Անցաբանալի (passkey)․ արդյո՞ք այլևս անիմաստ են գաղտնաբառերը

26 Հնս 2024

Անցաբանալիները (passkey) ձեր առցանց օգտահաշիվներ մուտք գործելու թվային բանալիներ են, որոնք գործարկվում են միայն ձեր ինքնությունը ստուգելուց հետո (օրինակ PIN կոդով, մատնահետքով կամ Face ID–ով)։ Անցաբանալիները թույլ են տալիս փոխարինել գաղտնաբառ + երկգործոն վավերացման համակարգերը։ Սովորաբար դրանք փոխկապակցում են ֆիզիկական սարքի (հեռախոս, համակարգիչ, FIDO բանալի) հետ, թեև հնարավոր է նաև անցաբանալիներ ստեղծել Bitwarden, 1Passoword և համանման գաղտնաբառերի կառավարման համակարգերով։

Ի՞նչ են անցաբանալիները

Եթե կարճ անդրադառնանք, ապա կարելի է ասել, որ անցաբանալիները գործում են երկփուլային վավերացման համակարգի տրամաբանությամբ։ Առաջին անգամ նոր սարքից օգտահաշիվ մուտք գործելիս Ձեզ առաջարկում են ստեղծել տվյալ սարքի հետ փոխկապակցված անցաբանալի, և այնուհետև տվյալ սարքից մուտք գործելիս կիրառել արդեն գոյություն ունեցող անցաբանալին։

Ընդ որում, կարող եք նույն օգտահաշիվ մուտք գործելու համար անցաբանալիներ ստեղծել տարբեր սարքերում։ Այսինքն, նույն օգտահաշվին կցել մի քանի սարքերում գեներացված անցաբանալիներ, ինչն էլ թույլ կտա տվյալ օգտահաշիվ մուտք գործել տարբեր սմարթֆոններից ու նոթբուքերից։ Դե իսկ, այդ սարքեր կարող եք մուտք գործել ձեր մատնահետքի (TouchID), դեմքի նույնականացման (FaceID), փինկոդի (PIN Code), կամ հատուկ զարդանախշը (Pattern) ճիշտ պատկերելու միջոցով։ Արդյունքում՝ դուք կարողանում եք դյուրին ճանապարհով (օրինակ՝ մատնահետքի) միջոցով մուտք գործել ձեզ պատկանող սարք, որն էլ ավտոմատ կերպով մուտք է ապահովում ձեր օգտահաշիվ։

Սակայն անցաբանալիերի գլխավոր առավելությունը դրա անվտանգությունն է, ոչ թե կիրառման պարզությունը։ Բանն այն է, որ ի տարբերություն գաղտնաբառերի, անցաբանալիները հնարավոր չէ գուշակել, քանի որ դրանք չեն գեներացվում մարդու կողմից։ Ավելին, տեխնոլոգիան այնպես է կառուցված, որ անցաբանալին նաև անհնար է գողանալ՝ ֆիշինգի (phishing) կամ րիփլեյի (replay) միջոցով։

Ի՞նչ են զույգ բանալիները

Անցաբանալիներն ակտիվացնելու համար հարկավոր է տվյալ համակարգում ակտիվացնել անցաբանալիներ կիրառելու տարբերակը (օրինակ, Google-ի դեպքում այստեղ է) և կցել ձեզ պատկանող սարքում գեներացված անցաբանալին տվյալ համակարգին, օգտահաշվին, որպեսզի ձեր սարք մուտք գործելիս, ինչպես ասացինք, ավտոմատ մուտք ստանաք ձեր օգտահաշիվ։

Երբ դուք ակտիվացնում եք անցաբանալի կիրառելու տարբերակը, ձեզ պատկանող սարքում՝ սմարթֆոնում, նոթբուքում, ստեղծվում են զույգ բանալիներ՝ մասնավոր և հանրային։ Մասնավորը մնում է միայն ձեր սարքում (այդ իսկ պատճառով էլ այն կոչվում է մասնավոր), իսկ հանրայինը փոխանցվում է վեբ-սերվերին։

Տեխնիկական առումով՝ անցաբանալին WebAuthn համակարգի մուտքային տվյալներն (credentials) են՝ ծածկագրված վերոհիշյալ երկու բանալիները, որոնք թույլ են տալիս նույնականացնել օգտատիրոջը։

Այդ տվյալները պարունակում են տեղեկություններ օգտատիրոջ մասին (օրինակ՝ օգտատիրոջ ID-ին), ուստի՝ հնարավորություն է առաջանում ստեղծել, այսպես կոչված, նույնականացման հոսք, ուր չի պահանջվում մուտքագրել օգտանուն կամ որևէ այլ տեղեկատվություն օգտատիրոջ մասին:

