Ваш телефон незабаром може замінити багато ваших паролів – Krebs on Security

яблукоІ Google І Microsoft Цього тижня вони оголосили, що незабаром підтримають підхід до аутентифікації, який повністю уникає паролів, а замість цього вимагає від користувачів просто розблокувати свої смартфони, щоб увійти на веб-сайти або в онлайн-сервіси. Експерти кажуть, що зміни повинні допомогти подолати багато типів фішингових атак і полегшити загальний тягар паролів для користувачів Інтернету, але вони попереджають, що справжнє майбутнє без пароля може бути далеким від більшості веб-сайтів.

Фото: Blog.google

Технологічні гіганти є частиною галузевих зусиль із заміни паролів, які легко забуваються, часто викрадаються зловмисним програмним забезпеченням та фішинговими схемами або витікають та продаються в Інтернеті внаслідок порушення корпоративних даних.

Apple, Google і Microsoft є одними з найбільш активних учасників стандарту входу без пароля, створеного альянсом FIDO (“Fast Identity Online”) і Консорціум World Wide Web (W3C), групи, які працювали з сотнями технологічних компаній протягом останнього десятиліття над розробкою нового стандарту входу, який однаково працює в багатьох браузерах та операційних системах.

За даними FIDO Alliance, користувачі зможуть входити на веб-сайти за допомогою тієї ж процедури, яку вони роблять кілька разів на день, щоб розблокувати свій пристрій, включаючи PIN-код пристрою або біометричні дані, як-от відбиток пальця або сканування обличчя.

«Цей новий підхід захищає від фішингу та зробить вхід радикально більш безпечним у порівнянні зі застарілими багатофакторними паролями та технологіями, такими як одноразові паролі, які надсилаються через SMS», — написала коаліція 5 травня.

Сампат ШрінівасЗгідно з новою системою, ваш телефон буде зберігати облікові дані FIDO під назвою «ключ доступу», який використовується для відкриття вашого облікового запису в Інтернеті, сказав директор з аутентифікації безпеки Google і президент Альянсу FIDO.

READ  Майже п’ята частина співробітників Facebook зараз працює над VR та AR

«Ключ доступу робить вхід більш безпечним, оскільки він заснований на криптографії з відкритим ключем і доступний для вашого облікового запису в Інтернеті, лише коли ви розблокуєте свій телефон», – написав Срінівас. “Щоб увійти на веб-сайт на комп’ютері, вам знадобиться лише ваш телефон поруч із вами, і вам потрібно буде просто розблокувати його, щоб отримати до нього доступ. Після цього вам більше не знадобиться телефон, і ви зможете ввійти, коли розблокуєте ваш комп’ютер».

Подібно до ZDNet ПриміткиApple, Google і Microsoft вже підтримують ці стандарти без пароля (наприклад, «Увійти за допомогою Google»), але користувачам потрібно ввійти на кожному веб-сайті, щоб скористатися функцією без пароля. У рамках цієї нової системи користувачі зможуть автоматично отримувати доступ до своїх ключів доступу на багатьох своїх пристроях – без необхідності повторно реєструвати кожен обліковий запис – і використовувати свій мобільний пристрій для входу в додаток або веб-сайт на сусідньому пристрої.

Йоганнес УльріхДін шукає Технологічний інститут СансаУ повідомленні названо “на сьогоднішній день найбільш перспективною спробою вирішити проблему аутентифікації”.

«Найважливіша частина цього стандарту полягає в тому, що він не вимагатиме від користувачів купувати новий пристрій, але замість цього можуть використовувати пристрої, які вони вже мають і знають, як використовувати як аутентифікатори», – сказав Ульріх.

Стів Белловінпрофесор комп’ютерних наук Колумбійського університету та раннього Інтернету Дослідник і піонерописав спроби без пароля як «грандіозний прогрес» в аутентифікації, але сказав, що багатьом веб-сайтам знадобиться занадто багато часу, щоб наздогнати.

