Loading...
Passkeys: ඩිජිටල් ආරක්ෂාවේ නව පිම්මක් - 2FA හැක් කිරීමෙන් පසු අපට තිබෙන විකල්පය
Privacy & Security

Passkeys: ඩිජිටල් ආරක්ෂාවේ නව පිම්මක් - 2FA හැක් කිරීමෙන් පසු අපට තිබෙන විකල්පය

2FA (ද්වි-සාධක සත්‍යාපනය) හැක් කිරීම: අලුත්ම තර්ජනය

අන්තර්ජාල ආරක්ෂාවේ ලෝකයේ මෑතකදී ලොකු කතාබහකට ලක් වුණ දෙයක් තමයි හැකර්වරුන් ද්වි-සාධක සත්‍යාපනය (Two-Factor Authentication - 2FA) බිඳ දමන එක. 2FA කියන්නේ ඔබේ ගිණුම් ආරක්ෂා කරන්න මුරපදය (password) එක්ක තවත් එක් සාධකයක්. උදාහරණයක් විදිහට SMS එකකින් එන කේතයක් හෝ Google Authenticator වගේ ඇප් එකකින් ලැබෙන කේතයක් භාවිතා කරන ක්‍රමයක්. මේකෙන් මුරපදයක් හොරකම් කළත් ගිණුමට ඇතුළු වෙන්න හැකර්වරුන්ට අමාරු වෙනවා කියලා අපි හිතුවා. ඒත් 2025 පෙබරවාරි වන විට Forbes, TechRadar, සහ The Verge වගේ වෙබ් අඩවිවල වාර්තා වෙන විදිහට, හැකර්වරුන් 2FA පවා බයිපාස් කරන්න නව උපක්‍රම හොයාගෙන.

Source: www.forbes.com www.forbes.com

මේ උපක්‍රම අතරින් ප්‍රධාන තුනක් තමයි SIM swapping, phishing, සහ man-in-the-middle attacks. SIM swapping කියන්නේ ඔබේ දුරකථන අංකය හැකර්වරයෙක් තමන්ගේ SIM කාඩ් එකකට මාරු කර ගන්න එක. ඒකෙන් SMS කේත ඔවුන්ට ලැබෙනවා. Phishing වලදී ව්‍යාජ වෙබ් පිටු හරහා ඔබව රවට්ටලා කේත හෝ මුරපද ලබා ගන්නවා. Man-in-the-middle attacks වලදී ඔබයි වෙබ් අඩවියයි අතර සන්නිවේදනය ඇල්ලුවම ඔවුන්ට ඔබේ කේත ලබා ගන්න පුළුවන්. 2024 Verizon Data Breach Investigations Report එකට අනුව, 82%ක ප්‍රමාණයක ගිණුම් බිඳවැටීම් සිදුවෙන්නේ phishing හරහා. Uber වගේ සමාගමකට 2022දී එල්ල වුණු සයිබර් ප්‍රහාරයකදීත් හැකර්වරු MFA (බහු-සාධක සත්‍යාපනය) බයිපාස් කළ බව වාර්තා වුණා. මේ නිසා 2FA එකේ ආරක්ෂාව ගැන ප්‍රශ්න ඇති වෙලා, ඒක 100% විශ්වාසදායක නැති බව දැන් පැහැදිලියි. මේ පසුබිමේදී passkey කියන තාක්ෂණය ඩිජිටල් ආරක්ෂාවේ නව බලාපොරොත්තුවක් විදිහට ඉස්මතු වෙනවා.

Passkey කියන්නේ මොකක්ද?

Passkey කියන්නේ මුරපද වෙනුවට ආව නව ආරක්ෂක ක්‍රමයක්. ඒක "passwordless authentication" (මුරපද රහිත සත්‍යාපනය) කියලත් හඳුන්වනවා. Passkey එකක් යනු ඔබේ උපාංගය (දුරකථනය, පරිගණකය) සහ එහි ආරක්ෂක ලක්ෂණ විදිහට ඇඟිලි සලකුණ (fingerprint), මුහුණ හඳුනාගැනීම (face ID), හෝ PIN කේතය භාවිතයෙන් ගිණුමකට ඇතුළු වෙන ඩිජිටල් යතුරක්. මේක පිටුපස තියෙන්නේ public-key cryptography කියන තාක්ෂණය. එහිදී ඔබේ උපාංගයේ private key එකක් (රහස් යතුර) සහ වෙබ් අඩවියේ public key එකක් (පොදු යතුර) එකිනෙක ගැලපෙනවා. Private key එක කවදාවත් උපාංගයෙන් පිට වෙන්නේ නැහැ. ඒ නිසා හැකර්වරුන්ට ඒක ගන්න ගොඩ​ක් අමාරුයි.

