obuolysIr Google Ir Microsoft Šią savaitę jie paskelbė, kad netrukus palaikys autentifikavimo metodą, kuris visiškai išvengs slaptažodžių, o vietoj to reikalauja, kad vartotojai tiesiog atrakintų savo išmaniuosius telefonus, kad galėtų prisijungti prie svetainių ar internetinių paslaugų. Ekspertai teigia, kad pakeitimai turėtų padėti nugalėti daugelio rūšių sukčiavimo atakas ir palengvinti bendrą interneto vartotojų slaptažodžių naštą, tačiau jie įspėja, kad tikroji ateitis be slaptažodžio vis dar gali būti toli nuo daugelio svetainių.

Nuotrauka: Blog.google

Technologijų gigantai yra dalis pramonės vadovaujamų pastangų pakeisti slaptažodžius, kurie lengvai pamirštami, dažnai pavagiami dėl kenkėjiškų programų ir sukčiavimo schemų arba nutekinami ir parduodami internete po įmonių duomenų pažeidimų.

„Apple“, „Google“ ir „Microsoft“ yra vieni iš aktyviausių FIDO („Fast Identity Online“) aljanso sukurto prisijungimo be slaptažodžio standarto kūrėjų. World Wide Web konsorciumas (W3C), grupės, kurios per pastarąjį dešimtmetį dirbo su šimtais technologijų įmonių, kad sukurtų naują prisijungimo standartą, kuris veiktų vienodai keliose naršyklėse ir operacinėse sistemose.

Pasak FIDO aljanso, vartotojai galės prisijungti prie svetainių taikydami tą pačią procedūrą, kurią atlieka kelis kartus per dieną, kad atrakintų savo įrenginį, įskaitant įrenginio PIN kodą arba biometrinius duomenis, pvz., pirštų atspaudų ar veido nuskaitymą.

„Šis naujas metodas apsaugo nuo sukčiavimo ir padarys prisijungimą žymiai saugesnį, palyginti su senais daugiafaktoriais slaptažodžiais ir technologijomis, tokiomis kaip vienkartiniai slaptažodžiai, siunčiami SMS žinutėmis“, – rašė koalicija gegužės 5 d.

Sampath SrinivasPagal naująją sistemą jūsų telefone bus saugomi FIDO kredencialai, vadinami „slaptuoju raktu“, kuris naudojamas jūsų paskyrai atidaryti internete, sakė „Google“ saugumo autentifikavimo direktorius ir FIDO aljanso prezidentas.

„Slaptažodžio raktas daro prisijungimą saugesnį, nes jis pagrįstas viešojo rakto kriptografija ir matomas tik jūsų internetinėje paskyroje, kai atrakinate telefoną“, – rašė Srinivas. „Kad prisijungtumėte prie svetainės kompiuteryje, jums reikės tik telefono šalia jūsų ir tiesiog turėsite jį atrakinti, kad jį pasiektumėte. Kai tai padarysite, jums nebereikės telefono, o atrakinę galėsite prisijungti savo kompiuterį“.

Kaip ZDNet Pastabos„Apple“, „Google“ ir „Microsoft“ jau palaiko šiuos beslaptažodžio standartus (pvz., „Prisijungti naudojant Google“), tačiau vartotojai turi prisijungti prie kiekvienos svetainės, kad galėtų naudotis beslaptažodžio funkcija. Pagal šią naują sistemą vartotojai galės automatiškai pasiekti savo prieigos raktus daugelyje savo įrenginių – nereikės iš naujo registruoti kiekvienos paskyros – ir naudoti savo mobilųjį įrenginį, kad prisijungtų prie programos ar svetainės netoliese esančiame įrenginyje.

Johanesas UlrichasDekanas ieško Sanso technologijos institutasPranešime buvo pavadinta „neabejotinai perspektyviausia pastanga išspręsti autentifikavimo iššūkį“.

„Svarbiausia šio standarto dalis yra ta, kad naudotojams nereikės įsigyti naujo įrenginio, o gali naudoti įrenginius, kuriuos jie jau turi ir žino, kaip juos naudoti kaip autentifikavimo priemones“, – sakė Ulrichas.

Steve’as BellovinasKolumbijos universiteto kompiuterių mokslų ir ankstyvojo interneto profesorius Tyrėjas ir pradininkasapibūdino pastangas be slaptažodžio kaip „didžiulį pažangą“ autentifikavimo srityje, tačiau teigė, kad prireiks per ilgai, kol daugelis svetainių pasivys.