WebAuthn-ը (web authentication, վեբ վավերացում) վեբ ստանդարտ է, որը ստեղծվել է World Wide Web Consortium-ի (Համաշխարհային ցանցի կոնսորցիումի) կողմից՝ FIDO2 նախագծի շրջանակում (FIDO ալյանսի ուղեցույցի ներքո), և նպատակ ունի ստանդարտացնել օգտատերերի նույնականացման համար զննարկիչներում և օեպարցիոն համակարգերում գործող ինտերֆեյսները։ Ինտերֆեյսը համակարգերի միջև գործող միջոցների, մեթոդների ու կանոնների ամբողջությունն է, որի աշխատանքը կանոնակարգվում է ստանդարտների միջոցով։

WebAuthn–ը հնարավորություն է տալիս օգտվել զննարկիչներում և/կամ օպերացիոն համակարգերում ներկառուցված և օգտատիրոջ նույնականացման, վավերացման համար կիրառվող տեխնոլոգիայից:

Այս տեխնոլոգիայում առանցքայինը WebAuthn-ի մուտքային տվյալներն (credentials) են՝ ծածկագրված բանալիները, որոնց միջոցով իրականացվում է օգտատիրոջ նույնականացումը, որպեսզի նա կարողանա մուտք գործել իր օգտահաշիվ։ Որևէ օգտահաշիվ, համակարգ յուրաքանչյուր անգամ մուտք գործելու համար հարկավոր են զույգ բանալիներ։ Առաջինը, մասնավոր բանալին է, որ, ինչպես ասացինք, միշտ ձեր սարքում է՝ սմարթֆոնում, նոքբուքում, և ունի «ստորագրողի» գործառույթ (որին դեռ կանդրադառնանք)։ Երկրորդը հանրային բանալին է, որը փոխանցվում է վեբ-սերվերին, և որը պետք է ստուգի առաջին բանալու իրականացրած «ստորագրության» իսկությունը։

Յուրաքանչյուր անցաբանալի եզակի է ու վերաբերում է միայն այդ սարքին և օգտահաշվին, թեև որևէ օգտահաշվի համար օգտատերը կարող է ունենալ մի քանի անցաբանալիներ, որովհետև կարող է օգտագործել տարբեր սարքեր, հետևաբար՝ տարբեր անցաբանալիներ, այդ նույն օգտահաշիվ մուտք գործելու համար։ Սա արվում է այն նպատակով, որ եթե կորցնեք, օրինակ, ձեր սմարթֆոնը կամ այն անաշխատունակ դառնա, չկորցնեք մուտքի հնարավորությունը ձեր օգտահաշիվ։

Ինչպե՞ս է գործում անցաբանալու համակարգը

Անցաբանալու համակարգը գործում է երեք փուլերով։

  1. Օգտատերը հրահանգ է իջեցնում հաճախորդին (clinet, որը զննարկիչում գործող հավելված է), որն էլ իր հերթին հայտ է ներկայացնում վեբ-սերվերին՝ ստեղծելու հատուկ գաղտնաբառ (անգլերենում՝ նշվում է challenge/մարտահրավեր բառը)։
  2. Այնուհետև հաճախորդը դիմում է WebAuthn-ի ծառայությանը՝ փոխանցելով գաղտնաբառը/մարտահրավերը, ինչի արդյունքում օգտատիրոջ սարքում (նոթբուք, սմարթֆոն, որոնց տրված է «վավերականացնող» / authenticator անվանումը) ստեղծվում են վերը նկարագրված զույգ բանալիները։ Հանրային բանալին փոխանցվում է վեբ-սերվերին։ Մասնավոր բանալին, որը պահպանվում է օգտատիրոջ սարքում, օգտագործվում է «ստորագրելու»՝ կարդալու գաղտնաբառը/մարտահրավերը և այն ծածկագրված տարբերակով վերադարձնելու վեբ-սերվերին։ Վեբ սերվերը հանրային բանալու միջոցով կարդում է, ստուգում է «ստորագրության» իսկությունը։

Այս փուլում է, որ ձեզ առաջարկվում է մուտք գործել ձեր սարք, օրինակ՝ ձեր մատնահետքի միջոցով ձեր սմարթֆոն, որպեսզի բանալիները սկսեն աշխատել։

  1. Վեբ-սերվերը «ստորագրված» գաղտնաբառի/մարտահրավերի իսկությունը որոշելու արդյունքում նույնականացնում է օգտատիրոջը և նրա համար մուտք ապահովում օգտահաշիվ։

Ո՞վ է կանգնած անցաբանալիների հետևում կամ ի՞նչ է FIDO ալյանսը

2013 թվականին ստեղծված FIDO ալյանսը (FIDO / Fast IDentity Online Alliance) աշխարհի տարբեր երկրներում գործող հարյուրավոր կազմակերպություններից բաղկացած կոնսորցիում է, որի նպատակն է բարելավել առցանց անվտանգությունը՝ «մշակելով և խթանելով նույնականացման ստանդարտները, որոնք օգնում են նվազեցնել աշխարհի չափից դուրս կախվածությունը գաղտնաբառերից»։

Ալյանսի մասն են այնպիսի հսկաներ, ինչպիսիք են Apple-ը, Google-ը, Amazon-ը, Intel-ը, Microsoft-ը, Samsung-ը, Mastercard-ը, Visa-ն և բազմաթիվ այլ աշխարհահռչակ ընկերություններ։