Один потенційно складний сценарій у новій системі аутентифікації без пароля — це те, що відбувається, коли хтось втрачає свій мобільний пристрій або його телефон зламається і не може згадати свій пароль iCloud, кажуть Бєловін та інші.

READ  11 найкращих пропозицій для спікерів Чорної п’ятниці все ще діють у 2021 році

«Мене турбують люди, які не можуть купити додатковий пристрій або не можуть легко замінити зламаний чи вкрадений пристрій», – сказав Бєловін. «Мене турбує відновлення забутого пароля для хмарних облікових записів».

Google Каже Навіть якщо ви втратите телефон, «ваші ключі доступу будуть надійно синхронізовані з новим телефоном із вашої хмарної резервної копії, що дозволить вам продовжити, де зупинився ваш старий пристрій».

Apple і Microsoft також мають хмарні рішення для резервного копіювання, які клієнти, які використовують ці платформи, можуть використовувати для відновлення з втраченого мобільного пристрою. Але Бєловін сказав, що багато залежить від того, наскільки безпечно керують цими хмарними системами.

“Наскільки легко додати відкритий ключ іншого пристрою до облікового запису без дозволу?” — запитав Бєловін. «Я думаю, що їхні протоколи унеможливлюють це, але інші з цим не згодні».

Микола ВіверВикладач кафедри інформатики ст Каліфорнійський університет, БеркліВін сказав, що веб-сайти все ще повинні мати деякі механізми відновлення для сценарію «Ви втратили телефон і пароль», який він назвав «справді складною проблемою для безпечного вирішення, і це справді одна з найбільших слабких сторін нашої поточної системи».

«Якщо ви забудете свій пароль, втратите телефон і зможете його повернути, це велика мішень для зловмисників», — сказав Вівер у електронному листі. “Якщо ви забули свій пароль і втратили телефон, але ви не можете, то тепер ви втратили код авторизації, який використовувався для входу. Він повинен бути останнім. Apple має інфраструктуру для його підтримки (збірка ключів iCloud), але це не зрозуміло, чи це робить Google».

Проте, за його словами, загальний підхід FIDO був чудовим інструментом для підвищення безпеки та зручності використання.

READ  Подейкують: Повідомляється, що кілька партій зацікавлені у придбанні Square Enix

“Це дійсно хороший крок вперед, і я радий це бачити”, – сказав Вівер. “Використовувати надійну автентифікацію телефону власника телефону (якщо у вас є пристойний пароль) дуже круто. І принаймні для iPhone ви можете зробити це надійним навіть для компромісу телефону, оскільки це кишеньковий сейф, який впорається з цим і безпечним pocket не довіряє ОС хосту.

Технологічні гіганти заявили, що нові можливості без пароля будуть доступні на платформах Apple, Google і Microsoft «протягом наступного року». Але експерти стверджують, що, ймовірно, знадобиться ще кілька років, щоб невеликі веб-сайти впровадили цю технологію та повністю відмовилися від паролів.

Останні дослідження показують, що занадто багато людей все ще повторно або повторно використовують паролі (злегка змінюючи той самий пароль), створюючи ризик захоплення облікового запису, коли ці облікові дані в кінцевому підсумку виявляються в результаті порушення даних. а Звіт У березні компанії з кібербезпеки SpyCloud Було виявлено, що 64% ​​користувачів повторно використовують паролі для кількох облікових записів, а 70% облікових даних, які були скомпрометовані під час попередніх порушень, все ще використовуються.

Білий документ про підхід FIDO, доступний у березні 2022 року тут (PDF). На нього є запитання та відповіді тут.

You May Also Like

About the Author: Philbert Page

"Загальний ніндзя в соціальних мережах. Інтроверт. Творець. Шанувальник телебачення. Підприємець, що отримує нагороди. Веб-ботанік. Сертифікований читач"

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *