמדינת ישראל אגרה – בשבילו.. – במשך שנים ולך תחליף טביעות אצבע או פרצוף…

יוני
Guest

מה יהיה עם Transmit Security?

הצופה
Guest

איום ונורא
אין סיכוי שאני יתן להם טביעת אצבע או טביעת פנים
אין לי בעיה עם סיסמאות רגילות תודה רבה

איתן
Guest

מי אמר לך שאתה נותן להם? כמו שהיום המידע הביומטרי נשמר במכשיר הפרטי שלך, אין סיבה שפה זה יהיה שונה. המכשיר שלך שומר מזהה יחודי מול כל מערכת אימות ואתה פשוט "פותח את הכספת" הפרטית שלך ששמורה אצלך ברגע שאתה מאמת את עצמך מול המכשיר שלך..

פסיכולוג בשקל-90
Guest
פסיכולוג בשקל-90

אתה מקווה שהמידע נשמר במכשיר..
כבר היו מקרים שגילינו שחברות עושות שימוש בנתונים שלנו שלא בידיעתנו..
אפל לדוגמה, גוגל, ובטח בטח שגם הסינים עושים את זה.

נדיב
Guest

המידע הביומטרי לא מועבר לשום מקום, נשמר בצ'יפ במכשיר. משווים מפתחות ואם מתאים אז מתבצע לוגאין. האנונימיות נשארת כי לא יודעים מי התחבר רק שיש מכשיר עם ביוטמטרי מסויים שמחוברים לחשבון, ללא וידוא נוסף לא תוכל לדעת שזה צביקה או משה.

כרובי
Guest

מספיק שפעם אחת תספק פרטים ביומטריים לצד ג' זדוני או עם אבטחת מידע חלשה, והפרטים שלך יתווספו למאגרים בדארק ווב. לדוגמה, ברכישה בחנות אוטונומית שמחייבת פרט ביומטרי כמו תביעת אצבע.

כשהמכשיר שלך יגנב, יקח לגנב 5 דקות לפרוץ אותו עם תביעת האצבע הגנובה, במידה והוא יודע מי אתה (שאת זה ניתן לעשות בדרכים רבות).

מידע ביומטרי זו סיסמה שלא ניתן לשנות בדרך כלל ולכן זו סיסמה גרועה מאוד.

אלון
Guest

כרובי אתה טועה ומטעה.
הפרטים הביומטריים נשמרים בצ'יפ במכשיר – אי אפשר לקחת לשום צד שלישי. בתהליך הפידו נוצר מפתח פרטי עם המידע הביומטרי מול האתר הספציפי ואיתו משווים את המפתח. בשום שלב המידע הביומטרי לא עוזב את המכשיר והמפתח מתאים לאתר הספציפי בלבד – אי אפשר להשתמש באותו המפתח שוב באתרים אחרים – לכל אתר נוצר מפתח משלו.
בקיצור תקרא קצת על תקן FIDO2.

עמית
Guest

סיסמאות הן הדבר הכי מיותר כי תמיד הייתי יכול לבחור ב"שכחתי סיסמא" בזמן ההתחברות. בחירה באופציית "שכחתי סיסמא" היא פתרון מעולה נגד פריצה על ידי פיצוח הסיסמא. אני רק מקווה שיעשו את זה בצורה יותר ידידותית ממה שעשו לי באמזון כששלחו לי כתובת לא מקוצרת לטלפון שאינו חכם ושאני לא גולש ממנו באינטרנט.

האחד שיודע
Guest

מצטער להודיע לכם, אבל יש מלא בעיות בזה, כגון טלפון לא מוצפן… אובדן טלפון ( למרות שאפשר לעשות לפי אימייל סיסמה ), וגם אפשר לגנוב טביעת אצבע בקלות.

אור
Guest

אצל מיקרוסופט וגוגל זה עובד היום
פשוט עוברים לתקן אחיד

רוברט
Guest

צריך מנגנון שאם מישהו מת, מתאפשרת גישה לבן זוג למשל

דניאל
Guest

כבר עכשיו יש כניסה לחשבון מיקרוסופט, וואטסאפ ואםילו אפליקציות מסחר כמו iharb דרך טביעת אצבע ,מומלץ גם למחשב בתור התקן

Michael Kozakov
Member
תויאה אצבה משתמש 1 *שוניות במידה המאגרים זו טורפה לא קלה תכיפות ביבר גם אם זה פעולה רעב מערבית *מארחת סינחרונית מוגנת על שם בדוי עבל לא יפורמתית בעל מותגים לא מחייב מעצמו שום דבר זה לא משטרה אומנם גם משטרה לא משהו ניראה לי כול זה סרק גדול העתיד בבלועה המחיר מה אפשר לעשות *לישתתף ולאסות שינוים במארחת ישראליות בגלל ש זה מיזרך@[email protected] בחול הנוסה מידע מידעה יחול להישמר בבית אד אזשאו זמן אם אתם מבינים או בפרובידר וציפ סיסמה ו אידקון אי-פי שמאוגר שם דרך לציפ שם אפשר לעבור עבל זה גוגל מבינים לא אם אפשר לאשות מאגר… Read more »
קלקל
Guest

מה יש לך נגד סטייקים?

קלקל
Guest

מה יש לך נגד סטייקים?

yaron elal
Guest

זו הידיעה הכי משמחת שקיבלתי לאחרונה, לכל מי שיש בעיה עם פרטיות/אנונימייות שיבחר יקום מקביל, אם ואם ואם זה לא נגמר צריך לעשות צעד גדול קדימה ואחרי זה ידעו לסתום חורים.

יאיא
Guest

מה עם אמזון, פייסבוק וכו' ?

ינון
Guest

בטוח יש דרך למצוא את הסיסמא הביומטרית…
כל דבר שאפשר לתת אפשר גם לשמור. ואז באמת הלך עליך, כי אין לך שום דרך לשנות את זה ואם העולם הולך לזה אז גם יהיה בעייתי באפשרויות חלופיות כי אף אחד כבר לא באמת יתמוך בזה.
אני חושב שהדרך הטובה ביותר זה כמה שיותר דרכי התחברות והרבה אפשרויות לשחזור. זה קצת מעכב את הכניסה אבל ברגע שעושים את זה הרבה פעמים זה לא אמור להיות מסובך. ואז כדי לפרוץ אתה צריך להשיג הרבה מאוד דברים בגלל שכל דבר לבד לא יכול לפתוח כלום וכולם יכולים לשחזר כל דבר שנפרץ

ינון
Guest

אבל אין מה לעשות… העולם הולך לא תמיד למקום שהכי טוב לי אישית ואין מה לעשות חוץ מלהסתדר ולקוות שהבעיה שלך תהיה מספיק מוכרת כדי שתמצא יותר בקלות דרך לפתור אותה

wpDiscuz

תגיות לכתבה: