Prihodnost brez gesla bo morda zahtevala, da bodo naši telefoni varnostni ključi

Močna gesla so neprijetna za ustvarjanje in upravljanje, vendar dodajanje dodatnih korakov in naprave za postopek preverjanja pristnosti je še večji glavobol.

To je zaključek bela knjiga Fast ID Online Alliance (FIDO), ki krivi težave z uporabnostjo, ker preprečuje, da bi mehanizmi za preverjanje pristnosti brez gesla postali mainstream. Vendar pa je zavezništvo pripravilo rešitev, s katero bi enkrat za vselej rešili problem in naredili standard za preverjanje pristnosti FIDO tako vseprisoten kot gesla.

"FIDO je presegel vsa začetna pričakovanja," Bill Leddy, podpredsednik produkta pri Ime za prijavo, je povedal Lifewire po e-pošti po pregledu bele knjige. "[To] je res blizu reševanju vseh [težav] pristnosti, vendar potrebuje nekaj več."

Preklic gesel

Leddy meni, da so gesla preživela svojo uporabo. Varnostno industrijo krivi, da je zatajila ljudi, ker predolgo spodbuja šibke možnosti.

"Gesla so zdaj stara 60 let, vendar ostajajo primarna možnost preverjanja pristnosti za večino računov. Potrošniki imajo veliko različnih računov in pričakujejo, da si zapomnijo edinstveno geslo za vsakega. To ni praktična rešitev," je zatrdil Leddy. Dodal je, da je v današnjem internetu, kjer je spletna mesta mogoče enostavno klonirati, naloga varnostne industrije opremiti ljudi s pravimi orodji za preprečevanje kršitev računov.

FIDO Alliance, odprto industrijsko združenje, ustanovljeno za zmanjšanje odvisnosti od gesel, se ukvarja s tem vprašanjem že približno desetletje. Ustvaril je standard za preverjanje pristnosti FIDO, ki se ni mogel uveljaviti. V beli knjigi zavezništvo meni, da je končno identificiralo manjkajoči del uganke in tudi začrtalo strategijo za njegovo premagovanje.

Po navedbah zavezništva ima trenutni mehanizem za preverjanje pristnosti FIDO brez gesla inherentne težave z uporabnostjo, ki so mu preprečile, da bi dosegel široko uporabo.

"[Opazili smo] omejeno uporabo [v potrošniškem prostoru] zaradi zaznane neprijetnosti fizičnih varnostnih ključev (nakup, registracijo, prenašanje, obnovitev) in izzive, s katerimi se soočajo potrošniki pri overiteljih platforme (npr. ponovna vpis vsakega novega naprava; ni enostavnih načinov za obnovitev izgubljenih ali ukradenih naprav) kot drugi dejavnik,« je zapisal list.

Da bi odpravili težave, bela knjiga poziva k uporabi naših pametnih telefonov kot gostujočih avtentifikatorjev ali prenosnih varnostnih ključev.

»Uporabnikova naprava kot avtentikator za gostovanje je odlična uporabniška izkušnja in veliko bolj varna kot gesla na delno zaupanja vredni napravi, če je pravilno izvedena. Ker novi pametni telefoni izvorno podpirajo FIDO in so potrošniki le redko daleč od svojih telefonov, je to dobra možnost,« se strinja Leddy.

Pot naprej

Vendar pa bela knjiga nakazuje, da mora FIDO, da bi pametni telefoni postali uspešni kot prenosni varnostni ključi, zasnovati nemoten postopek za dodajanje ali preklapljanje med svojimi mobilnimi napravami.

Trdi, da če postopek za bistvene naloge, kot je nastavitev novega telefona ali preklop na a nova, ni enostavna, potem bodo ljudje verjetno zavrnili celotno idejo kot obstoj neprijetno. Da bi se temu izognili, dokument predlaga uvedbo nove tehnike, ki jo imenujejo poverilnice FIDO za več naprav ali "gesla".

"Verilnice 'gesla' za več naprav obravnavajo dolgoletno vprašanje o FIDO. Vprašanje je bilo, kako preiti na novo napravo, če sem v svojo staro napravo vpisal 50 poverilnic, specifičnih za domeno, in nato dobil novo napravo. Nihče ne želi iti skozi obnovitev računa za 50 različnih storitev za ponovno vezavo novih poverilnic FIDO,« je pojasnil Leddy.

FIDO trdi, da se bodo ključi za dostop do te situacije v celoti pomagali izogniti se tako, da bodo zagotovili, da nas, ko preklopimo z ene naprave na drugo, naše poverilnice FIDO že čakajo. Seveda je prispevek konceptualni in Leddy meni, da je tak mehanizem lažje predlagati kot izvajati.

"Bilo bi žalostno, če bi bile rešitve gesla specifične za prodajalca, tako da potrošnik ne more zamenjati med proizvajalci naprav ali celo heterogenim (MacBook in Android telefon) naborom naprav,« so opozorili Leddy.

Vendar je prepričan, da zavezništvo FIDO, ki šteje težkokategornike, kot so Apple, Meta, Google, PayPal, Wells Fargo, American Express in Bank of America med njenimi članicami bosta pripravili rešitve, ki niso le univerzalne, ampak tudi temeljito preverjene. napadi.

FIDO verjame, da bodo poverilnice FIDO za več naprav postale zadnji žebelj v krsto za gesla. "Z uvedbo teh novih zmogljivosti upamo, da bomo omogočili spletnim mestom in aplikacijam, da bodo ponudile možnost od konca do konca resnično brez gesla; gesla ali enkratna gesla (OTP) niso potrebna," so sporočili iz zavezništva.