Passkeys: existitzen ez den pasahitza

Argitaratua egilea David Carrero

Pasahitzen istorio guztiek berdin amaitzen dute: norbaitek zure sekretua nonbait gordeta zeukan, eta galdu egin zuen.

Berdin dio zein urtetan. Hasieran ordenagailu partekatu bateko testu lauko fitxategi batean zegoen, eta sistemari inprimatzeko eskatzea aski zen. 1979an, Morrisek eta Thompsonek kontatu zuten nola gatzitu eta nola garestitu hasharen kalkulua, lapurtutako zerrenda bat berehala pasahitz zerrenda bihur ez zedin; hobekuntza itzela izan zen. Eta gero konposizio arauak etorri ziren, amaieran ikur bat jartzera behartu gintuztenak. Baina arazoaren formak ez zuen milimetro bat ere egin denbora horretan guztian: sekretu bat dago, zuk badakizu, zerbitzariak egiaztatu dezake, eta beraz zerbitzariak badu zer galdu.

Ordutik egin dugun guztia sekretu hori luzeagoa, bitxiagoa, gatzituagoa eta apurtzen motelagoa egitea izan da. Inork ez zuen aurreko galdera egin: eta zer gertatuko litzateke sekretu partekaturik ez balego?

1976 sekretu batek bi erdi izan ditzakeen ideia

1976an, Whitfield Diffiek eta Martin Hellmanek New Directions in Cryptography argitaratu zuten. Ideia ia iraingarria zen, hain zen sinplea: gako bat truka ezinak diren bi zatitan bana daiteke. Bata lau haizeetara zabaltzen duzu; bestea ez da etxetik ateratzen. Pribatuarekin sinatzen duzuna publikoarekin egiaztatzen da, baina publikoak ez du ezer sinatzeko balio.

Irakur ezazu berriro zerbitzari bat buruan duzula: guneak ez du jada barrura sartzeko balio duen ezer gorde beharrik. Ezer irekitzen ez duen erdia besterik ez.

Ideiak mende erdi ia behar izateak zure bankuko pantailara iristeko ez du gure sektorearen alde asko esaten. Bezero ziurtagiriak bazeuden eta funtzionatzen zuten; falta zena master bat eskatzen ez zuen erabiltzeko modu bat zen. Kriptografia ebatzita zegoen. Erabilgarritasuna, ez.

2013 norbait ados jartzen da, aldaketagatik

2013an FIDO Alliance jaio zen, helburu deklaratu eta ez oso apal batekin sortutako industria partzuergoa: pasahitzekiko menpekotasuna murriztea. Garrantzitsuena ez zen teknologia izan —hori bazegoen jada— baizik eta fabrikatzaileak, nabigatzaileak eta zerbitzuak protokolo bera adosteko mahaian esertzea. Burokrazia usaina du eta falta zen gauza zehatz-zehatza zen: nabigatzaile bakar batean eta zerbitzu bakar batekin funtzionatzen duen autentifikazio mekanismo bat ez da mekanismo bat, pasadizo bat baizik.

2019 nabigatzaileak kriptografia egiten ikasten du

2019ko martxoan, WebAuthn W3Cren gomendio bihurtu zen. Euskara arruntean: edozein orrik nabigatzaileari eska ziezaiokeen jada —API estandar batekin, pluginik eta kontrolatzailerik gabe— gako pare bat sor zezala eta harekin sina zezala.

Fluxua, apaingarririk gabe, hau da. Erregistratzen zarenean, zure gailuak gako pare berri bat sortzen du, gune horretarako berariazkoa. Publikoa bidaltzen du. Pribatua beretzat gordetzen du, gailuak berak zainduta eta zure hatz markak, zure aurpegiak edo bere PINak babestuta. Itzultzen zarenean, guneak ausazko erronka bat bidaltzen dizu, zure gailuak sinatu egiten du, eta guneak sinadura egiaztatzen du lehendik zeukan publikoarekin.

Erreparatu zeri ez den gertatzen: ez da sekreturik bidaiatzen. Zerbitzariak inoiz ez du zure gako pribatua izan, beraz ezin du galdu. Bihar haren datu base osoa filtratzen badute, gako publikoen zerrenda bat eramango dute —telefono gida lapurtzea bezalatsu—. Ez dago GPU batetik pasatzeko hashik, ez probatzeko hiztegirik. Ez da zaila denik: han ez dago ezer balio duenik.

Bigarren mailako ondorioa ideia bera baino handiagoa da

Zure gailuak gako pare hori sortzen duenean, domeinuari lotzen dio. zurebankua.eus(e)rako gorde zuen gakoa zurebankua.eus(r)i baino ez zaio eskaintzen. Ez da politika bat, ez ohartarazpen bat, ez barrako abisu gorri bat: zurebank0-segurtasuna.com(e)rako gakoa ez dela existitzen baizik. Nabigatzaileak ez du aurkitzen, inoiz ez zelako sortu.

