Ateičiai be slaptažodžio gali prireikti, kad mūsų telefonai būtų saugos raktai
- FIDO aljansas paskelbė baltąją knygą, kurioje analizuojami trūkumai, neleidžiantys jo autentifikavimo be slaptažodžio standartui tapti pagrindiniu.
- Autentifikavimo be slaptažodžio mechanizmų nepavyko pakeisti slaptažodžių, nes jie yra nepatogūs, teigiama baltojoje knygoje.
- Jame siūloma naudoti išmaniuosius telefonus kaip tarptinklinio ryšio saugos raktus.
Oscar Wong / Getty Images
Stiprius slaptažodžius nepatogu kurti ir tvarkyti, tačiau pridedant papildomų žingsnių ir įrenginių autentifikavimo procesas yra dar didesnis galvos skausmas.
Tokia išvada „Fast ID Online Alliance“ (FIDO) balta knyga, kuri kaltina naudojimo problemas, neleidžiančias autentifikavimo be slaptažodžio mechanizmams tapti įprastais. Tačiau aljansas sugalvojo sprendimą, kaip kartą ir visiems laikams išspręsti problemą ir padaryti FIDO autentifikavimo standartą taip pat visur naudojamą kaip slaptažodžius.
„FIDO viršijo visus pradinius lūkesčius“, Bilas Ledis, produkto viceprezidentas Prisijungimo vardas„Lifewire“ pasakė el. paštu, perskaitęs dokumentą. „[Tai] tikrai arti visų autentifikavimo [problemų] sprendimo, bet reikia šiek tiek daugiau.
Slaptažodžių atšaukimas
Leddy mano, kad slaptažodžiai jau seniai naudojami. Jis kaltina saugumo pramonę dėl žmonių žlugimo, per ilgai stumdamas silpnas galimybes.
„Dabar slaptažodžiams yra 60 metų, tačiau jie išlieka pagrindine daugelio paskyrų autentifikavimo parinktimi. Vartotojai turi daug skirtingų paskyrų ir tikimasi, kad kiekviena prisimins unikalų slaptažodį. Tai nėra praktiškas sprendimas“, – tvirtino Leddy. Jis pridūrė, kad šiandieniniame internete, kur galima lengvai klonuoti svetaines, saugumo pramonės užduotis yra aprūpinti žmones tinkamais įrankiais, kad būtų išvengta paskyros pažeidimų.
FIDO aljansas, atvira pramonės asociacija, sukurta siekiant sumažinti priklausomybę nuo slaptažodžių, šiuo klausimu dirba jau maždaug dešimtmetį. Jis sukūrė FIDO autentifikavimo standartą, kuris negalėjo įgyti traukos. Baltojoje knygoje aljansas mano, kad pagaliau nustatė trūkstamą dėlionės dalį ir taip pat išdėstė strategiją, kaip ją įveikti.
Aljanso teigimu, dabartinis FIDO autentifikavimo be slaptažodžio mechanizmas turi būdingų naudojimo problemų, dėl kurių jis nebuvo plačiai pritaikytas.
„[Mes] pastebėjome ribotą pritaikymą [vartotojų erdvėje] dėl suvokiamų fizinių saugos raktų nepatogumų (perkant, registracija, nešiojimas, atkūrimas) ir iššūkiai, su kuriais susiduria vartotojai, naudojant platformos autentifikavimo priemones (pvz., reikia iš naujo registruoti kiekvieną naują prietaisas; nėra lengvų būdų atsigauti po pamestų ar pavogtų įrenginių) kaip antras veiksnys. laikraštis pažymėjo.
Siekiant išspręsti problemas, baltojoje knygoje raginama naudoti išmaniuosius telefonus kaip tarptinklinio ryšio autentifikavimo priemones arba nešiojamuosius saugos raktus.
„Vartotojo įrenginys kaip tarptinklinio ryšio autentifikavimo priemonė yra puiki vartotojo patirtis ir daug saugesnė nei slaptažodžiai pusiau patikimame įrenginyje, jei tai daroma teisingai. Kadangi nauji išmanieji telefonai iš esmės palaiko FIDO, o vartotojai retai būna toli nuo savo telefonų, tai yra geras pasirinkimas“, – pritarė Leddy.
Kelias pirmyn
Tačiau dokumente teigiama, kad norint, kad išmanieji telefonai taptų sėkmingi kaip nešiojamieji saugos raktai, FIDO turi sukurti sklandų procesą, kad žmonės galėtų pridėti arba perjungti savo mobiliuosius įrenginius.
Ji teigia, kad jei atliekamos esminės užduotys, tokios kaip naujo telefono nustatymas arba perjungimas į a nauja, nėra paprasta, tada žmonės greičiausiai atmes visą idėją kaip esą nepatogu. Siekiant to išvengti, straipsnyje siūloma įdiegti naują techniką, kurią jie vadina kelių įrenginių FIDO kredencialais arba „slaptažodžiais“.
„Kelių įrenginių „slaptažodžio“ kredencialai sprendžia ilgalaikį FIDO klausimą. Kyla klausimas, kaip pereiti prie naujo įrenginio, jei senajame įrenginyje užregistravau 50 konkrečiam domenui būdingų kredencialų ir tada gavau naują įrenginį. Niekas nenori atlikti paskyros atkūrimo 50 skirtingų paslaugų, kad būtų galima susieti naujus FIDO kredencialus“, – paaiškino Leddy.
dem10 / Getty Images
FIDO tvirtina, kad prieigos raktai padės visiškai išvengti šios situacijos, nes kai perjungiame iš vieno įrenginio į kitą, mūsų FIDO kredencialai jau laukia mūsų. Žinoma, dokumentas yra konceptualus, ir Leddy mano, kad tokį mechanizmą lengviau pasiūlyti nei įgyvendinti.
„Būtų gaila, jei slaptažodžio sprendimai būtų specifiniai tiekėjui, kad vartotojas negalėtų persijungti tarp įrenginių gamintojų ar net nevienalyčio („MacBook“ ir „Android“ telefonų) įrenginių rinkinio“, – perspėjo Leddy.
Tačiau jis įsitikinęs, kad FIDO aljansas, skaičiuojantis sunkiasvores, tokias kaip Apple, Meta, Google, PayPal, Wells Fargo, American „Express“ ir „Bank of America“, tarp savo narių, pateiks sprendimus, kurie yra ne tik universalūs, bet ir nuodugniai patikrinami. išpuolių.
FIDO mano, kad kelių įrenginių FIDO kredencialai taps paskutine vinimi į slaptažodžių karstą. „Pristatę šias naujas galimybes tikimės, kad svetainėms ir programėlėms būtų suteikta galimybė pasiūlyti visiškai be slaptažodžio; nereikia jokių slaptažodžių ar vienkartinių slaptažodžių (OTP),“ – teigė aljansas.