ябълкаИ Google И Microsoft Те обявиха тази седмица, че скоро ще поддържат подход за удостоверяване, който избягва изцяло паролите и вместо това изисква от потребителите просто да отключват своите смартфони, за да влизат в уебсайтове или онлайн услуги. Експертите казват, че промените трябва да помогнат за преодоляването на много видове фишинг атаки и да облекчат общата тежест с пароли за интернет потребителите, но предупреждават, че истинското бъдеще без парола все още може да е далеч от повечето уебсайтове.
Технологичните гиганти са част от водено от индустрията усилие за замяна на пароли, които лесно се забравят, често се крадат от злонамерен софтуер и фишинг схеми или изтичат и се продават онлайн в резултат на пробиви на корпоративни данни.
Apple, Google и Microsoft са едни от най-активните участници в стандарта за влизане без парола, създаден от алианса FIDO („Fast Identity Online“) и Консорциум на World Wide Web (W3C), групите, които са работили със стотици технологични компании през последното десетилетие, за да разработят нов стандарт за влизане, който работи по същия начин в множество браузъри и операционни системи.
Според FIDO Alliance потребителите ще могат да влизат в уебсайтове чрез същата процедура, която правят няколко пъти всеки ден, за да отключат своето устройство – включително ПИН на устройството или биометрични данни като пръстов отпечатък или сканиране на лице.
„Този нов подход предпазва от фишинг и ще направи влизането радикално по-сигурно в сравнение с наследените многофакторни пароли и технологии като еднократни пароли, изпратени чрез SMS“, написа коалицията на 5 май.
Сампат ШринивасСъгласно новата система телефонът ви ще съхранява идентификационен номер на FIDO, наречен „парола“, който се използва за отваряне на акаунта ви онлайн, каза директорът по сигурността на Google за удостоверяване и президент на FIDO Alliance.
„Паролата прави влизането по-сигурно, тъй като се основава на криптография с публичен ключ и се вижда само за вашия онлайн акаунт, когато отключите телефона си“, пише Шринивас. „За да влезете в уебсайт на вашия компютър, ще ви трябва само телефонът близо до вас и просто ще трябва да го отключите, за да получите достъп до него. След като го направите, няма да имате нужда от телефона си отново и можете да влезете, след като отключите вашия компютър.“
като ZDNet БележкиApple, Google и Microsoft вече поддържат тези стандарти без парола (като „Вход с Google“), но потребителите трябва да влязат на всеки уебсайт, за да използват функцията без парола. Съгласно тази нова система потребителите ще могат автоматично да имат достъп до своите ключове за достъп на много от своите устройства – без да се налага да регистрират повторно всеки акаунт – и да използват мобилното си устройство, за да влязат в приложение или уебсайт на близко устройство.
Йоханес УлрихДийн търси Санс технологичен институтСъобщението нарича „далеч най-обещаващото усилие за решаване на предизвикателството за удостоверяване“.
„Най-важната част от този стандарт е, че няма да изисква от потребителите да купуват ново устройство, а вместо това могат да използват устройства, които вече притежават и знаят как да използват като удостоверители“, каза Улрих.
Стив Беловинпрофесор по компютърни науки в Колумбийския университет и ранния интернет Изследовател и пионерописа усилията без парола като „огромен напредък“ в удостоверяването, но каза, че ще отнеме твърде много време, за да настигнат много уебсайтове.
Един потенциално труден сценарий в новата система за удостоверяване без парола е какво се случва, когато някой загуби мобилното си устройство или телефонът му се счупи и не може да си спомни паролата за iCloud, казват Беловин и други.
„Притеснявам се за хора, които не могат да си купят допълнително устройство или не могат лесно да заменят счупено или откраднато устройство“, каза Беловин. „Притеснен съм относно възстановяването на забравена парола за акаунти в облак.“
Google казва Че дори и да загубите телефона си, „вашите ключове за достъп ще бъдат сигурно синхронизирани с новия ви телефон от резервното ви копие в облак, което ви позволява да продължите откъдето е спряло старото ви устройство.“
Apple и Microsoft също имат решения за архивиране в облак, които клиентите, използващи тези платформи, могат да използват за възстановяване от изгубено мобилно устройство. Но Беловин каза, че много зависи от това колко сигурни се управляват тези облачни системи.
„Колко лесно е да добавите публичен ключ на друго устройство към акаунт без разрешение?“ — попита Беловин. „Мисля, че техните протоколи правят това невъзможно, но други не са съгласни с това.“
Никълъс Уивърпреподавател в катедра „Компютърни науки“ в Калифорнийския университет, БърклиТой каза, че уебсайтовете все още трябва да имат някои механизми за възстановяване за сценария „Загубихте телефона и паролата си“, който той описа като „наистина труден проблем за безопасно изпълнение и наистина е една от най-големите слабости в настоящата ни система“.
„Ако забравите паролата си и загубите телефона си и успеете да си го върнете, това е голяма цел за нападателите“, каза Уивър в имейл. „Ако забравите паролата си и загубите телефона си и не можете, добре, сега сте загубили кода за оторизация, използван за влизане. Той трябва да е последният. Apple има инфраструктурата да го поддържа (iCloud ключодържател), но е не е ясно дали Google го прави.“
Въпреки това, каза той, общият подход на FIDO е чудесен инструмент за подобряване както на сигурността, така и на използваемостта.
„Това наистина е добра крачка напред и се радвам да видя това“, каза Уивър. „Използването на силната телефонна автентификация на собственика на телефона (ако имате прилична парола) е доста готино. И поне за iPhone, можете да направите това стабилно дори и при компромис с телефона, тъй като джобният сейф ще се справи с това и сигурната pocket не вярва на ОС хоста.“
Технологичните гиганти заявиха, че новите възможности без пароли ще бъдат активирани в платформите на Apple, Google и Microsoft „през следващата година“. Но експертите казаха, че вероятно ще отнеме още няколко години, докато по-малките уеб дестинации приемат технологията и напълно се откажат от паролите.
Последните изследвания показват, че твърде много хора все още използват повторно или повторно пароли (променяйки леко същата парола), което представлява риск от превземане на акаунт, когато тези идентификационни данни в крайна сметка бъдат разкрити при пробив на данни. а Докладвай През март на фирма за киберсигурност SpyCloud Той установи, че 64% от потребителите използват повторно пароли за множество акаунти, а 70% от идентификационните данни, които са били компрометирани при предишни нарушения, все още се използват.
Бял документ, наличен през март 2022 г. относно подхода FIDO тук (PDF). Има въпроси и отговори на него тук.
„Internet trailblazer. Travelaholic. Страстен евангелист в социалните медии. Защитник на телевизията.“
More Stories
Съобщава се, че Apple работи върху 90Hz Studio Display, iMac и iPad Air
Новото музикално приложение на Nintendo е клонинг на YouTube Music
2027 Pixel Tablet ‘3’ може да има втори USB-C порт