Ano ang mga account na walang password at paano nila binabago ang digital security?

Maaari mo bang isipin ang pag-access sa iyong mga online na account nang hindi kinakailangang tandaan ang isang password? Papalapit na kami ng palapit sa scenario na yun. Ang mga teknolohikal na pag-unlad at ang ebolusyon ng cybersecurity ay nagtutulak ng mga solusyon na nagbibigay-daan sa amin na mag-authenticate nang hindi umaasa sa mga password, na pumipili para sa mas simple at mas secure na mga pamamaraan. Kung hindi ka sigurado tungkol sa mga termino tulad ng "pagpapatunay na walang password," "mga access key," o "biometric na pag-verify," huwag mag-alala: narito ang sagot. Ang pinakakumpleto at simpleng gabay sa pag-unawa kung ano ang mga walang password na account at kung paano nila binabago ang paraan ng pag-access sa aming mga digital na serbisyo.

Ang mga tradisyunal na password ay nawawalan ng saligan sa harap ng hindi mapigilang paglitaw ng mga alternatibong pamamaraan. Ang hinaharap ng online na seguridad ay minarkahan ng kailangang gawing simple ang karanasan ng gumagamit y, sa parehong oras, itaas ang antas ng proteksyon laban sa cyberattacks. Sa artikulong ito, malalaman mo kung ano ang mga account na walang password, kung paano gumagana ang mga ito, kung anong mga pakinabang ang inaalok nila, ang mga panganib ng kasalukuyang mga password, ang pinakakaraniwang ginagamit na mga pamamaraan, ang paninindigan ng mga pangunahing kumpanya ng teknolohiya, at mga tip para sa simulang gamitin ang mga ito sa iyong pang-araw-araw na buhay.

Ano ang mga account na walang password?

Ang mga account na walang password ay Mga digital na profile kung saan maaari mong patotohanan at i-access nang hindi kinakailangang magpasok ng tradisyonal na password.. Sa halip, gumagamit sila ng mga alternatibong mekanismo, gaya ng mga fingerprint, pagkilala sa mukha, mga pansamantalang code, mga pisikal na access key, mga mobile device, o mga kumpirmasyon na ipinadala sa isang app. Nakatuon ang diskarteng ito sa mas advanced, secure, at user-friendly na pag-verify ng pagkakakilanlan.

Ang rebolusyong ito sa pagpapatunay ay resulta ng mga taon ng pananaliksik at tumutugon sa lumalaking problema: Pagnanakaw ng password at cyberattack na nauugnay sa mga ninakaw na kredensyal. Ayon sa mga kamakailang pag-aaral, higit sa 80% ng mga paglabag sa data ay nagsasangkot ng mga nakompromisong password. Gumagamit ang mga cybercriminal ng lahat ng uri ng diskarte (phishing, brute force, social engineering) para magkaroon ng access sa kanila, at kapag matagumpay, maa-access nila ang maraming serbisyo sa pamamagitan ng muling paggamit ng parehong password.

Walang password na pagpapatotoo, na kilala rin bilang "walang password na pagpapatunay«, nagbibigay sa sistemang ito ng twist: Ang mga gumagamit ay hindi na ganap na umaasa sa isang kumbinasyon ng mga titik at numero na dapat nilang tandaan at protektahan.. Ngayon, ang susi ay pinalitan ng isang bagay na mayroon ka (iyong mobile phone, isang security key) o isang bagay na ikaw ay (iyong biometric na mga tampok).

Bakit hindi na kasing secure ang mga password?