Passkey එකක් හදනකොට, ඔබේ උපාංගය public-private key pair එකක් හදනවා. Public key එක වෙබ් අඩවියේ සර්වර් එකේ ගබඩා වෙනවා, ඒත් ඒකෙන් වැඩක් නැහැ මොකද private key එක නැතුව ඒක වැඩ කරන්නේ නැති නිසා. Private key එක ඔබේ උපාංගයේ ආරක්ෂිත තැනක Apple හි Secure Enclave, Android හි Trusted Platform Module (TPM), හෝ Samsung Knox වගේ තැනක තියෙනවා. ඔබ ගිණුමකට ලොග් වෙන්න යනකොට, උපාංගය unlock කරන ආකාරයෙන්ම (ඇඟිලි සලකුණ, මුහුණ, හෝ PIN) passkey එක භාවිතා වෙනවා. මේක FIDO Alliance සහ WebAuthn සම්මතයන් මත ගොඩනැගිලා තියෙන තාක්ෂණයක්. Apple, Google, Microsoft වගේ ලොකු සමාගම් මේකට සහය දෙනවා.

Passkey; 2FA එක්ක වෙනස් වෙන්නේ කොහොමද?

2FA එකේදී ඔබ මුලින්ම මුරපදයක් ටයිප් කරනවා, ඊට පස්සේ SMS හෝ ඇප් එකකින් කේතයක් ලැබෙනවා. ඒකත් ටයිප් කරන්න ඕනේ. ඒත් passkey එකේ මුරපදයක් ඕනේ නැහැ. ඔබ උපාංගය unlock කළාම ඒකෙන් ඔබ තමයි ගිණුමට ඇතුළු වෙන්නේ කියලා ඔප්පු වෙනවා. මේකෙන් phishing වගේ ප්‍රහාර අඩු වෙනවා. මොකද ඔබට කේතයක් ටයිප් කරන්න හෝ share කරන්න ඕනේ නැති නිසා. 2FA එකේදී SMS කේතයක් හොරකම් කරන්න පුළුවන් වුණත්, passkey එකේ private key එක උපාංගයෙන් පිටතට එන්නේ නැහැ.

Passkey එකේ තියෙන්නේ ද්වි-සාධක සත්‍යාපනයේ ලක්ෂණ වගේම ඊටත් වඩා පහසුවක්. ඒ කියන්නේ "something you have" (ඔබේ උපාංගය) සහ "something you are/know" (ජෛවමිතික ලක්ෂණ හෝ PIN) එකතු වෙනවා. ඒත් අමතර පියවරක් නැතුව ඒක එක පියවරකින් සිද්ධ වෙනවා. 2FA එකට වඩා භාවිතයත් ලේසියි, ආරක්ෂාවත් ඉහළයි.

සහය දක්ව​න උපාංග සහ මෙහෙයුම් පද්ධති (Devices and Operating Systems)

Passkey එක බොහෝ උපාංගවල සහ මෙහෙයුම් පද්ධතිවල දැන් භාවිතා කරන්න පුළුවන්. මේවා ලෝකයේ 90%කට වඩා උපාංග ආවරණය කරනවා:

  • iOS 16 සහ ඊට ඉහළ: iPhone, iPad වල iCloud Keychain හරහා passkey සම්බන්ධ වෙනවා.
  • macOS Ventura (13) සහ ඊට ඉහළ: MacBook, iMac වලත් ඒ විදිහටම.
  • Android 9 සහ ඊට ඉහළ: Google Password Manager හරහා passkey සම්බන්ධ වෙනවා; Android 14දී third-party password managers වලටත් ඉඩ තියෙනවා.
  • Windows 10/11: Windows Hello එක්ක passkey සහය දෙනවා. ඒත් Windows 10/11 හි සම්බන්ධ කිරීම (syncing) තවම සීමිතයි.
  • Linux: සමහර බ්‍රවුසර් හරහා සීමිත passkey සහයක් තියෙනවා.