Honek phishinga hiltzen du. Ez du murrizten: mekanismorik gabe uzten du. Phishingaren negozio osoa zuk zure pasahitza gune okerrean tekleatu dezakezulako dago zutik, eta urteak daramatzagu hori erabiltzaileen prestakuntza eta kontzientziazio kanpainekin konpondu nahian. Hori guztia sintoma tratatzea zen. Zure begia URL antzeko batek engainatzen du; zure telefonoa, ez. Ez du irakurtzen: kateak alderatzen ditu.

Bide batez, berrerabilpena ere eramaten du aurretik, hori baitzen beste bekatu kapitala. Gune bakoitzak bere gako parea du. Ez dago berrerabiltzeko ezer, nahi izanda ere.

2022 agintzen duten hirurek bakea sinatzen dute

2022ko maiatzean, Applek, Googlek eta Microsoftek batera iragarri zuten FIDO kredentzialen —passkeyen— euskarria zabalduko zutela beren plataformetan eta nabigatzaileetan.

Horrek bihurtu zuen hau ohar tekniko batetik zure amari azaldu diezaiokezun zerbaitera. Ordura arte, WebAuthnek ia beti USB gako fisiko bat esan nahi zuen: bikaina, eta hiru lagunentzat. Passkeya sakelakoa jada eskuan duzun tokian bizi da eta aurpegiarekin desblokeatzen da.

Zer ez duen konpontzen

Orain letra txikia, sektoreak datozen urteak existitzen ez dela itxurak egiten pasatuko baititu.

Berreskuratzea puntu ahula da oraindik. Zuloa ez da desagertu: mugitu egin da. Gailua galtzen baduzu, norbaitek erabaki behar du zu zarela zu, eta erabaki hori ia beti postaz, SMSez edo dei zentro bateko gizaki batekin hitz eginez hartzen da. Gizaki hori lehen zegoen helburu bera da, zehazki. Sarrerako atea blindatu duzu eta atzekoa dagoen tokian dago oraindik.

Sinkronizazioak ekosistema bati lotzen zaitu. Passkeyak erosoak dira zure plataformak zure tramankuluen artean errepikatzen dituelako. Hori beste modu batean esatea da zure giltzak enpresa jakin baten giltzatakoan bizi direla. Handik ateratzea ez da ezinezkoa, baina ez da botoi bat ere. Gogoratzearen arazoa norbaitena izatearenagatik aldatu duzu.

Eta sakelakoa galtzen baduzu sartu beharra izaten jarraitzen duzu. Horrek praktikan esan nahi du ia inongo gunek ez duela pasahitza kendu: «sartzeko arazoak?» baten atzean ezkutatu du. Esteka hori existitzen den bitartean, pasahitza existitzen da, eta beti izan zen bezain txarra da. Katea onartzen duzun metodorik ahulenetik hausten da, ez eskaintzen duzun dotoreenetik.

Zer egin bitartean

Aktibatu passkeyak eskaintzen dizkizuten tokietan eta hasi erortzen bada gehien mintzen duenetik: posta, bankua, besteetan sartzeko erabiltzen duzun kontua. Gainera lana kentzen dizuten segurtasun hobekuntza bakanetakoa da.

Eta ez engainatu zeure burua: urteetan pasahitzak izaten jarraituko duzu, B plan gisa bada ere. Izan daitezela luzeak, desberdinak gune bakoitzean eta egon daitezela kudeatzaile batean. Burutik ateratzen ez den bat nahi baduzu, erabili sortzailea; daukazunak zerbait aguantatzen duen jakin nahi baduzu, pasa ezazu egiaztatzailetik.

Zaindariaren galdera zaharrak —gureetakoa al zara?— badu azkenean erantzun desberdin bat. Hamarkadetan entzun zezaketen hitz bat esanez erantzun genuen. Orain zure gailuak baino egin ezin duen sinadura batekin erantzuten dugu, hitza existitzera iritsi gabe. Hitza aldatu beharrean galdera aldatzen dugun lehen aldia da.


Iturriak: W. Diffie eta M. Hellman, «New Directions in Cryptography», IEEE Transactions on Information Theory, 1976 · R. Morris eta K. Thompson, «Password Security: A Case History», Communications of the ACM, 1979 · FIDO Alliance, 2013an eratua · «Web Authentication: An API for accessing Public Key Credentials», W3Cren gomendioa, 2019ko martxoa · Appleren, Googleren eta Microsoften baterako iragarpena passkeyen euskarriari buruz, 2022ko maiatza.

← Blogera itzuli