Budúcnosť bez hesla môže vyžadovať, aby naše telefóny boli bezpečnostnými kľúčmi
- Aliancia FIDO zverejnila bielu knihu, v ktorej analyzuje nedostatky, ktoré bránia tomu, aby sa jej štandard bez hesla stal hlavným prúdom.
- Mechanizmy autentifikácie bez hesla zlyhali pri nahradení hesiel, pretože sú nepohodlné, navrhuje whitepaper.
- Navrhuje používanie smartfónov ako bezpečnostných kľúčov pri roamingu.
Oscar Wong / Getty Images
Silné heslá sú nepohodlné na vytváranie a správu, ale pridanie ďalších krokov a zariadení do procesu autentifikácie je ešte väčšia bolesť hlavy.
To je záver biela kniha od Fast ID Online Alliance (FIDO), ktorá obviňuje problémy s použiteľnosťou za to, že bránia tomu, aby sa mechanizmy autentifikácie bez hesla stali hlavným prúdom. Aliancia však prišla s riešením, ako problém raz a navždy vyriešiť a urobiť z autentifikačného štandardu FIDO rovnako všadeprítomný ako heslá.
"FIDO prekonalo všetky pôvodné očakávania," Bill Leddy, viceprezident pre produkt at Prihlasovacie ID, povedal Lifewire e-mailom po prečítaní bielej knihy. "[Je to] naozaj blízko k vyriešeniu všetkých [problémov] s autentifikáciou, ale potrebuje trochu viac."
Zrušenie hesiel
Leddy verí, že heslá prežili svoje používanie. Obviňuje bezpečnostný priemysel, že zlyháva ľudí tým, že príliš dlho presadzuje slabé možnosti.
„Heslá majú teraz 60 rokov, ale zostávajú primárnou možnosťou overenia pre väčšinu účtov. Spotrebitelia majú veľa rôznych účtov a očakáva sa, že si pre každý zapamätajú jedinečné heslo. To nie je praktické riešenie,“ tvrdil Leddy. Dodal, že v dnešnom internete, kde sa dajú webové stránky jednoducho klonovať, je úlohou bezpečnostného priemyslu vybaviť ľudí tými správnymi nástrojmi, aby zabránili narušeniu účtu.
Aliancia FIDO, otvorená priemyselná asociácia, vytvorená s cieľom znížiť spoliehanie sa na heslá, pracuje na tomto probléme už asi desať rokov. Vytvorila autentifikačný štandard FIDO, ktorý sa nedokázal presadiť. V bielej knihe si aliancia myslí, že konečne identifikovala chýbajúci kúsok skladačky a tiež načrtla stratégiu, ako ho prekonať.
Podľa aliancie má súčasný mechanizmus autentifikácie FIDO bez hesla vlastné problémy s použiteľnosťou, ktoré mu bránia dosiahnuť široké prijatie.
„[Pozorovali sme] obmedzené prijatie [v spotrebiteľskom priestore] z dôvodu vnímania nepohodlia fyzických bezpečnostných kľúčov (nákup, registrácia, prenášanie, obnova) a problémy, ktorým spotrebitelia čelia v súvislosti s autentifikátormi platforiem (napr. nutnosť opätovnej registrácie každého nového zariadenie; nie sú jednoduché spôsoby, ako obnoviť stratené alebo ukradnuté zariadenia) ako druhý faktor,“ papier poznamenal.
Na prekonanie týchto problémov sa v bielej knihe vyzýva na používanie našich smartfónov ako roamingových autentifikátorov alebo prenosných bezpečnostných kľúčov.
„Zariadenie používateľa ako roamingový autentifikátor predstavuje skvelú používateľskú skúsenosť a je oveľa bezpečnejšie ako heslá na polodôveryhodnom zariadení, ak sa to robí správne. Keďže nové smartfóny natívne podporujú FIDO a spotrebitelia sú len zriedka ďaleko od svojich telefónov, je to dobrá voľba,“ súhlasil Leddy.
Cesta vpred
Biela kniha však naznačuje, že na to, aby sa smartfóny stali úspešnými ako prenosné bezpečnostné kľúče, musí FIDO navrhnúť hladký proces, aby ľudia mohli pridávať svoje mobilné zariadenia alebo medzi nimi prepínať.
Tvrdí, že ak proces základných úloh, ako je nastavenie nového telefónu alebo prechod na a nový, nie je jednoduchý, potom ľudia pravdepodobne odmietnu celý nápad ako taký nepohodlné. Aby sa tomu zabránilo, dokument navrhuje zavedenie novej techniky, ktorú nazývajú poverenia FIDO pre viacero zariadení alebo „prístupové kľúče“.
„Prihlasovacie kľúče pre viaceré zariadenia riešia dlhotrvajúcu otázku týkajúcu sa FIDO. Otázka znela, ako prejsť na nové zariadenie, ak som na svojom starom zariadení zaregistroval 50 poverení pre konkrétnu doménu a potom som získal nové zariadenie. Nikto nechce prejsť obnovou účtu pre 50 rôznych služieb, aby znovu naviazal nové prihlasovacie údaje FIDO,“ vysvetlil Leddy.
dem10 / Getty Images
FIDO tvrdí, že prístupové kľúče pomôžu úplne predísť tejto situácii tým, že zabezpečia, že keď prejdeme z jedného zariadenia na druhé, naše poverenia FIDO už na nás budú čakať. Samozrejme, tento dokument je koncepčný a Leddy si myslí, že takýto mechanizmus je jednoduchšie navrhnúť ako implementovať.
„Bolo by poľutovaniahodné, ak by riešenia prístupových kľúčov boli špecifické pre jednotlivých dodávateľov, aby spotrebiteľ nemohol prejsť medzi výrobcami zariadení alebo dokonca heterogénnou (MacBook a telefón s Androidom) súborom zariadení,“ varoval Leddy.
Je však presvedčený, že aliancia FIDO, ktorá zahŕňa ťažké váhy ako Apple, Meta, Google, PayPal, Wells Fargo, American Express a Bank of America medzi svojimi členmi prídu s riešeniami, ktoré sú nielen univerzálne, ale aj dôkladne preverené. útokov.
FIDO verí, že poverenia FIDO pre viacero zariadení sa stanú posledným klincom do rakvy pre heslá. „Dúfame, že predstavením týchto nových možností umožníme webovým stránkam a aplikáciám ponúkať komplexnú možnosť skutočne bez hesla; nie sú potrebné žiadne heslá ani jednorazové prístupové kódy (OTP),“ uviedla aliancia.