Key Takeaways
- FIDO Alijansa je objavila whitepaper analizirajući nedostatke koji sprečavaju da njegov standard autentifikacije bez lozinke postane glavni.
- Mehanizmi autentifikacije bez lozinke nisu uspjeli zamijeniti lozinke jer su nezgodne, sugerira se u bijeloj knjizi.
-
Predlaže upotrebu pametnih telefona kao roaming sigurnosnih ključeva.
Jake lozinke su nezgodne za kreiranje i upravljanje, ali dodavanje dodatnih koraka i uređaja u proces autentifikacije je još veća glavobolja.
To je zaključak bele knjige Fast ID Online Alliance (FIDO), koja krivi probleme upotrebljivosti za sprečavanje mehanizama autentifikacije bez lozinke da postanu mainstream. Međutim, alijansa je došla do rješenja da riješi problem jednom za svagda i učini da FIDO standard autentifikacije bude sveprisutan kao i lozinke.
"FIDO je nadmašio sva početna očekivanja", rekao je Bill Leddy, potpredsjednik proizvoda u LoginID-u, za Lifewire putem e-pošte nakon što je pregledao bijelu knjigu. "[To] je zaista blizu rješavanja svih [problema s autentifikacijom], ali treba još malo."
Otkazivanje lozinki
Leddy vjeruje da su lozinke nadživjele svoju upotrebu. On krivi industriju sigurnosti da iznevjerava ljude predugo gurajući slabe opcije.
"Lozinke su sada stare 60 godina, ali ostaju primarna opcija autentifikacije za većinu naloga. Potrošači imaju mnogo različitih naloga i očekuje se da zapamte jedinstvenu lozinku za svaki. To nije praktično rješenje ", ustvrdio je Leddy. On je dodao da je na današnjem internetu, gdje se web stranice mogu lako klonirati, posao sigurnosne industrije da opremi ljude pravim alatima za sprječavanje provale računa..
FIDO Alijansa, otvoreno industrijsko udruženje, stvoreno da smanji oslanjanje na lozinke, radi na ovom pitanju već oko deceniju. Stvorio je FIDO standard za autentifikaciju, koji nije bio u stanju steći vuču. U beloj knjizi, alijansa misli da je konačno identifikovala deo slagalice koji nedostaje i takođe iznela strategiju za njegovo prevazilaženje.
Prema savezu, FIDO-ov trenutni mehanizam autentikacije bez lozinke ima inherentne probleme upotrebljivosti koji su ga spriječili da postigne široku primjenu.
"[Mi] smo primijetili ograničeno usvajanje [u potrošačkom prostoru], zbog uočene neugodnosti fizičkih sigurnosnih ključeva (kupovina, registracija, nošenje, oporavak) i izazova s kojima se potrošači suočavaju sa autentifikatorima platforme (npr.npr. ponovno upisivanje svakog novog uređaja; nema lakih načina za oporavak od izgubljenih ili ukradenih uređaja) kao drugi faktor, " napominje list.
Da bismo prevazišli probleme, bela knjiga poziva na upotrebu naših pametnih telefona kao autentifikatora u romingu ili prenosivih sigurnosnih ključeva.
"Korisnički uređaj kao roaming autentifikator je odlično korisničko iskustvo i mnogo je sigurniji od lozinki na polupouzdanom uređaju ako se radi ispravno. Budući da novi pametni telefoni izvorno podržavaju FIDO i korisnici su rijetko daleko od svojih telefona, je dobra opcija, " složio se Leddy.
Put naprijed
Međutim, whitepaper sugerira da, kako bi pametni telefoni postali uspješni kao prenosivi sigurnosni ključevi, FIDO mora osmisliti nesmetan proces za ljude da dodaju ili prelaze između svojih mobilnih uređaja.
U njemu se tvrdi da ako proces za bitne zadatke, kao što je postavljanje novog telefona ili prelazak na novi, nije jednostavan, onda će ljudi vjerovatno odbaciti cijelu ideju kao nezgodnu. Da bi se to izbjeglo, rad predlaže uvođenje nove tehnike koju nazivaju FIDO vjerodajnice za više uređaja ili "passkeys".
"Akreditivi 'passkey' za više uređaja rješavaju dugotrajno pitanje oko FIDO-a. Pitanje je bilo kako preći na novi uređaj ako sam upisao 50 akreditiva specifičnih za domenu na svom starom uređaju, a zatim dobio novi Niko ne želi da prođe kroz oporavak naloga za 50 različitih servisa da ponovo poveže nove FIDO akreditive, " objasnio je Leddy.
FIDO tvrdi da će pristupni ključevi pomoći da se izbjegne ova situacija u potpunosti tako što će osigurati da kada prelazimo s jednog uređaja na drugi, naši FIDO akreditivi već čekaju na nas. Naravno, rad je konceptualan i Leddy misli da je takav mehanizam lakše predložiti nego implementirati.
"Bilo bi nesretno kada bi rješenja za pristupne šifre bila specifična za dobavljača, tako da potrošač ne može prelaziti između proizvođača uređaja ili čak heterogenog (MacBook i Android telefon) skupa uređaja", upozorio je Leddy.
Međutim, on je uvjeren da će FIDO alijansa, koja među svojim članovima broji teškaše kao što su Apple, Meta, Google, PayPal, Wells Fargo, American Express i Bank of America, doći do rješenja koja su t samo univerzalan, ali i temeljno ispitan protiv napada.
FIDO vjeruje da će FIDO vjerodajnice za više uređaja postati posljednji ekser u lijesu za lozinke. "Uvođenjem ovih novih mogućnosti, nadamo se da ćemo osnažiti web stranice i aplikacije da ponude end-to-end opciju istinski bez lozinke; nisu potrebne lozinke ili jednokratne šifre (OTP)", rekao je savez.