Vienas potencialiai sudėtingas scenarijus naujojoje be slaptažodžio autentifikavimo sistemoje yra tai, kas nutinka, kai kas nors pameta savo mobilųjį įrenginį arba sugenda telefonas ir neatsimena „iCloud“ slaptažodžio, sako Belovin ir kiti.

„Aš nerimauju dėl žmonių, kurie negali nusipirkti papildomo įrenginio arba negali lengvai pakeisti sugedusio ar pavogto įrenginio“, – sakė Belovin. „Esu susirūpinęs dėl pamiršto debesies paskyrų slaptažodžio atkūrimo.

Google Sako Net jei prarasite telefoną, „slaptažodžiai bus saugiai sinchronizuojami su naujuoju telefonu iš debesies atsarginės kopijos, todėl galėsite tęsti ten, kur baigėte naudoti senąjį įrenginį“.

„Apple“ ir „Microsoft“ taip pat turi debesų atsarginių kopijų kūrimo sprendimus, kuriuos klientai, naudojantys šias platformas, gali naudoti norėdami atkurti prarastą mobilųjį įrenginį. Tačiau Belovinas sakė, kad daug kas priklauso nuo to, kaip saugiai valdomos šios debesų sistemos.

„Ar lengva pridėti kito įrenginio viešąjį raktą prie paskyros be leidimo? – paklausė Belovinas. „Manau, kad pagal jų protokolus tai neįmanoma, bet kiti su tuo nesutinka.

Nikolajus WeaverisInformatikos katedros dėstytojas Kalifornijos universitetas, BerklisJis sakė, kad svetainėse vis tiek turėtų būti tam tikrų atkūrimo mechanizmų, skirtų scenarijui „Pametėte telefoną ir slaptažodį“, kurį jis apibūdino kaip „labai sudėtingą saugiai išspręsti problemą ir iš tikrųjų tai yra vienas didžiausių dabartinės sistemos trūkumų“.

„Jei pamiršite slaptažodį, pamesite telefoną ir pavyks jį susigrąžinti, tai yra didelis užpuolikų taikinys“, – elektroniniame laiške sakė Weaveris. „Jei pamiršote slaptažodį, pametate telefoną ir negalite, dabar pametėte prisijungimui naudotą autorizacijos kodą. Jis turėtų būti paskutinis. „Apple“ turi infrastruktūrą, kuri jį palaiko („iCloud“ raktų pakabukas), bet tai yra neaišku, ar tai daro „Google“.

Tačiau jis sakė, kad bendras FIDO požiūris buvo puiki priemonė saugumui ir patogumui gerinti.

„Tai tikrai geras žingsnis į priekį, ir aš džiaugiuosi tai matydamas“, – sakė Weaveris. „Panaudoti telefono savininko tvirtą telefono autentifikavimo funkciją (jei turite tinkamą prieigos kodą) yra gana šaunu. Ir bent jau iPhone atveju galite padaryti tai tvirtą, net jei telefonas bus kompromisas, nes tai yra kišeninis seifas, kuris sutvarkys šį ir saugų kodą. kišenė nepasitiki pagrindine OS.

Technologijų milžinai teigė, kad naujos beslaptažodžio galimybės bus įjungtos „Apple“, „Google“ ir „Microsoft“ platformose „kitais metais“. Tačiau ekspertai teigė, kad greičiausiai prireiks dar kelerių metų, kol mažesnės interneto svetainės pritaikys šią technologiją ir visiškai atsisakys slaptažodžių.

Naujausi tyrimai rodo, kad per daug žmonių vis dar pakartotinai naudoja arba pakartotinai naudoja slaptažodžius (šiek tiek pakeičia tą patį slaptažodį), todėl kyla paskyros perėmimo rizika, kai tie kredencialai galiausiai bus atskleisti dėl duomenų pažeidimo. a Pranešimas Kibernetinio saugumo įmonės kovo mėnesį SpyCloud Nustatyta, kad 64 procentai vartotojų pakartotinai naudoja kelių paskyrų slaptažodžius, o 70 procentų kredencialų, kurie buvo pažeisti dėl ankstesnių pažeidimų, vis dar naudojami.

2022 m. kovo mėn. paskelbtas baltas dokumentas apie FIDO metodą čia (PDF). Yra klausimų ir atsakymų į jį čia.