ඔබේ දුරකථනයේ screen lock (බයෝමෙට්‍රික් හෝ PIN) සක්‍රිය වෙලා තියෙන්න ඕනේ passkey භාවිතයට.

බ්‍රවුසර් අනුකූලතාව (Browser Compatibility)

Passkey එක බ්‍රවුසර් තුළින් භාවිතා කරන්නත් පුළුවන්. මේ බ්‍රවුසර්වලට සහය තියෙනවා:

  • Safari: Apple උපාංගවල passkey එකට පූර්ණ සහය දෙනවා.
  • Google Chrome: Chrome 108 සිට passkey සහය දෙනවා; Android සහ Windows වලත් ඒක වැඩ කරනවා.
  • Microsoft Edge: Windows Hello එක්ක ඒකාබද්ධව passkey සහය දෙනවා.
  • Firefox: Firefox 94 සිට WebAuthn හරහා passkey සහය ලබා දෙනවා.
  • Brave: FIDO2 සම්මතයට අනුව passkey වලට සහය දෙනවා.

මේ බ්‍රවුසර් ඔබේ උපාංගයේ up-to-date තත්ත්වයේ තියෙනවා නම්, passkey එක බාධාවකින් තොරව භාවිතා කරන්න පුළුවන්.

Passkey සහය දෙන ප්‍රසිද්ධ වෙබ් අඩවි, ඇප්ස්, සහ සේවා

Passkey එක දැනටමත් ලෝකයේ බොහෝ ප්‍රසිද්ධ සේවාවන් භාවිතා කරනවා:

  • Google: Gmail, YouTube, Google Drive වගේ සේවාවල passkey සහය තියෙනවා. මිලියන 400කට වඩා ගිණුම් මේක භාවිතා කරනවා.
  • Apple: iCloud, App Store, Apple Music වල passkey එක iOS 16 සිට භාවිතා වෙනවා.
  • Microsoft: Microsoft 365, Xbox, Skype වල Windows Hello හරහා passkey සහය ලැබෙනවා.
  • PayPal: ඇමරිකාවේ PayPal ගිණුම්වල passkey භාවිතා කරන්න පුළුවන්.
  • eBay, Best Buy, Kayak: මේවාත් passkey එකට සහය දෙනවා.
  • 1Password, NordPass, Dashlane: Password managers මේවා passkey ගබඩා කරලා සම්බන්ධ කරනවා.

Passkeys.directory කියන වෙබ් අඩවියේ passkey සහය දෙන තවත් සේවා ලැයිස්තුවක් තියෙනවා. එතනින් බලන්න පුළුවන්.

Passkeys.directory
A community-driven index of websites, apps, and services that offer signing in with passkeys.
Passkeys.directory1Password

Passkey වර්ග (Types of Passkeys)

Passkey එකේ ප්‍රධාන වර්ග දෙකක් තියෙනවා:

  1. Synced Passkeys: මේවා cloud හරහා ඔබේ උපාංග අතර සම්බන්ධ වෙනවා (උදා: iCloud Keychain, Google Password Manager). උපාංගයක් නැති වුණත් backup එකකින් ආපසු ගන්න පුළුවන්. පහසු වුණත් ආරක්ෂාව ටිකක් අඩුයි.
  2. Device-Bound Passkeys: මේවා එක් උපාංගයකට විතරක් සීමා වෙනවා (උදා: YubiKey වගේ hardware security keys). Cloud එකට යන්නේ නැති නිසා ආරක්ෂාව වැඩියි. ඒත් උපාංගය නැති වුණොත් ඒවාත් නැති වෙනවා.

Passkey vs. Password (Passkey සහ මුරපද අතර සංසන්දනය)

විශේෂාංගයPasskeyPassword (මුරපද)
ආරක්ෂාවPhishing-resistant, private key එක රහස්යිPhishing වලට ගොදුරු වෙන්න පුළුවන්
පහසුවUnlock කරන විදිහටම භාවිතා වෙනවාමතක තියාගන්න ඕනේ, ටයිප් කරන්න ඕනේ
සම්බන්ධතාවCloud හරහා උපාංග අතර sync වෙනවාඕනෑම උපාංගයක ටයිප් කරන්න පුළුවන්
හොරකම් කිරීමPrivate key එක ගන්න බැහැහොරකම් කරන්න පහසුයි
වේගයඉක්මනින් ලොග් වෙන්න පුළුවන්ටයිප් කරන්න වෙලා ගත වෙනවා

Passkey එක මුරපදවලට වඩා ආරක්ෂිත වගේම පහසුයි. ඒත් උපාංගය මත රඳා පැවතීම එකම සීමාවක්.