Sa loob ng mga dekada, ang mga password ang pinakalaganap na hadlang sa pagprotekta ng access sa mga digital account at data. gayunpaman, Ang pagiging epektibo nito bilang isang paraan ng pagpapatunay ay lalong pinagdududahan.. Dahil? Pangunahin para sa mga kadahilanang ito:

• Susceptibility sa mga brute force attacks: Ang mga hacker ay may mga awtomatikong programa na sumusubok sa milyun-milyong kumbinasyon hanggang sa mahanap nila ang tama.
• Mahina o paulit-ulit na mga password: Maraming tao ang pumipili ng mga password na madaling hulaan (gaya ng "123456" o kanilang kaarawan) at muling ginagamit ang mga ito sa maraming account. Kung ang isa ay nakompromiso, ang iba ay nasa panganib din.
• Phishing at pagnanakaw ng kredensyal: Ang mga cybercriminal ay nagpapadala ng mga pekeng email o gumagawa ng mga website na nanlinlang sa mga user na ibunyag ang kanilang password.
• Kahirapan sa pag-alala o pamamahala ng mga kumplikadong password: Pinipilit ng sobrang mga account ang marami na gumamit ng parehong password sa iba't ibang serbisyo o iimbak ang mga ito sa mga hindi secure na lokasyon.

Ang mga panganib na ito ay nag-udyok sa paghahanap para sa mga pamamaraan na nag-aalis ng mga static na password at nag-aalok ng higit na proteksyon at kaginhawahan.. Iyon ang dahilan kung bakit ang mga pangunahing kumpanya ng teknolohiya at cybersecurity ay ganap na nakatuon sa walang password na pagpapatotoo.

Paano gumagana ang walang password na pagpapatunay?

Ang layunin ng walang password na pagpapatotoo ay upang mapagkakatiwalaang i-verify ang iyong pagkakakilanlan nang hindi kinakailangang magpasok ng isang lihim na susi sa tuwing mag-log in ka.. Upang gawin ito, gumamit ng iba, mas secure na mga salik sa pagpapatunay. Ang mga ito ay maaaring uriin sa:

• Isang bagay na mayroon ka: Halimbawa, ang iyong mobile phone, isang smart card, o isang pisikal na security key (tulad ng isang Yubikey o FIDO2-compatible na device).
• Isang bagay na ikaw ay: Ang iyong mga biometric na feature, gaya ng iyong fingerprint, mukha, iris, o maging ang iyong boses.

Sa pagsasagawa, ang proseso ay karaniwang ganito:

1. Magparehistro ka para sa serbisyo at mag-set up ng isa o higit pang mga alternatibong paraan ng pag-access.
2. Kapag sinubukan mong mag-log in, hihilingin sa iyo ng system na gamitin ang isa sa mga pamamaraang iyon (halimbawa, isang face unlock sa iyong telepono).
3. Inihahambing ng system ang impormasyon o biometric signal sa naitalang impormasyon at, kung tumugma ito, pinapayagan kang ma-access.

Isa sa mga pinakalaganap na opsyon sa kasalukuyan ay ang mga access key o "mga passkey". Nakabatay ang mga ito sa isang pares ng cryptographic key: isang pampubliko (naka-store sa server) at isang pribado (naka-store lang sa iyong device at hindi maa-access ng iba). Sa panahon ng pag-login, ang server ay nagpapadala ng isang mathematical challenge na tanging ang iyong pribadong key ang makakalutas. Kaya, kahit na nakuha ng isang umaatake ang pampublikong key, hindi nila maa-access ang iyong account nang walang katumbas na pisikal o biometric na device.

Mga kalamangan ng mga account na walang password

Nag-aalok ang walang password na pagpapatotoo ng mga benepisyo para sa parehong mga user at negosyo at administrasyon.:

• Mas malaking seguridad: Tanggalin ang pagkakalantad sa mga pag-atake na nagsasamantala sa mga password, gaya ng phishing o brute force. Ang biometric data ay natatangi at mas mahirap kopyahin o nakawin.
• Pinahusay na karanasan ng user: Hindi mo kailangang tandaan o baguhin ang mga kumplikadong password. Mabilis kang makakapag-log in gamit ang iyong fingerprint, mukha, o mobile device.
• Panloob na pagbabawas ng panganib: Para sa mga negosyo, mas mababa ang panganib ng mga paglabag o pagtagas ng data dahil sa hindi magandang pamamahala ng password ng empleyado.
• Pagsunod sa regulasyon: Maraming regulasyon na ang nangangailangan ng advanced at multi-factor na pagpapatotoo sa mga kritikal na sektor (banking, healthcare, pampublikong sektor).
• Mas kaunting pagkabigo at teknikal na suporta: Ang bilang ng mga insidente na nauugnay sa mga problema sa pag-access o pagbawi ng mga nawawalang susi ay nababawasan.
• Scalability at cross-platform compatibility: Ang mga pamamaraan na walang password ay maaaring iakma sa iba't ibang device at system, na nagpapadali sa pag-access mula sa kahit saan.

