Kluczowe dania na wynos
- FiDO Alliance opublikowało białą księgę analizującą niedociągnięcia, które uniemożliwiają jej standard uwierzytelniania bez hasła, aby stał się głównym nurtem.
- Mechanizmy uwierzytelniania bez haseł nie zastąpiły haseł, ponieważ są niewygodne, sugeruje biała księga.
-
Proponuje użycie smartfonów jako kluczy bezpieczeństwa roamingu.
Silne hasła są niewygodne do tworzenia i zarządzania, ale dodanie dodatkowych kroków i urządzeń do procesu uwierzytelniania to jeszcze większy problem.
Tak wygląda konkluzja oficjalnej księgi przygotowanej przez Fast ID Online Alliance (FIDO), która obwinia problemy z użytecznością za zapobieganie upowszechnianiu się mechanizmów uwierzytelniania bez hasła. Jednak sojusz wymyślił rozwiązanie, które raz na zawsze rozwiąże problem i sprawi, że standard uwierzytelniania FIDO będzie tak wszechobecny jak hasła.
„FIDO przekroczyło wszelkie początkowe oczekiwania”, powiedział w rozmowie z Lifewire Bill Leddy, wiceprezes ds. produktu w firmie LoginID, po zapoznaniu się z oficjalnym dokumentem. "[To] jest naprawdę blisko rozwiązania wszystkich [problemów] z uwierzytelnianiem, ale potrzebuje trochę więcej."
Anulowanie haseł
Leddy uważa, że hasła przeżyły ich użycie. Obwinia branżę bezpieczeństwa za to, że ludzie zawiedli przez zbyt długie forsowanie słabych opcji.
Hasła mają teraz 60 lat, ale pozostają podstawową opcją uwierzytelniania dla większości kont. Konsumenci mają wiele różnych kont i oczekuje się, że będą pamiętać unikalne hasło dla każdego z nich. To nie jest praktyczne rozwiązanie – stwierdził Leddy. Dodał, że w dzisiejszym Internecie, w którym strony internetowe można łatwo sklonować, zadaniem branży zabezpieczeń jest wyposażanie ludzi w odpowiednie narzędzia do zapobiegania naruszeniom kont.
FiDO Alliance, otwarte stowarzyszenie branżowe, utworzone w celu zmniejszenia uzależnienia od haseł, pracuje nad tym problemem od około dziesięciu lat. Stworzyła standard uwierzytelniania FIDO, który nie był w stanie zyskać na popularności. W białej księdze sojusz uważa, że w końcu zidentyfikował brakujący element układanki, a także nakreślił strategię jego przezwyciężenia.
Według sojuszu, obecny mechanizm uwierzytelniania bezhasłowego FIDO ma nieodłączne problemy z użytecznością, które uniemożliwiły jego szerokie zastosowanie.
"[Zaobserwowaliśmy] ograniczoną popularność [w przestrzeni konsumenckiej] z powodu postrzeganej niedogodności fizycznych kluczy bezpieczeństwa (kupowanie, rejestrowanie, przenoszenie, odzyskiwanie) oraz wyzwań, przed jakimi stają konsumenci z uwierzytelniającymi platformami (np.g. konieczności ponownego rejestrowania każdego nowego urządzenia; nie ma łatwych sposobów na odzyskanie utraconych lub skradzionych urządzeń) jako drugi czynnik”, zauważył artykuł.
Aby rozwiązać te problemy, w białej księdze wzywa się do używania naszych smartfonów jako mobilnych uwierzytelniaczy lub przenośnych kluczy bezpieczeństwa.
Urządzenie użytkownika jako uwierzytelnianie w roamingu zapewnia wspaniałe wrażenia użytkownika i jest znacznie bezpieczniejsze niż hasła na częściowo zaufanym urządzeniu, jeśli jest zrobione poprawnie. Ponieważ nowe smartfony natywnie obsługują FIDO, a konsumenci rzadko są daleko od swoich telefonów, to dobra opcja”, zgodził się Leddy.
Droga naprzód
Jednak biała księga sugeruje, że aby smartfony odniosły sukces jako przenośne klucze bezpieczeństwa, FIDO musi opracować płynny proces dodawania urządzeń mobilnych lub przełączania się między nimi.
To argumentuje, że jeśli proces wykonywania podstawowych zadań, takich jak konfiguracja nowego telefonu lub przejście na nowy, nie jest prosty, ludzie prawdopodobnie odrzucą cały pomysł jako niewygodny. Aby tego uniknąć, w artykule zaproponowano wprowadzenie nowej techniki, którą nazywają poświadczeniami FIDO na wiele urządzeń lub „kluczami dostępu”.
„Poświadczenia „klucza” dla wielu urządzeń odpowiadają na od dawna zadawane pytanie dotyczące FIDO. Pytanie brzmiało: jak przejść na nowe urządzenie, jeśli zarejestrowałem 50 poświadczeń specyficznych dla domeny na moim starym urządzeniu, a następnie otrzymałem nowe Nikt nie chce przechodzić przez odzyskiwanie konta dla 50 różnych usług, aby ponownie powiązać nowe poświadczenia FIDO”- wyjaśnił Leddy.
FIDO zapewnia, że klucze dostępu pomogą całkowicie uniknąć tej sytuacji, zapewniając, że gdy przełączamy się z jednego urządzenia na drugie, nasze poświadczenia FIDO już na nas czekają. Oczywiście artykuł ma charakter koncepcyjny, a Leddy uważa, że taki mechanizm łatwiej jest zaproponować niż wdrożyć.
"Niefortunne byłoby, gdyby rozwiązania z kluczami dostępu były specyficzne dla dostawcy, tak że konsument nie mógł przełączać się między producentami urządzeń lub nawet heterogenicznym zestawem urządzeń (MacBook i telefon z Androidem) ", ostrzegł Leddy.
Jest jednak przekonany, że sojusz FIDO, do którego należą takie firmy, jak Apple, Meta, Google, PayPal, Wells Fargo, American Express i Bank of America, opracuje rozwiązania, które t tylko uniwersalny, ale także dokładnie sprawdzony pod kątem ataków.
FIDO wierzy, że dane uwierzytelniające FIDO na wiele urządzeń staną się ostatnim gwoździem do trumny haseł. „Wprowadzając te nowe funkcje, mamy nadzieję, że strony internetowe i aplikacje będą oferować kompleksową opcję bez hasła; nie są wymagane hasła ani jednorazowe kody dostępu (OTP)” - powiedział sojusz.