Passkey වල වාසි මොනවාද?

  1. අති ඉහළ ආරක්ෂාව: Public-key cryptography නිසා හැකර්වරුන්ට passkey එක බිඳින්න ගොඩක් අමාරුයි. මුරපද වගේ දේවල් share වෙන්නේ නැති නිසා phishing හෝ replay attacks වලට ගොදුරු වෙන්නේ නැහැ.
  2. පහසු භාවිතය: මුරපද මතක තියාගන්න හෝ SMS කේත එනකම් බලන් ඉන්න ඕනේ නැහැ. උපාංගය unlock කළාම ඉබේම ගිණුමට ඇතුළු වෙනවා. එච්චරයි!
  3. බහු-උපාංග සම්බන්ධතාව: Apple iCloud Keychain, Google Password Manager වගේ පද්ධති හරහා passkey එක ඔබේ සියලු උපාංගවලට සම්බන්ධ වෙනවා. නව උපාංගයකින් ලොග් වෙනකොටත් ලියාපදිංචියක් ඕනේ නැහැ.
  4. ලෝක තාක්ෂණික සහය: Apple, Google, Microsoft, Amazon වගේ සමාගම් passkey වලට සහය දෙනවා. iOS, Android, Windows Hello වගේ පද්ධතිවල දැනටමත් මේක භාවිතා වෙනවා, ලෝකෙටම ගැලපෙන තාක්ෂණයක්.

Passkey වල අවාසි මොනවාද?

අති විශිෂ්ට වුණත් passkey වලත් සීමාවන් තියෙනවා:

  • උපාංග මත රඳා පැවතීම: උපාංගය නැති වුණොත් හෝ හානි වුණොත්, passkey එක ආපසු ගන්න ටිකක් අමාරුයි. Backup ක්‍රමයක් තියෙන්න ඕනේ. Apple හි iCloud escrow වගේ.
  • සීමිත භාවිතය: තවමත් සෑම වෙබ් අඩවියක්ම passkey සඳහා සහය නොදක්වන නිසා, තවමත් මුරපද භාවිතා කරන්න වෙනවා.
  • අලුත් තාක්ෂණය: Passkey බොහෝ දෙනෙකුට අලුත් නිසා, ඒ ගැන දැනුමක් නැති අයට මුලදී භාවිතය ටිකක් අමුතු වෙන්න පුළුවන්.

2FA හැක් වුණාම Passkey ආරක්ෂිතද?

2FA හැක් වෙන බව දැන ගත්තම, "passkeyත් එහෙම වෙයිද?" කියලා සැකයක් එන්න පුළුවන්. ඒත් passkey එක 2FA එකට වඩා ආරක්ෂිත බව තාක්ෂණික විශේෂඥයෝ පෙන්වා දෙනවා. SMS හෝ ඇප් කේත හොරකම් කරන්න පුළුවන් වුණත්, passkey එකේ private key එක උපාංගයෙන් පිටතට එන්නේ නැති නිසා ඒක ගන්න ගොඩක් අමාරුයි. Phishing වලටත් ගොදුරු වෙන්න අවස්ථාව අඩුයි, මොකද ඔබට ටයිප් කරන්න හෝ share කරන්න දෙයක් නැති නිසා.

ඒත් 100% ආරක්ෂිතද කියන එකත් ප්‍රශ්නයක්. උපාංගයක් හොරකම් කරලා unlock කරන්න පුළුවන් වුණොත්, හැකර්වරයෙකුට ගිණුමට ඇතුළු වෙන්න ඉඩ තියෙනවා. ඒ නිසා ඔබේ උපාංගයේ ආරක්ෂාව PIN, biometricත් ශක්තිමත් වෙන්න ඕනේ. Passkey එක backup කරලා තියෙන cloud service එකක් (වගේ iCloud) හැක් වුණොත්ත් ගැටලුවක් එන්න පුළුවන්. ඒත් Apple වගේ සමාගම් ඒකටත් එන්ඩ්-ටු-එන්ඩ් එන්ක්‍රිප්ෂන් යොදලා තියෙනවා.