Ang kumbinasyong ito ng kaginhawahan at seguridad ay nagtutulak sa parami nang parami ng mga organisasyon na magpatupad ng mga solusyon na walang password sa napakalaking sukat., kapwa para sa mga empleyado at customer nito.

Pangunahing paraan ng pagpapatunay na walang password

Walang solong formula para sa pag-aalis ng mga password; Ang bawat organisasyon o platform ay maaaring pumili ng isa o higit pang mekanismo depende sa uri ng user at konteksto ng paggamit. Ito ang mga pinakasikat:

• Biometrics: Pag-access sa pamamagitan ng fingerprint, pagkilala sa mukha, pag-scan ng iris, o pagkakakilanlan ng boses. Ang mga modernong smartphone at laptop ay mayroon nang mga sensor para dito.
• Mga access key (mga passkey): Ang mga cryptographic na key ay ligtas na nakaimbak sa device. Kinukumpirma lang ng mga user ang transaksyon gamit ang kanilang biometric method.
• Mga App sa Pagpapatunay: Mga app tulad ng Microsoft Authenticator, Google Authenticator, o mga system na bumubuo ng mga push notification na humihiling ng direktang kumpirmasyon sa mobile.
• Mga susi ng pisikal na seguridad: Mga USB device, smart card, o token na sumusuporta sa mga pamantayan gaya ng FIDO2/WebAuthn.
• Mga one-time na code (OTP): Bagama't gumagamit pa rin sila ng nakabahaging "lihim," ang mga ito ay pansamantala at isang beses lang ginagamit, na binabawasan ang mga panganib kung maharang ang code.

Ang pagsasama-sama ng biometrics at mga access key, kasama ang mga protocol tulad ng FIDO2/WebAuthn, ang kasalukuyang trend sa maraming serbisyo.. Itinataguyod nito ang interoperability at seguridad sa iba't ibang device at platform.

Paano naiiba ang walang password na pagpapatunay sa 2FA at OTP?

Mahalagang makilala ang pagitan ng walang password na pagpapatotoo at dalawang-factor na pagpapatotoo (2FA) o isang beses na password (OTP). Siya Ang 2FA ay nangangailangan ng dalawang piraso ng ebidensya upang kumpirmahin ang pagkakakilanlan.: isang bagay na alam mo (password) at isang bagay na mayroon ka (mobile, code, token). Ang Ang OTP ay bumubuo ng mga pansamantalang code, madalas na ipinadala sa pamamagitan ng SMS o nabuo sa isang app, upang magdagdag ng karagdagang hadlang.

Ang walang password na pagpapatotoo ay nagpapatuloy ng isang hakbang: inaalis ang pangangailangang tandaan o ipasok ang anumang nakabahaging mga lihim (walang password o pansamantalang code). Nakabatay ang pag-access sa mga salik gaya ng biometrics o pagkakaroon ng device. Kaya, ang kahinaan ng "isang bagay na alam mo" ay nawawala, na ginagawang mas mahirap ang trabaho ng mga umaatake.

Sa mga tradisyonal na 2FA system, ilalagay mo ang iyong password at pagkatapos ay isang verification code; sa halip, kasama ang Walang password, kailangan mo lang aprubahan ang pag-access gamit ang iyong fingerprint, mukha, o tanggapin ang notification sa app., pinapasimple ang proseso at pagpapalakas ng seguridad.

