āboluUn Google Un Microsoft Viņi šonedēļ paziņoja, ka drīzumā atbalstīs autentifikācijas pieeju, kas pilnībā izvairās no parolēm, un tā vietā lietotājiem ir vienkārši jāatbloķē viedtālruņi, lai pierakstītos vietnēs vai tiešsaistes pakalpojumos. Eksperti norāda, ka izmaiņām vajadzētu palīdzēt uzveikt daudzu veidu pikšķerēšanas uzbrukumus un atvieglot kopējo paroļu slogu interneta lietotājiem, taču viņi brīdina, ka patiesā nākotne bez paroles joprojām var būt tālu no vairuma vietņu.
Foto: Blog.google
Tehnoloģiju giganti ir daļa no nozares virzītiem centieniem aizstāt paroles, kuras ir viegli aizmirstas, bieži nozagtas ar ļaunprātīgu programmatūru un pikšķerēšanas shēmām vai nopludinātas un pārdotas tiešsaistē korporatīvo datu pārkāpumu dēļ.
Apple, Google un Microsoft ir vieni no aktīvākajiem FIDO (“Fast Identity Online”) alianses izveidotā bezparoles pieteikšanās standarta atbalstītājiem un Pasaules tīmekļa konsorcijs (W3C), grupas, kas pēdējo desmit gadu laikā ir sadarbojušās ar simtiem tehnoloģiju uzņēmumu, lai izstrādātu jaunu pieteikšanās standartu, kas darbojas vienādi vairākās pārlūkprogrammās un operētājsistēmās.
Saskaņā ar FIDO aliansi lietotāji varēs pieteikties vietnēs, izmantojot to pašu procedūru, ko viņi veic vairākas reizes katru dienu, lai atbloķētu savu ierīci, tostarp ierīces PIN vai biometriskos datus, piemēram, pirkstu nospiedumu vai sejas skenēšanu.
“Šī jaunā pieeja aizsargā pret pikšķerēšanu un padarīs pieteikšanos daudz drošāku salīdzinājumā ar mantotajām daudzfaktoru parolēm un tehnoloģijām, piemēram, vienreizējām piekļuves kodiem, kas tiek nosūtīti, izmantojot SMS,” koalīcija rakstīja 5. maijā.
Sampath SrinivasSaskaņā ar jauno sistēmu jūsu tālrunī tiks saglabāti FIDO akreditācijas dati, ko sauc par “passkey”, kas tiek izmantota jūsu tiešsaistes konta atvēršanai, sacīja Google drošības autentifikācijas direktors un FIDO alianses vadītājs.
“Paroles atslēga padara pieteikšanos drošāku, jo tā ir balstīta uz publiskās atslēgas kriptogrāfiju un ir redzama tikai jūsu tiešsaistes kontam, kad atbloķējat tālruni,” rakstīja Srinivas. “Lai pieteiktos vietnē savā datorā, tālrunis būs nepieciešams tikai jūsu tuvumā, un jums tas vienkārši būs jāatbloķē, lai piekļūtu tam. Kad tas būs izdarīts, tālrunis vairs nebūs vajadzīgs, un jūs varat pieteikties, tiklīdz būsiet atbloķējis jūsu dators.”
Patīk ZDNet PiezīmesApple, Google un Microsoft jau atbalsta šos bezparoles standartus (piemēram, “Pierakstīties ar Google”), taču lietotājiem ir jāpierakstās katrā vietnē, lai izmantotu bezparoles funkcionalitāti. Saskaņā ar šo jauno sistēmu lietotāji varēs automātiski piekļūt savām piekļuves atslēgām daudzās savās ierīcēs — bez nepieciešamības atkārtoti reģistrēt katru kontu — un izmantot savu mobilo ierīci, lai pieteiktos lietotnē vai vietnē tuvējā ierīcē.
Johanness UlrihsDīns meklē Sans Tehnoloģiju institūtsPaziņojumā tika nosaukts “pārliecinoši daudzsološākais mēģinājums atrisināt autentifikācijas izaicinājumu”.
“Šī standarta vissvarīgākā daļa ir tāda, ka lietotājiem nebūs jāiegādājas jauna ierīce, bet gan tie var izmantot ierīces, kas viņiem jau pieder un kuras zina, kā tās izmantot kā autentifikatorus,” sacīja Ulrihs.
