Hasło jest naruszone, gdy wycieknie w wyniku naruszenia danych i zostanie udostępnione w dark webie, umożliwiając innym uzyskanie nieautoryzowanego dostępu do kont online. Ryzyko to wynika
While both magic links and passkeys are methods of passwordless authentication, they’re not exactly the same. Some of the key differences between magic links and passkeys are how they work, their security, where a website server stores them and whether or not they expire after being used to log in to an account.
Czytaj dalej, aby dowiedzieć się więcej o tym, co sprawia, że magiczne linki i klucze dostępu różnią się od siebie i są do siebie podobne.
Co to są magiczne linki?
Magiczne linki to rodzaj logowania bezhasłowego, w którym użytkownik otrzymuje link za pośrednictwem wiadomości e-mail lub wiadomości tekstowej po wprowadzeniu swojej nazwy użytkownika lub adresu e-mail w portalu logowania. Link wysłany do użytkownika jest znany jako magiczny link. Po kliknięciu tego magicznego linku użytkownik zostaje automatycznie zalogowany na konto bez wprowadzania hasła. Magiczne linki są również powszechnie używane jako metoda uwierzytelniania wieloskładnikowego (MFA).
Aby można było zalogować się na konto za pomocą magicznego linku, strona internetowa lub aplikacja musi obsługiwać korzystanie z nich.
Co to są klucze dostępu?
Klucze dostępu to nowszy rodzaj logowania bezhasłowego, który umożliwia użytkownikom uwierzytelnianie tożsamości w taki sam sposób, w jaki odblokowują swoje urządzenia, np. za pomocą odcisku palca, rozpoznawania twarzy lub wpisywania hasła kodu PIN. Klucze dostępu składają się z klucza publicznego i klucza prywatnego, które są potrzebne do uwierzytelnienia tożsamości użytkownika przed uzyskaniem dostępu do konta. Klucz publiczny jest przechowywany na serwerach firmy, a klucz prywatny jest przechowywany lokalnie na urządzeniu użytkownika. Po zalogowaniu się na konto za pomocą klucza dostępu użytkownik otrzymuje prośbę o wykorzystanie danych biometrycznych lub wprowadzenie kodu PIN urządzenia bez konieczności ręcznego wpisywania hasła.
Aby zacząć korzystać z kluczy dostępu, strona internetowa lub aplikacja, musi je obsługiwać.
Najważniejsze różnice między magicznymi linkami a kluczami dostępu
Oto kilka najważniejszych różnic między magicznymi linkami a kluczami dostępu.
Jak działają?
Magiczne linki i klucze dostępu działają w zupełnie inny sposób. Podczas korzystania z magicznego linku do zalogowania się na konto użytkownik otrzymuje link za pośrednictwem wiadomości e-mail lub wiadomości tekstowej. Po kliknięciu tego linku użytkownik zostanie zalogowany na konto. Logowanie za pomocą magicznego linku często wymaga od użytkownika natychmiastowej zmiany kart, aplikacji lub urządzeń. Korzystając z kluczy dostępu, użytkownicy nie otrzymują żadnych wiadomości e-mail ani wiadomości tekstowej. Zamiast tego wykorzystują dane biometryczne lub kod PIN urządzenia, aby natychmiast zalogować się na konto.
Bezpieczeństwo
Pod względem bezpieczeństwa klucze dostępu są domyślnie silne. Klucze dostępu nie mogą zostać naruszone tak łatwo, jak magiczne linki, ponieważ są zbudowane na standardzie WebAuthn, który wykorzystuje kryptografię klucza publicznego do uwierzytelniania tożsamości użytkownika. Aby uzyskać dostęp do konta z włączonymi kluczami dostępu, użytkownik zawsze musi mieć przy sobie „uwierzytelniacz”, aby się zalogować. Uwierzyteniacz to coś, co użytkownik wykorzystuje do utworzenia klucza dostępu, może to być telefon, tablet, komputer lub menedżer haseł.
Z drugiej strony magiczne linki mogą być niezabezpieczone. Jeśli konto e-mail osoby nie jest zabezpieczone silnym hasłem i MFA, cyberprzestępca będzie mógł łatwo naruszyć konto i uzyskać dostęp do magicznego linku, aby zalogować się na inne konto użytkownika. Magiczne linki wysyłane za pośrednictwem wiadomości tekstowej są również podatne na naruszenie w wyniku ataków polegających na przejęciu karty SIM. Przejęcie karty SIM ma miejsce, gdy cyberprzestępca przekonuje operatora sieci komórkowej do aktywacji nowej karty SIM. Jeśli cyberprzestępca będzie mógł przekonać operatora sieci komórkowej do aktywacji nowej karty SIM, będzie mógł odbierać wszystkie przychodzące wiadomości tekstowe i połączenia telefoniczne, co oznacza, że będzie mógł zalogować się na konta za pomocą magicznych linków i resetowania haseł, które są wysyłane na numer telefonu.