Pagpapatupad sa totoong buhay: Paano ito ginagawa ng Microsoft at Google

Pinangungunahan ng big tech ang paglipat sa walang password na pagpapatotoo.. Parehong nag-aalok ang Microsoft at Google ng mga advanced na opsyon para sa pag-alis ng mga password sa kanilang mga serbisyo.

microsoft nagbibigay-daan sa iyong alisin ang password ng iyong account at patotohanan gamit ang mga pamamaraan tulad ng:

• Microsoft Authenticator (app sa mobile)
• Windows Hello (biometric recognition sa mga Windows PC)
• Mga susi ng pisikal na seguridad
• Mga code na ipinadala sa pamamagitan ng SMS

Google Pinapagana ang paggamit ng mga access key sa mga organisasyon nito, na nagbibigay-daan sa mga empleyado na mag-log in gamit lamang ang kanilang mobile phone, isang security key, o biometric recognition, pag-synchronize ng mga pamamaraang ito sa iba't ibang device at paghihigpit sa kanila sa na-verify na hardware.

Bago i-disable ang mga password, inirerekomenda na ma-update ang lahat ng device at maayos na i-configure ang mga backup na paraan. Nag-aalok ang mga platform ng mga tool para pamahalaan ang mga insidente, gaya ng pagkawala o pagpapalit ng device.

Ano ang mangyayari kung mawala mo ang iyong device o may mga problema sa pag-access?

Isa sa mga pangunahing alalahanin ay kung ano ang mangyayari kung mawala mo ang iyong mobile phone, ang pisikal na key o kung nabigo ang biometric sensor. Samakatuwid, madalas na pinapayagan ng mga system na walang password ang pag-uugnay ng maraming alternatibong pamamaraan at mga backup na device. Ilang tip:

• Mag-set up ng higit sa isang paraan ng pagpapatotoo (gaya ng mobile at backup key).
• Gumamit ng mga app o serbisyo na nagbibigay-daan sa iyong bawiin ang pag-access kung sakaling mawala o magnakaw.
• Baguhin ang iyong mga pamamaraan kung pinaghihinalaan mong nakompromiso ang iyong device.

Pinapadali ng sentralisadong pamamahala sa mga dashboard ng platform na suriin at i-update ang mga naka-configure na pamamaraan, pati na rin ang pagbibigay ng suporta sa kaganapan ng isang insidente.

Aling mga sektor at kumpanya ang pumipili para sa mga account na walang password?

Ang pagtulak na iwanan ang mga password ay nagmumula sa mga sektor na humahawak ng sensitibong data. Ang pagbabangko, pangangalaga sa kalusugan, pampublikong sektor, at edukasyon ay gumagamit ng mga solusyon na walang password upang sumunod sa mga regulasyon at protektahan ang impormasyon. Ang lumalagong labor mobility at remote work ay naghihikayat din sa pag-aampon nito. Higit pa rito, nakikita ng mga kumpanyang e-commerce, mga serbisyo sa cloud, at mga digital na platform ang mga pamamaraang ito bilang isang pagkakataon upang mapabuti ang karanasan at palakasin ang tiwala ng user.

Mga potensyal na panganib at hamon ng walang password na pagpapatotoo

Tulad ng anumang pagbabago, ang walang password na pagpapatotoo ay nagpapakita ng mga hamon at kahinaan.:

• Dependency sa device: Ang pagkawala o pagnanakaw ay nangangailangan ng mahusay na ipinatupad na mga paraan ng pag-backup.
• Pagkapribado at proteksyon ng biometric data: Bagama't lokal na nakaimbak, palaging may mga debate tungkol sa kanilang ligtas na paghawak.
• Mga kahinaan sa mga mobile phone at SIM: Maaaring makompromiso ng pagnanakaw ng SIM, pagpapanggap, o malware ang mga pamamaraang ito.
• Pagkatugma sa mga legacy na platform: Hindi pa sinusuportahan ng ilang system ang mga pamamaraang ito, na nangangailangan ng paggamit ng mga password sa ilang partikular na kaso.

Napakahalaga na planuhin ng mga organisasyon ang paglipat na may sapat na teknikal na suporta at pagsasanay ng gumagamit upang maiwasan ang mga problema at matiyak ang isang ligtas na pag-aampon.