Վավերամուտքերը (passkeys) գաղտնաբառից ազատ վավերացման նորարարական մեթոդ են, որ համատեղում են աննախադեպ անվտանգությունն ու հարմարավետությունը՝ սահմանելով թվային պաշտպանության նոր ստանդարտ։ Դրանք զգալիորեն նվազեցնում են ֆիշինգային հարձակումների, SIM քարտերի փոխարինման և այլ ռիսկեր՝ առաջարկելով ավելի հզոր և հուսալի միջոց հաշիվների պաշտպանության համար։
Միևնույն ժամանակ, դրանք դարձնում են մուտքի գործընթացը ավելի հեշտ և արագ։ Վավերամուտքերի պարագայում այլևս կարիք չկ հիշել բարդ գաղտնաբառեր կամ օգտագործել մեկանգամյա կոդեր։ Ի տարբերություն երկփուլային վավերացման՝ կրիպտոգրաֆիական համակարգի շնորհիվ մասնավոր բանալին պահպանվում է օգտագործողի սարքում։ Սարքերի սահուն համաժամացման և պարզեցված մուտքերի շնորհիվ վավերամուտքերը կարող են դիտարկվել ավելի արագ, անվտանգ և օգտատիրոջ համար հարմար այլընտրանք ավանդական գաղտնաբառային համակարգերին:
Չնայած երկփուլային վավերացումը լայնորեն ճանաչված է որպես առցանց անվտանգությունը բարելավելու հուսալի մեթոդ, այն անխոցելի չէ։ Ֆիշինգային լավ ծրագրված փորձ կամ հատուկ ստեղծված խառնաշփոթ և երկփուլանի վավերացումը դառնում է անարդյունավետ։ Վերաձևելով առցանց անվտանգությունը՝ վավերամուտքերի կիրառումը հեղափոխական եղանակ է, որ համատեղում է ժամանակակից անվտանգությունն ու անգերազանցելի հարմարավետությունը։
Ի տարբերություն ավանդական գաղտնաբառերի կամ նույնիսկ երկփուլանի կոդերի՝ վավերամուտքներ նախագծված են այնպես, որ գրեթե անհնար է դրանք գողանալ։ Գաղտնիքը թաքնված է նրանց կրիպտոգրաֆիական համակարգում: Երաշխավորում է, որ մասնավոր բանալին միշտ ապահով պահվում է ձեր սարքում՝ էականորեն նվազեցնելով չթույլատրված մուտքի ռիսկը։ Անկախ այն բանից՝ սկսնակ եք, թե փորձառու օգտատեր, վավերամուտքերը առաջարկում են թվային անվտանգության նոր ստանդարտ։
Ինչպես են աշխատում վավերամուտքերը (passkeys)
Վավերամուտքերը հիմնված են երկու բանալու վրա՝ մասնավոր բանալին, որը պահվում է անվտանգ օգտատիրոջ սարքում, և հանրային բանալին, որը պահպանում է այն հարթակը, որտեղ կատարվել է մուտքը: Մուտք գործելիս օգտատերը պարզապես հաստատում է ինքնությունը կենսաչափական տվյալներով կամ PIN կոդով։
Մասնավոր բանալին միշտ մնում է օգտատիրոջ սարքի մեջ՝ ապահովելով բարձր անվտանգություն և օգտագործման հարմարավետություն։ Մասնավոր այդ վավերամուտքը պահվում է սարքում և չի կարող արտահանվել։ Այնպես որ, եթե նույնիսկ հաքերները կոտրում են ծառայության համակարգերը, չեն կարող մուտք գործել կամ գողանալ մասնավոր բանալին։ Իսկ երկփուլանի կոդերը փոխանցվում են ցանցի միջոցով, ինչը դրանք դարձնում է խոցելի որսման կամ մանիպուլյացիայի համար։
Վավերամուտքերը պաշտպանված են նաև ֆիշինգային հարձակումներից։ Դրանք կապակցված են հատուկ դոմենի հետ, այսինքն՝ եթե հաքերները ստեղծեն կեղծ կայք, որը նման է իրականին, նրանք չեն կարող օգտագործել վավերամուտքը։ Մինչդեռ, ավանդական երկփուլանի կոդերը հեշտությամբ կարող են գողացվել, եթե օգտատերը սխալմամբ դրանք մուտքագրի ֆիշինգային կայքում:
Բացի անվտանգության բարձր մակարդակը, վավերամուտքները նաև ավելի հարմարավետ են օգտագործման տեսակետից: Դժվար հիշվող գաղտնաբառերը այլևս խնդիր չեն։ Խոշոր տեխնոլոգիական հարթակները, ինչպիսիք են Apple-ը, Google-ը և Microsoft-ը, ապահով կերպով սինքրոնացնում են վավերամուտքերն օգտատիրոջ սարքերի միջև՝ թույլ տալով սահուն անցում կատարել հեռախոսի, պլանշետի և համակարգչի միջև։ Սա նշանակում է, որ այլևս կարիք չկա սպասելու SMS կոդերի մուտք գործելու անցում կատարել ծրագրերի միջև: Դրանք ավելի արագ, պարզ և հարմար են, քան ավանդական գաղտնաբառային համակարգերը։
Ինչպես են աշխատում հաքերները երկփուլային վավերացումը խափանելիս
SMS կոդերը կարող են խափանվել կամ գողացվել փոխարինման միջոցով, երբ հաքերները խաբում են հեռահաղորդակցական ծառայություններ մատուցող ընկերություններին՝ տեղափոխելով զոհի հեռախոսահամարը նոր SIM քարտի վրա։ Էլեկտրոնային փոստով ուղարկվող կոդերը նույնպես խոցելի են ֆիշինգային հարձակումների տեսակետից, երբ հաքերները վավերացման կոդերը որսալու նպատակով խաբում են օգտատերերին՝ ստիպելով նրանց բացահայտել իրենց փոստի հավատարմագրերը։
Ժամանակային հիմքով մեկանգամյա գաղտնաբառերը (TOTP) նույնպես կարող են ենթարկվել վնասակար ծրագրերի ազդեցությանը, որոնք կարող են կամ գողանալ կոդերի գեներացման համար օգտագործվող գաղտնի բանալին կամ համապատասխանեցնել տվյալները հաքերի հավելվածի հետ։ Ֆիշինգն ամենատարածված մեթոդներից է, որն օգտագործվում է վավերացման կոդեր ստանալու համար։
Հաքերները հաճախ ուղարկում են կեղծ SMS կամ էլ.փոստային հաղորդագրություններ՝ ներկայանալով որպես վստահելի հարթակներ, ինչպիսին Binance-ն է՝ ստիպելով օգտատերերին «հաստատել» կամ «թարմացնել» իրենց տվյալները։ Զոհը տեղափոխվում է կեղծ կայք, որտեղ, առանց իմանալու, մուտքագրում է իր գաղտնաբառերն ու երկփուլանի կոդերը՝ անմիջապես տրամադրելով հաշվի մուտքի հնարավորություն հաքերին։ Այնպես որ, վավերամուտքերը (passkeys) գերազանցում են ավանդական երկփուլային վավերացման համակարգին թե՛ անվտանգության, թե՛ հարմարավետության առումով։