Przechowywanie
Po utworzeniu klucza dostępu do strony internetowej lub aplikacji publiczna część klucza dostępu jest zawsze przechowywana na serwerze firmy. Ważne jest, aby zrozumieć, że nawet jeśli serwer przechowuje klucz publiczny, ta część jest bezużyteczna bez towarzyszącego mu klucza prywatnego, który jest przechowywany lokalnie na urządzeniu użytkownika. Jeśli chodzi o magiczne linki, token magicznego linku żyje na serwerach firmy tylko przez krótki czas. Po upływie tego czasu należy wygenerować nowy token do nowej próby logowania.
Wygaśnięcie
Po utworzeniu klucza dostępu do konta ten klucz dostępu nigdy nie wygasa do momentu samodzielnego jego usunięcia. Te same klucze prywatne i publiczne będą zawsze używane do zalogowania się na konto. Różni się to od magicznych linków, które są tylko tymczasowe i wygasają po określonym czasie. Po wysłaniu do użytkownika magicznego linku ten magiczny link wygasa po jego otwarciu. Niektóre magiczne linki wygasają po określonym czasie, jeśli zbyt długo będziesz czekać z ich otwarciem, co oznacza, że będziesz musiał poprosić o nowe.
Podobieństwa magicznego linku i klucza dostępu
Chociaż magiczne linki i klucze dostępu różnią się, są również podobne na kilka sposobów.
Oba są rodzajami uwierzytelniania bezhasłowego
Uwierzytelnianie bezhasłowe to metoda weryfikacji tożsamości osoby bez użycia hasła w celu zalogowania się na konto. Zarówno magiczne linki, jak i klucze dostępu to rodzaje uwierzytelniania bezhasłowego, które umożliwia użytkownikom logowanie się do kont online i aplikacji bez konieczności ręcznego wpisywania hasła.
Oba mogą być wykorzystywane jako metody MFA
Chociaż zarówno magiczne linki, jak i klucze dostępu mogą być wykorzystane jako metody logowania, mogą być również wykorzystane jako metody uwierzytelniania wieloskładnikowego. Jednak zależy to w dużym stopniu od tego, czy strona internetowa lub aplikacja obsługuje wykorzystanie magicznych linków i kluczy dostępu. Na przykład niektóre strony internetowe mogą obsługiwać klucze dostępu tylko jako metodę MFA, podczas gdy inne strony internetowe mogą obsługiwać wykorzystanie kluczy dostępu zarówno jako metodę logowania, jak i MFA.
Oba poprawiają doświadczenie logowania użytkownika
Ponieważ zarówno magiczne linki, jak i klucze dostępu eliminują potrzebę tworzenia i zapamiętania haseł przez użytkowników indywidualnych, znacznie ułatwiają logowanie użytkownika. Usuwają również konieczność resetowania haseł przez użytkowników, ponieważ ich zapomnieli, eliminując ryzyko tworzenia przez użytkowników słabych haseł, ponieważ są łatwiejsze do zapamiętania.
Uwierzytelnianie bezhasłowe za pomocą magicznych linków i kluczy dostępu
Magiczne linki i klucze dostępu mogą być wykorzystane jako sposoby logowania się na konta bez konieczności wprowadzania hasła. Jednak ważne jest, aby zrozumieć, że magiczne linki mogą być czasami niezabezpieczone, więc jeśli masz opcję włączenia kluczy dostępu jako metody logowania, nie tylko zapewni to płynność logowania, ale także znacznie zwiększy bezpieczeństwo konta. Aby sprawdzić, które strony internetowe i aplikacje obecnie obsługują wykorzystanie kluczy dostępu jako metodę logowania, sprawdź nasz katalog kluczy dostępu.
Nie wszystkie strony internetowe i aplikacje obsługują jeszcze klucze dostępu, więc nadal musisz tworzyć silne hasła do niektórych kont online. Menedżer haseł, taki jak Keeper®, może pomóc w tworzeniu silnych haseł i zarządzaniu zarówno hasłami, jak i kluczami dostępu.