Vratislav Holub Ang seguridad ng account ay makabuluhang bumuti sa nakalipas na ilang taon. Sa ngayon, madalas na kinakailangan na magkaroon ng isang tiyak na kumbinasyon ng mga malalaking titik at maliliit na titik, mga numero at mga espesyal na character bilang isang password, na sumasaklaw din sa dalawang-factor na pagpapatunay. Ngunit sa ngayon, babaguhin ng Apple ang mga tradisyunal na paraan na ito at mas palalakasin ang seguridad sa pangkalahatan. Sa panahon ng kumperensya ng developer ng WWDC21, inihayag niya ang isang mas ligtas at mas simpleng paraan. Pinagsasama nito ang walang password na pagpapatotoo gamit ang WebAuthn at Face/Touch ID gamit ang Keychain sa iCloud.
Ang iOS 15 ay nagdadala ng ilang mga pagpapabuti sa FaceTime:
Photo Gallery
Ang pagbabagong ito ay madaling naipakita sa bagong iOS 15 at macOS Monterey operating system, ngunit hindi ito available para sa regular na paggamit. Ang ganitong malakihang pagbabago ay walang alinlangan na matatawag na long shot, at ngayon ay nasa mga developer na ang paglalaro nito. Tulad ng, halimbawa, Google o Microsoft, ang Apple ay nagsisimula sa isang kawili-wiling istilo ng seguridad, na dapat ay kasing simple at secure hangga't maaari. Sa ganoong kaso, ang pangunahing pamantayan ay WebAuthn kasama ng biometric na pagpapatotoo. Sa teoryang ito, pinipigilan nito ang mga problema sa phishing.
Ang lahat ng balitang ito ay ipinakilala sa panahon ng pagtatanghal Lumampas sa password sa WWDC21, kung saan ipinaliwanag ni Garret Davidson kung paano gumagana ang nabanggit na pamantayan ng WebAuthn at kung paano ito gumagana sa mga pampubliko at pribadong key. Sa ganitong kaso, ang mga klasikong password ay hindi ginagamit, ngunit ang mga nabanggit na key. Sa kaso ng kasalukuyang pamamaraan, gumagana ang seguridad sa istilo kung saan ilalagay mo ang iyong pangalan sa pag-login at password. Ang password ay kinuha at ginawa mula dito sa pamamagitan ng cryptographic hash function na ginamit sumira. Ang huli ay kadalasang pinagyayaman pa ng tinatawag na asin, na nagreresulta sa isang mahabang pagsubok na string na hindi ma-decrypt sa orihinal nitong anyo sa parehong paraan. Ang problema dito ay mayroong tinatawag na secret sharing. Hindi lamang kailangan mong protektahan iyon, kundi pati na rin ang server.
At dapat nating alisin ang eksaktong inilarawan na pamamaraan sa paglipas ng panahon. Ang pinakamalaking bentahe ng WebAuthn ay umaasa ito sa isang pares ng mga susi, lalo na pampubliko at pribado. Sa kasong ito, ginagawa ng iyong device ang natatanging pares na ito nang sabay-sabay kapag gumagawa ng account sa server. Ang pampublikong susi ay pampubliko lamang at maaaring ibahagi sa sinuman, halimbawa sa server. Ang pribadong key ay para lamang sa iyo (hindi ito kailanman ibinabahagi) at iniimbak sa isang sapat na secure na form nang direkta sa device mismo. Ang pagbabagong ito sa teorya ay maaaring gawing posible na mag-log in sa pamamagitan lamang ng pagpasok ng isang username at pagkatapos ay pagkumpirma sa buong proseso gamit ang isang mukha o fingerprint scan.
Ang CES 2019 ad ng Apple sa Las Vegas ay nagpapatawa sa iconic catchphrase ng lungsod:
Photo Gallery
Gaya ng nabanggit sa itaas, ito ay isang mahabang pagkakataon at kailangan nating maghintay ng ilang sandali para maipakilala ang paraan ng pagpapatunay na ito. Salamat sa mga benepisyo ng WebAuthn at ang end-to-end na pag-encrypt ng kilalang Keychain sa iCloud, ito dapat ang pinakasecure na paraan hanggang sa kasalukuyan, na sa ilang aspeto ay nahihigitan ang lahat ng mga pamamaraan na ginamit sa ngayon, kabilang ang dalawang-factor na pagpapatotoo.