Stīvs BellovinsKolumbijas universitātes datorzinātņu un agrīnā interneta profesors Pētnieks un pionierisaprakstīja centienus bez paroles kā “milzīgu progresu” autentifikācijas jomā, taču norādīja, ka paies pārāk ilgs laiks, līdz daudzas vietnes tiks panāktas.
Viens no potenciāli viltīgajiem scenārijiem jaunajā bezparoles autentifikācijas sistēmā ir tas, kas notiek, ja kāds pazaudē savu mobilo ierīci vai viņa tālrunis sabojājas un nevar atcerēties savu iCloud paroli, saka Belovins un citi.
“Es uztraucos par cilvēkiem, kuri nevar iegādāties papildu ierīci vai nevar viegli nomainīt salauztu vai nozagtu ierīci,” sacīja Belovins. “Es uztraucos par aizmirstās paroles atkopšanu mākoņa kontiem.”
Google Saka Pat ja pazaudēsit tālruni, “jūsu piekļuves atslēgas tiks droši sinhronizētas ar jauno tālruni no mākoņa dublējuma, ļaujot jums turpināt darbu no vietas, kur tika pārtraukta vecā ierīce”.
Apple un Microsoft ir arī mākoņa dublēšanas risinājumi, ko klienti, kas izmanto šīs platformas, var izmantot, lai atgūtu no pazaudētas mobilās ierīces. Bet Belovins teica, ka daudz kas ir atkarīgs no tā, cik drošas šīs mākoņu sistēmas tiek pārvaldītas.
“Cik viegli ir pievienot kontam citas ierīces publisko atslēgu bez atļaujas?” — Belovins jautāja. “Es domāju, ka viņu protokoli to padara neiespējamu, bet citi tam nepiekrīt.”
Nikolass VēversDatorzinātņu katedras lektore plkst Kalifornijas Universitāte, BērklijaViņš sacīja, ka vietnēs joprojām vajadzētu būt dažiem atkopšanas mehānismiem scenārijam “Jūs pazaudējāt tālruni un paroli”, ko viņš raksturoja kā “ļoti grūtu problēmu, kas jāveic droši, un tā patiešām ir viena no lielākajām mūsu pašreizējās sistēmas nepilnībām”.
“Ja aizmirstat savu paroli un pazaudējat tālruni un izdodas to atgūt, tas ir liels uzbrucēju mērķis,” e-pastā sacīja Vēvers. “Ja aizmirstat savu paroli un pazaudējat tālruni un nevarat, tad tagad esat pazaudējis autorizācijas kodu, ko izmantojāt, lai pieteiktos. Tam vajadzētu būt pēdējam. Apple ir infrastruktūra, kas to atbalsta (iCloud atslēgu piekariņš), taču tā ir nav skaidrs, vai Google to dara.
Tomēr viņš teica, ka FIDO vispārējā pieeja bija lielisks līdzeklis gan drošības, gan lietojamības uzlabošanai.
“Tas tiešām ir labs solis uz priekšu, un es priecājos to redzēt,” sacīja Vēvers. “Izmantot tālruņa īpašnieka spēcīgo tālruņa autentifikāciju (ja jums ir pienācīgs piekļuves kods) ir diezgan forši. Un vismaz iPhone gadījumā jūs varat to padarīt izturīgu pat tālruņa kompromisa gadījumā, jo tas ir kabatas seifs, kas to apstrādās un drošs. kabata neuzticas saimniekdatoram.
Tehnoloģiju giganti paziņoja, ka jaunās bezparoles iespējas tiks iespējotas Apple, Google un Microsoft platformās “nākamā gada laikā”. Taču eksperti teica, ka, visticamāk, būs nepieciešami vēl vairāki gadi, līdz mazāki tīmekļa galamērķi izmantos šo tehnoloģiju un pilnībā atteiksies no parolēm.
Nesenie pētījumi liecina, ka pārāk daudz cilvēku joprojām atkārtoti izmanto vai atkārtoti izmanto paroles (nedaudz mainot to pašu paroli), radot konta pārņemšanas risku, kad šie akreditācijas dati galu galā tiek atklāti datu pārkāpuma rezultātā. a Ziņot Kiberdrošības uzņēmuma martā SpyCloud Tika konstatēts, ka 64 procenti lietotāju atkārtoti izmanto paroles vairākiem kontiem, un 70 procenti akreditācijas datu, kas tika apdraudēti iepriekšējos pārkāpumos, joprojām tiek izmantoti.
2022. gada martā pieejams balts dokuments par FIDO pieeju šeit (PDF). Uz to ir jautājumi un atbildes šeit.
