Budoucnost bez hesla může vyžadovat, aby naše telefony byly bezpečnostními klíči
- Aliance FIDO zveřejnila whitepaper analyzující nedostatky, které brání tomu, aby se její standard ověřování bez hesla stal mainstreamem.
- Mechanismy autentizace bez hesla se nepodařilo nahradit hesla, protože jsou nepohodlné, navrhuje whitepaper.
- Navrhuje použití chytrých telefonů jako roamingových bezpečnostních klíčů.
Oscar Wong / Getty Images
Silná hesla je nepohodlné vytvářet a spravovat, ale přidání dalších kroků a zařízení k procesu ověřování je ještě větší bolest hlavy.
To je závěr whitepaper od Fast ID Online Alliance (FIDO), která obviňuje problémy s použitelností z toho, že brání tomu, aby se mechanismy autentizace bez hesel staly mainstreamem. Aliance však přišla s řešením, jak problém jednou provždy vyřešit a učinit standard ověřování FIDO stejně všudypřítomný jako hesla.
"FIDO překonalo všechna původní očekávání," Bill Leddy, viceprezident pro produkt ve společnosti Přihlašovací ID, řekl Lifewire e-mailem po prostudování whitepaperu. "[Je] je opravdu blízko k vyřešení všech [problémů s autentizací], ale potřebuje trochu víc."
Zrušení hesel
Leddy věří, že hesla přežila své používání. Obviňuje bezpečnostní průmysl ze selhání lidí tím, že příliš dlouho prosazuje slabé možnosti.
„Hesla jsou nyní 60 let stará, ale zůstávají primární možností ověřování pro většinu účtů. Spotřebitelé mají mnoho různých účtů a očekává se, že si pro každý zapamatují jedinečné heslo. To není praktické řešení,“ tvrdil Leddy. Dodal, že v dnešním internetu, kde lze webové stránky snadno klonovat, je úkolem bezpečnostního průmyslu vybavit lidi správnými nástroji, které zabrání narušení účtů.
Aliance FIDO, otevřená průmyslová asociace, vytvořená za účelem snížení spoléhání se na hesla, na tomto problému pracuje již asi deset let. Vytvořila autentizační standard FIDO, který nebyl schopen získat trakci. V dokumentu whitepaper si aliance myslí, že konečně identifikovala chybějící dílek skládačky a také nastínila strategii, jak jej překonat.
Podle aliance má současný autentizační mechanismus FIDO bez hesla vlastní problémy s použitelností, které mu brání dosáhnout širokého přijetí.
„[Zaznamenali jsme] omezené přijetí [ve spotřebitelském prostoru] kvůli vnímané nepohodlnosti fyzických bezpečnostních klíčů (nákup, registrace, přenášení, obnova) a problémy, kterým spotřebitelé čelí s autentizátory platforem (např. nutnost znovu zaregistrovat každý nový přístroj; žádné snadné způsoby, jak se zotavit ze ztracených nebo odcizených zařízení) jako druhý faktor,“ papír poznamenal.
Abychom tyto problémy překonali, bílá kniha vyzývá k používání našich smartphonů jako roamingových autentizátorů nebo přenosných bezpečnostních klíčů.
„Zařízení uživatele jako roamingový autentizátor představuje skvělou uživatelskou zkušenost a je mnohem bezpečnější než hesla na polodůvěryhodném zařízení, pokud je provedeno správně. Vzhledem k tomu, že nové smartphony nativně podporují FIDO a spotřebitelé jsou jen zřídka daleko od svých telefonů, je to dobrá volba,“ souhlasil Leddy.
Cesta vpřed
Whitepaper však naznačuje, že aby se chytré telefony staly úspěšnými jako přenosné bezpečnostní klíče, musí FIDO navrhnout hladký proces, aby lidé mohli přidávat svá mobilní zařízení nebo mezi nimi přepínat.
Tvrdí, že pokud proces pro základní úkoly, jako je nastavení nového telefonu nebo přechod na a nový, není přímočarý, pak lidé pravděpodobně odmítnou celý nápad jako bytí nevyhovující. Aby se tomu zabránilo, dokument navrhuje zavedení nové techniky, kterou nazývají pověření FIDO pro více zařízení nebo „přístupové klíče“.
„Přihlašovací údaje 'passkey' pro více zařízení řeší dlouhodobou otázku kolem FIDO. Otázkou bylo, jak přejít na nové zařízení, pokud jsem na svém starém zařízení zaregistroval 50 přihlašovacích údajů pro konkrétní doménu a poté získal nové zařízení. Nikdo nechce projít obnovením účtu pro 50 různých služeb, aby znovu svázal nové přihlašovací údaje FIDO,“ vysvětlil Leddy.
dem10 / Getty Images
FIDO tvrdí, že přístupové klíče pomohou této situaci zcela předejít tím, že zajistí, že když přepneme z jednoho zařízení na druhé, naše přihlašovací údaje FIDO na nás již čekají. Tento dokument je samozřejmě koncepční a Leddy si myslí, že takový mechanismus je snazší navrhnout než implementovat.
„Bylo by nešťastné, kdyby řešení přístupových klíčů byla specifická pro dodavatele, takže spotřebitel nemohl přejít mezi výrobci zařízení nebo dokonce heterogenní (MacBook a telefon Android) sadou zařízení,“ varoval Leddy.
Je však přesvědčen, že aliance FIDO, která čítá těžké váhy jako Apple, Meta, Google, PayPal, Wells Fargo, American Express a Bank of America mezi svými členy přijdou s řešeními, která jsou nejen univerzální, ale také důkladně prověřená. útoky.
FIDO věří, že pověření FIDO pro více zařízení se stanou posledním hřebíkem do rakve pro hesla. „Doufáme, že zavedením těchto nových funkcí umožníme webům a aplikacím nabízet komplexní možnost skutečně bez hesla; nejsou vyžadována žádná hesla ani jednorázové přístupové kódy (OTP),“ uvedla aliance.