Passkey භාවිතයේ ඉතිහාසය සහ අනාගතය

Passkey එක හඳුන්වා දුන්නේ Apple, Google, Microsoft වගේ සමාගම් එකතු වෙලා 2012දී පටන් ගත්ත සංවිධානයක් වන FIDO Alliance විසි​න්. 2021දී FIDO2 සහ WebAuthn සම්මතයන් හරහා passkey ලෝකයට ආවා. 2022දී Apple iOS 16 එක්කත්, Google Android 14 එක්කත් මේක ජනප්‍රිය කළා. NIST (National Institute of Standards and Technology) 2023දී passkey වල phishing-resistant ගුණය ගැන සහතික කළා—ඒකෙන් බැංකු, සෞඛ්‍ය වගේ ක්ෂේත්‍රවලත් මේක භාවිතයට ඉඩ ඇරුණා. දැනට Google හි ගිණුම් මිලියන 400කට වඩා passkey භාවිතා කරනවා; PayPal, eBay, Best Buy වගේ සමාගම්ත් මේකට එකතු වෙලා.

අනාගතයේදී passkey මුරපද සම්පූර්ණයෙන්ම ආදේශ කරයි කියලා තාක්ෂණික විශේෂඥයෝ අනුමාන කරනවා. 2025 වෙද්දී ලෝකයේ වෙබ් අඩවි 85%කට වඩා passkey සඳහා සහය දක්වයි කියලා State of Passkeys වාර්තාවක් පෙන්වා දෙනවා. ඒ වගේම 1Password, Dashlane වගේ password manager ඇප්වලත් passkey එකතු වෙමින් තියෙනවා. ඒකෙන් භාවිතය තවත් පහසු වෙනවා.

Passkey ගැන නිතර අසන ප්‍රශ්න (Passkeys FAQs)

01. Passkey එකක් කොහොමද හදන්නේ?

ඔබ passkey සහය දෙන වෙබ් අඩවියක හෝ ඇප් එකක ලියාපදිංචි වෙනකොට, "Create a Passkey" තෝරලා ඔබේ උපාංගයේ screen lock (බයෝමෙට්‍රික් හෝ PIN) භාවිතා කරනවා.

02. Passkey එක උපාංගය නැති වුණොත් මොකද වෙන්නේ?

Synced passkeys නම් cloud backup එකකින් ආපසු ගන්න පුළුවන්. Device-bound passkeys නැති වුණොත් ඒවා recover කරන්න බැහැ—වෙනත් recovery ක්‍රමයක් (උදා: password) තියෙන්න ඕනේ.

03. බයෝමෙට්‍රික් තොරතුරු ආරක්ෂිතද?

ඔව්, ඒවා උපාංගයේ විතරක් තියෙනවා—වෙබ් අඩවියට හෝ ඇප් එකට යන්නේ නැහැ.

04. Passkey එකක expiration date එකක් තියෙනවද?

නැහැ, ඒත් සමහර සේවාවන් periodic re-authentication ඉල්ලන්න පුළුවන්.

05. Passkey එක share කරන්න පුළුවන්ද?

Synced passkeys නම් 1Password වගේ password managers හරහා share කරන්න පුළුවන්—ඒත් ඒක සුපරීක්ෂාකාරී වෙන්න ඕනේ.

2FA හැක් වීමෙන් පස්සේ, passkeys කියන්නේ ඩිජිටල් ආරක්ෂාවේ ඊළඟ පියවර විදිහට ගන්න පුළුවන් හොඳම විසඳුමක්. ඒක මුරපදවලට වඩා ආරක්ෂිත වගේම, භාවිතයටත් ලේසියි. Apple, Google, Microsoft වගේ සමාගම් මේක ලෝකයට ගෙනියනකොට, අපිත් අපේ ගිණුම් ආරක්ෂා කර ගන්න මේ වෙනසට හුරු වෙන්න ඕනේ. ඔබේ දුරකථනයේ Face ID, Touch ID වගේ තාක්ෂණය තියෙනවා නම්, passkey එක උත්සාහ කරලා බලන්න. මේක තමයි අනාගතයේ අන්තර්ජාල​යේ ආරක්ෂක රහස්‍යතාවයේ යතුර!

Source: www.passkeys.com www.dashlane.com www.techtarget.com support.apple.com www.mastercard.com