Przyszłość bez hasła może wymagać, aby nasze telefony były kluczami bezpieczeństwa

Silne hasła są niewygodne do tworzenia i zarządzania, ale dodawanie dodatkowych kroków a urządzenia do procesu uwierzytelniania to jeszcze większy ból głowy.

To jest wniosek opracowanie opracowane przez Fast ID Online Alliance (FIDO), który obwinia problemy z użytecznością za zapobieganie upowszechnianiu się mechanizmów uwierzytelniania bez hasła. Jednak sojusz wymyślił rozwiązanie, które raz na zawsze rozwiąże problem i sprawi, że standard uwierzytelniania FIDO będzie tak wszechobecny jak hasła.

„FIDO przekroczyło wszelkie początkowe oczekiwania” Bill Leddy, wiceprezes ds. produktu w Numer identyfikacyjny do logowania, powiedział Lifewire przez e-mail po zapoznaniu się z oficjalnym dokumentem. „[To] jest naprawdę blisko rozwiązania wszystkich [problemów] z uwierzytelnianiem, ale potrzebuje trochę więcej”.

Anulowanie haseł

Leddy uważa, że ​​hasła przeżyły ich użycie. Obwinia branżę bezpieczeństwa za to, że ludzie zawodzą przez zbyt długie forsowanie słabych opcji.

„Hasła mają teraz 60 lat, ale pozostają podstawową opcją uwierzytelniania dla większości kont. Konsumenci mają wiele różnych kont i oczekuje się, że będą pamiętać unikalne hasło do każdego z nich. To nie jest praktyczne rozwiązanie” – stwierdził Leddy. Dodał, że w dzisiejszym Internecie, gdzie strony internetowe można łatwo klonować, zadaniem branży bezpieczeństwa jest wyposażenie ludzi w odpowiednie narzędzia do zapobiegania naruszeniom kont.

FIDO Alliance, otwarte stowarzyszenie branżowe, utworzone w celu zmniejszenia uzależnienia od haseł, pracuje nad tym problemem od około dekady. Stworzyła standard uwierzytelniania FIDO, który nie był w stanie zyskać na popularności. W białej księdze sojusz uważa, że ​​w końcu zidentyfikował brakujący element układanki, a także nakreślił strategię jego przezwyciężenia.

Według sojuszu, obecny mechanizm uwierzytelniania bez hasła FIDO ma nieodłączne problemy z użytecznością, które uniemożliwiły jego szerokie zastosowanie.

„[Zaobserwowaliśmy] ograniczoną adopcję [w przestrzeni konsumenckiej] z powodu postrzeganej niedogodności fizycznych kluczy bezpieczeństwa (kupowanie, rejestracja, przenoszenie, odzyskiwanie) oraz wyzwania, przed jakimi stają konsumenci z uwierzytelniającymi platformami (np. konieczność ponownej rejestracji każdego nowego urządzenie; nie ma łatwych sposobów na odzyskanie utraconych lub skradzionych urządzeń) jako drugi czynnik, w gazecie zauważył.

Aby rozwiązać te problemy, w białej księdze wzywa się do używania naszych smartfonów jako uwierzytelniania w roamingu lub przenośnych kluczy bezpieczeństwa.

„Urządzenie użytkownika jako mobilny uwierzytelniacz zapewnia wspaniałe wrażenia dla użytkownika i jest znacznie bezpieczniejsze niż hasła na częściowo zaufanym urządzeniu, jeśli zostanie wykonane prawidłowo. Ponieważ nowe smartfony natywnie obsługują FIDO, a konsumenci rzadko są daleko od swoich telefonów, jest to dobra opcja” – zgodził się Leddy.

Droga naprzód

Biała księga sugeruje jednak, że aby smartfony odniosły sukces jako przenośne klucze bezpieczeństwa, FIDO musi opracować płynny proces dodawania lub przełączania się między urządzeniami mobilnymi.

Twierdzi, że jeśli proces do podstawowych zadań, takich jak konfiguracja nowego telefonu lub przejście na nowy, nie jest prosty, wtedy ludzie prawdopodobnie odrzucą cały pomysł jako niewygodny. Aby tego uniknąć, w artykule zaproponowano wprowadzenie nowej techniki, którą nazywają poświadczeniami FIDO dla wielu urządzeń lub „kluczami dostępu”.

„Poświadczenia „klucza” dla wielu urządzeń stanowią odpowiedź na odwieczne pytanie dotyczące FIDO. Pytanie brzmiało, jak przenieść się na nowe urządzenie, jeśli zarejestrowałem 50 danych logowania specyficznych dla domeny na moim starym urządzeniu, a następnie otrzymałem nowe urządzenie. Nikt nie chce przechodzić przez odzyskiwanie konta dla 50 różnych usług, aby ponownie powiązać nowe poświadczenia FIDO” – wyjaśnił Leddy.

FIDO zapewnia, że ​​klucze dostępu pomogą całkowicie uniknąć tej sytuacji, zapewniając, że kiedy przełączamy się z jednego urządzenia na drugie, nasze poświadczenia FIDO już na nas czekają. Oczywiście artykuł ma charakter koncepcyjny, a Leddy uważa, że ​​taki mechanizm łatwiej jest zaproponować niż wdrożyć.

„Byłoby niefortunne, gdyby rozwiązania z kluczem dostępu były specyficzne dla dostawcy, tak aby konsument nie mógł się zmienić między producentami urządzeń, a nawet heterogenicznym (MacBook i telefon z Androidem) zestawem urządzeń” – ostrzega Leddy.

Jest jednak przekonany, że sojusz FIDO, w którym liczą się wagi ciężkie, takie jak Apple, Meta, Google, PayPal, Wells Fargo, American Express i Bank of America, wśród swoich członków, zaproponują rozwiązania, które są nie tylko uniwersalne, ale także gruntownie sprawdzone. ataki.

FIDO wierzy, że dane uwierzytelniające FIDO na wiele urządzeń staną się ostatnim gwoździem do trumny haseł. „Wprowadzając te nowe funkcje, mamy nadzieję, że strony internetowe i aplikacje będą oferować kompleksową opcję bez hasła; nie są wymagane żadne hasła ani jednorazowe kody dostępu (OTP)” – powiedział sojusz.