En passordløs fremtid kan kreve at telefonene våre er sikkerhetsnøkler
- FIDO-alliansen har publisert en whitepaper som analyserer manglene som hindrer den passordløse autentiseringsstandarden i å bli mainstream.
- Passordløse autentiseringsmekanismer har ikke klart å erstatte passord fordi de er upraktiske, foreslår hvitboken.
- Den foreslår bruk av smarttelefoner som roaming-sikkerhetsnøkler.
Oscar Wong / Getty Images
Sterke passord er upraktisk å opprette og administrere, men legge til ekstra trinn og enheter til autentiseringsprosessen er en enda større hodepine.
Det er konklusjonen på en whitepaper av Fast ID Online Alliance (FIDO), som gir brukervennlighetsproblemer skylden for å forhindre passordløse autentiseringsmekanismer fra å bli mainstream. Alliansen har imidlertid kommet med en løsning for å løse problemet en gang for alle og gjøre FIDO-autentiseringsstandarden like allestedsnærværende som passord.
"FIDO har overgått alle innledende forventninger," Bill Leddy, VP of Product at InnloggingsID, fortalte Lifewire over e-post etter å ha lest hvitboken. "[Det] er veldig nært å løse alle autentiseringsproblemer, men trenger litt mer."
Avbryte passord
Leddy mener at passord har overlevd bruken. Han gir sikkerhetsbransjen skylden for å svikte folk ved å presse på svake alternativer alt for lenge.
«Passord er nå 60 år gamle, men er fortsatt det primære autentiseringsalternativet for de fleste kontoer. Forbrukere har mange forskjellige kontoer og forventes å huske et unikt passord for hver. Det er ikke en praktisk løsning," hevdet Leddy. Han la til at i dagens internett, hvor nettsider enkelt kan klones, er sikkerhetsindustriens jobb å utstyre folk med de riktige verktøyene for å forhindre kontobrudd.
FIDO Alliance, en åpen bransjeforening, opprettet for å redusere avhengigheten av passord, har jobbet med problemet i omtrent et tiår nå. Den har laget FIDO-autentiseringsstandarden, som ikke har vært i stand til å få gjennomslag. I whitepaperen mener alliansen at de endelig har identifisert den manglende brikken i puslespillet og også skissert en strategi for å overvinne den.
I følge alliansen har FIDOs nåværende passordløse autentiseringsmekanisme iboende brukervennlighetsproblemer som har hindret den i å oppnå bred adopsjon.
"[Vi] har observert begrenset bruk [i forbrukerområdet], på grunn av den opplevde ulempen med fysiske sikkerhetsnøkler (kjøp, registrering, bæring, gjenoppretting), og utfordringene forbrukere står overfor med plattformautentisering (f.eks. å måtte registrere seg på nytt hver ny enhet; ingen enkle måter å komme seg etter tapte eller stjålne enheter) som en annen faktor," papiret noterte.
For å overvinne problemene oppfordrer hvitboken til å bruke smarttelefonene våre som roaming-autentisering eller bærbare sikkerhetsnøkler.
"En brukers enhet som roaming-autentisering er en flott brukeropplevelse og mye sikrere enn passord på en semi-klarert enhet hvis det gjøres riktig. Siden nye smarttelefoner naturlig støtter FIDO og forbrukere sjelden er langt fra telefonene sine, er det et godt alternativ," sa Leddy.
Veien forover
Whitepaperen antyder imidlertid at for at smarttelefoner skal bli vellykket som bærbare sikkerhetsnøkler, må FIDO utarbeide en smidig prosess for folk å legge til eller bytte mellom sine mobile enheter.
Det argumenterer for at hvis prosessen for viktige oppgaver, som å sette opp en ny telefon eller bytte til en ny, er ikke enkel, så vil folk sannsynligvis avvise hele ideen som værende ubeleilig. For å unngå dette foreslår avisen å introdusere en ny teknikk som de kaller multi-device FIDO credentials, eller "passkeys."
«Passnøkkellegitimasjon for flere enheter tar opp et langvarig spørsmål rundt FIDO. Spørsmålet har vært hvordan jeg flytter til en ny enhet hvis jeg registrerte 50 domenespesifikke legitimasjonene på min gamle enhet og deretter fikk en ny enhet. Ingen ønsker å gå gjennom kontogjenoppretting for 50 forskjellige tjenester for å binde ny FIDO-legitimasjon på nytt," forklarte Leddy.
dem10 / Getty Images
FIDO hevder at passord vil bidra til å unngå denne situasjonen helt ved å sikre at når vi bytter fra en enhet til en annen, er FIDO-legitimasjonen vår allerede der og venter på oss. Selvfølgelig er papiret konseptuelt, og Leddy mener en slik mekanisme er lettere å foreslå enn å implementere.
«Det ville være uheldig om passordløsningene var leverandørspesifikke slik at en forbruker ikke kan bytte mellom enhetsprodusenter eller til og med et heterogent (MacBook og Android-telefon) sett med enheter," advarte Leddy.
Han er imidlertid sikker på at FIDO-alliansen, som teller tungvektere som Apple, Meta, Google, PayPal, Wells Fargo, American Express, og Bank of America, blant medlemmene, vil komme opp med løsninger som ikke bare er universelle, men som også er grundig undersøkt. angrep.
FIDO tror FIDO-legitimasjonen for flere enheter vil bli den siste spikeren i kisten for passord. "Ved å introdusere disse nye funksjonene håper vi å gi nettsteder og apper mulighet til å tilby et ende-til-ende, virkelig passordløst alternativ; ingen passord eller engangskoder (OTP) kreves," sa alliansen.