Hilangkan Telefon Anda, Hilangkan Kehidupan Anda
Passkey bertujuan untuk menggantikan kata laluan. Kebanyakan syarikat mahukannya. Data menunjukkan 93% organisasi menguji passkey berasaskan WebAuthn. Namun, hanya 13% yang melaksanakannya secara meluas.
Jurutera memberi tumpuan kepada log masuk yang sempurna. Anda membina sistem di mana imbasan biometrik berfungsi dalam beberapa saat. Ini adalah happy path.
Industri menghadapi jalan buntu pada unhappy path. Ini adalah pemulihan peranti.
Passkey memindahkan keselamatan daripada kata laluan kongsi kepada kunci peribadi yang terikat pada perkakasan. Telefon anda menggunakan biometrik untuk membuka kunci ini. Penderia mengira jarak matematik antara imbasan langsung dan templat yang didaftarkan. Jika padanan memenuhi ambang yang ditetapkan, perkakasan akan mengeluarkan kunci tersebut.
Ini mewujudkan masalah besar. Jika kunci tersebut hanya wujud pada satu peranti, kehilangan peranti itu bermakna kehilangan identiti anda.
Syarikat seperti Apple dan Google menggunakan penyinkronan awan untuk membantu. Ini menambah kerumitan bagi pembangun. Anda mesti memilih antara kunci perkakasan keselamatan tinggi atau kunci tersinkron yang mudah digunakan.
Ramai pembangun cuba menyelesaikan masalah ini dengan pemulihan e-mel yang lemah. Ini merosakkan keselamatan. Anda membina pintu bilik kebal tetapi membiarkan tingkap belakang terbuka. Pautan e-mel tidaklah seaman passkey kriptografi.
Di CaraComp, kami memberi tumpuan kepada metrik perbandingan. Kami percaya pengesahan memerlukan jaring keselamatan profesional. Algoritma yang hebat akan gagal jika seni bina di sekelilingnya lemah.
Matlamat bagi pembangun bukanlah padanan wajah yang lebih baik. Kita sudah mempunyai imbasan wajah yang tepat. Matlamatnya adalah protokol pemulihan yang lebih baik. Kita memerlukan cara untuk memulihkan akaun tanpa kembali kepada risiko phishing.
Edge cases menentukan reputasi anda dalam keselamatan.
Bagaimanakah anda mengendalikan pemulihan akaun dalam sistem tanpa kata laluan anda? Adakah anda mengelakkan tetapan semula e-mel yang tidak selamat?
Komuniti pembelajaran pilihan: https://t.me/GyaanSetuAi