Jak používat nové přístupové klíče na iPhonu, iPadu a Macu

Přístupový klíč můžete vyzkoušet bez instalace veřejných beta verzí těchto připravovaných operačních systémů, protože Apple zabudoval podporu přístupových klíčů ve formě náhledu do Safari ve všech svých operačních systémech v iOS 15, iPadOS 15 a Safari 15 s macOS 12 Monterey.

S úplným vydáním přístupových klíčů za několik týdnů nebo měsíců a oznámenou podporou kompatibilních technologií společností Google a Microsoft, pravděpodobně letos na podzim uvidíte na mnoha webech možnosti přidání přístupového klíče.

Zde je návod, jak proces funguje.

Zaregistrujte se na webu

Přístupový klíč obsahuje párovou sadu šifrovacích klíčů, obecně známou jako kryptografie s veřejným klíčem. Když navštívíte server, který podporuje WebAuthn (technologie potřebná k přijetí, uložení a interakci s přístupovým klíčem), váš prohlížeč předloží veřejný klíč šifrovacího páru. Veřejný klíč nelze použít pro přihlášení, ale spíše k prokázání vaší identity: vlastníte soukromý klíč, který je vytvořen na vašem zařízení a nikdy ho nenecháte pro přihlášení.

Chcete-li se zaregistrovat, navštivte webovou stránku, která nabízí podporu přístupových klíčů. Web může uvádět, že obecně podporuje přístupové klíče, může tvrdit, že má podporu WebAuthn, nebo deklarovat, že je kompatibilní s FIDO2, CTAP nebo „multi-device FIDO Credential“. Všechny tyto podmínky by měly znamenat, že jako přihlašovací údaje můžete použít přístupový klíč Apple (nebo Google nebo Microsoft). (FIDO2 je název daný obchodní skupinou FIDO Alliance, která je klíčovou součástí vytváření přístupových klíčů a WebAuthn a jejímiž členy jsou Apple, Microsoft a Google.)

Tento proces bude fungovat velmi podobně, jako když se na webu zaregistrujete pro dvoufaktorovou autentizaci (2FA) nebo pokud jste dříve používali hardwarový klíč pro WebAuthn, jako jsou klíče od Yubico:

1. Přihlaste se pomocí svého stávajícího uživatelského jména a hesla.
2. Web vás může vyzvat k dodatečnému ověření. Může to být odkaz zaslaný e-mailem, textový kód nebo výzva k potvrzení 2FA s kódem nebo prostřednictvím aplikace, kterou již máte nainstalovanou na svém iPhonu nebo iPadu.
3. Sekce zabezpečení webu vám umožňuje zvolit použití přístupového klíče nebo jednoho z alternativních jmen uvedených výše.
4. Webový server odešle vašemu prohlížeči požadavek na poskytnutí informací o šifrování.
5. Budete vyzváni ke schválení tohoto požadavku pomocí Touch ID, Face ID nebo hesla vašeho zařízení, v závislosti na tom, co je dostupné a povolené.
6. Pokud úspěšně ověříte svou identitu, vaše zařízení vygeneruje pár veřejného/soukromého klíče. Soukromý klíč je uložen ve vašem zařízení a nikdy není odeslán na vzdálené místo.
7. Váš prohlížeč odešle veřejný klíč spolu s kryptograficky podepsanou zprávou, kterou může server ověřit pomocí poskytnutého veřejného klíče: ověřitelnou zprávu může vytvořit pouze někdo, jehož zařízení vlastní soukromý klíč.
8. Webový server ukládá váš veřejný klíč pro vaše budoucí přihlášení.

Nastavení přihlašovacího hesla může deaktivovat 2FA na vašem účtu nebo vám umožní zvolit si přihlašovací heslo namísto cesty 2FA. Přístupový klíč poskytuje důkaz o držení jak tajemství, tak zařízení, na kterém je uložen, v podstatě dva faktory. (Některé weby a služby s vyšším zabezpečením mohou stále vyžadovat 2FA místo nebo navíc k přístupovému klíči.)

Proces přístupového klíče můžete vidět v práci s některými základními technickými částmi vystavenými na Webauthn.me, webu vytvořeném Auth0, poskytovatelem autentizačních služeb. Některé produkční weby v současné době nabízejí přihlášení kompatibilní s přístupovým klíčem, ale v tuto chvíli je jich poměrně málo. Můžete nastavit účet Google nebo Dropbox tak, aby používal „bezpečnostní klíč“ a místo toho používal přístupový klíč. Mé zkušenosti s tím viz níže.

Přihlaste se pomocí přístupového klíče

Na registrovaném webu můžete použít uložený přístupový klíč, až se budete příště potřebovat přihlásit. Možná jste si všimli, že mnoho webových stránek začalo oddělovat zaslané uživatelské jméno nebo e-mail účtu od zaslaného hesla – zdá se, že je to příprava na přístupové klíče. .

