Bezpieczeństwo kont znacznie się poprawiło w ciągu ostatnich kilku lat. Obecnie często konieczne jest posiadanie określonej kombinacji wielkich i małych liter, cyfr i znaków specjalnych jako hasła, co stanowi również uzupełnienie uwierzytelniania dwuskładnikowego. Ale jak się teraz okazuje, Apple zamierza zmienić te tradycyjne sposoby i jeszcze bardziej wzmocnić bezpieczeństwo w ogóle. Podczas konferencji deweloperów WWDC21 zapowiedział znacznie bezpieczniejszy i prostszy sposób. Łączy w sobie uwierzytelnianie bez hasła przy użyciu WebAuthn i Face/Touch ID przy użyciu pęku kluczy w iCloud.
iOS 15 wprowadza szereg ulepszeń do FaceTime:
Ta innowacja została łatwo odzwierciedlona w nowych systemach operacyjnych iOS 15 i macOS Monterey, ale nie jest dostępna do regularnego użytku. Tak zakrojoną na szeroką skalę zmianę można niewątpliwie nazwać perspektywą odległą i teraz w gestii programistów leży pobawienie się nią. Podobnie jak na przykład Google czy Microsoft, Apple podąża za ciekawym stylem bezpieczeństwa, który powinien być tak prosty i bezpieczny, jak to tylko możliwe. Kluczowym standardem jest w takim przypadku WebAuthn w połączeniu z uwierzytelnianiem biometrycznym. Teoretycznie zapobiega to problemom związanym z phishingiem.
Wszystkie te nowości zostały przedstawione podczas prezentacji Wyjdź poza hasło na WWDC21, gdzie Garret Davidson wyjaśnił, jak działa wspomniany standard WebAuthn oraz jak współpracuje z kluczami publicznymi i prywatnymi. W takim przypadku nie stosuje się klasycznych haseł, lecz wspomniane klucze. W przypadku obecnej procedury bezpieczeństwo działa w stylu wpisywania loginu i hasła. Następnie pobierane jest hasło i tworzone z niego za pomocą użytej kryptograficznej funkcji skrótu haszysz. Ta ostatnia jest wówczas zwykle dodatkowo wzbogacana o tzw sól, co skutkuje długim ciągiem testowym, którego nie można odszyfrować do pierwotnej postaci w ten sam sposób. Problem polega na tym, że istnieje tak zwane udostępnianie sekretów. Musisz chronić nie tylko to, ale także serwer.
I z czasem powinniśmy pozbyć się dokładnie tej opisanej procedury. Największą zaletą WebAuthn jest to, że opiera się na parze kluczy, a mianowicie publicznym i prywatnym. W takim przypadku Twoje urządzenie tworzy tę unikalną parę w tym samym momencie podczas tworzenia konta na serwerze. Klucz publiczny jest wtedy po prostu publiczny i można go udostępnić każdemu, na przykład serwerowi. Klucz prywatny jest wtedy tylko dla Ciebie (nigdy nie jest udostępniany) i jest przechowywany w odpowiednio bezpiecznej formie bezpośrednio na samym urządzeniu. Zmiana ta teoretycznie mogłaby umożliwić logowanie poprzez proste wpisanie nazwy użytkownika, a następnie potwierdzenie całego procesu skanem twarzy lub odciskiem palca.
Reklama Apple na targach CES 2019 w Las Vegas parodiuje kultowe hasło miasta:
Jak wspomniano powyżej, jest to odległa perspektywa i będziemy musieli chwilę poczekać na wprowadzenie tej metody uwierzytelniania. Dzięki zaletom WebAuthn i kompleksowemu szyfrowaniu dobrze znanego pęku kluczy w iCloud powinna to być najbezpieczniejsza metoda jak dotąd, która pod kilkoma względami przewyższa wszystkie dotychczas stosowane metody, w tym uwierzytelnianie dwuskładnikowe.