Když je stránka plně připravena pro přístupové klíče, klepnete nebo kliknete na pole uživatelského jména nebo e-mailu účtu a Safari vás vyzve k ověření přihlašovacího klíče. V některých případech se vás Safari může nejprve zeptat, zda chcete na webu povolit přihlášení pomocí Touch ID nebo „bezpečnostního klíče“; klikněte Dovolit pokračovat. Poté se můžete ověřit pomocí Touch ID, Face ID nebo hesla vašeho zařízení stejně jako při registraci. A je to! Pomocí výše uvedeného webu Webauthn.me to můžete otestovat v kroku 4 jeho procesu.

U některých webů, které mají podporu WebAuthn, ale ještě nejsou plně v souladu se zjednodušeným přístupovým klíčem, můžete být vyzváni k provedení normálního přihlášení pomocí uživatelského jména a hesla. před stránka zahájí sekvenci, která požádá váš prohlížeč o přístupový klíč.

Podařilo se mi zaregistrovat pomocí přístupového klíče na Dropboxu výběrem možnosti Bezpečnostní klíč a podle pokynů v Safari pro macOS. (Když jste přihlášeni do Dropboxu přes Safari, klikněte na svůj avatar v pravém horním rohu a klikněte na Bezpečnostní odkaz a klikněte Přidat vedle „Bezpečnostní klíče“. Když se vás zeptá, zda jste vložili klíč, potvrďte, že jste jej vložili.)

Následné přihlášení fungovalo v Safari pro macOS, ale ne v Safari pro iOS, pravděpodobně kvůli nedostatku podpory synchronizace klíčenky iCloud před vydáním nových operačních systémů. V systémech iOS 16, iPadOS 15 a Ventura s povolenou iCloud Keychain se přístupové klíče synchronizují a budou uvedeny v Nastavení > Hesla v iOS/iPadOS a Nastavení systému > Hesla ve Ventura.

Apple vám umožní sdílet přístupové klíče s ostatními uživateli Apple jejich bezpečným odesláním přes AirDrop. Tím budete sdílet veřejný i soukromý klíč a lidem poskytnete stejný stupeň přístupu k účtu, jako kdybyste jim dali uživatelské jméno, heslo a dvoufaktorový token ke svému účtu.

Přihlaste se z jiných zařízení

Některé weby vám umožní zadat přihlašovací heslo jako jedinou metodu pro získání přístupu. Co když se tedy pokoušíte přihlásit ze zařízení, které nemá uložený váš přístupový klíč, jako je společný nebo rodinný počítač, zařízení v práci nebo zařízení, ke kterému máte přístup na cestách? Nebo potřebujete k přístupu na web použít systém Windows nebo telefon Android kvůli funkcím specifickým pro tyto platformy? Apple předvedl chytrý přístup ve svém představení přístupových klíčů na Worldwide Developer Conference 2022, který vyžaduje QR kód a Bluetooth.

Proces funguje takto:

1. Na zařízení s dostatečně novým operačním systémem nebo prohlížečem, který podporuje přihlášení WebAuthn, když zadáte název svého účtu na webu, se kterým používáte přístupový klíč.
2. Stránka požádá prohlížeč o přístupový klíč a prohlížeč zjistí, že žádný nemá. Poté můžete kliknutím zadat přístupový klíč prostřednictvím serveru proxy, například kliknutím na „Přidat nový telefon“.
3. Web odešle dotaz, který způsobí, že prohlížeč zobrazí QR kód.
4. Na svém iPhonu nebo iPadu naskenujte QR kód a klepněte na výzvu „Přihlaste se pomocí přístupového klíče“.
5. Na svém zařízení klikněte na Pokračovat a poté schválte přihlášení pomocí Touch ID, Face ID nebo hesla vašeho zařízení.
6. Prohlížeč ukazuje, že jste přihlášeni.

Během tohoto procesu se zařízení, na kterém je QR kód zobrazen, a váš iPhone nebo iPad tiše navážou spojení přes Bluetooth a vymění si klíčové informace. To vašemu zařízení umožní získat jistotu, že přihlášení probíhá pomocí zařízení, které je poblíž, aby se zabránilo vzdáleným útokům, a zpětný kanál Bluetooth přenáší šifrovaný kanál oddělený od připojení prohlížeče, čímž se zabrání phishingovým útokům, které představují falešná přihlášení.

Poté, co ověříte své přihlášení na tomto druhém zařízení, vaše relace pokračuje jako obvykle. Ujistěte se a po dokončení se odhlaste, abyste vymazali stav.

Budoucnost jsou přístupové klíče

V jednoduchosti přístupových klíčů se skrývá sofistikovanost. Pro jednou získáme jak jednoduchost, žádnou režii na řízení procesu, tak nejvyšší možnou úroveň zabezpečení. Každé přihlášení je jedinečné, uložené pro vás a ověřené v obou směrech – vaším zařízením i webem – abyste zajistili, že se na web bude moci přihlásit pouze osoba s přístupem k vašemu zařízení.