Kľúčové poznatky
- Aliancia FIDO zverejnila bielu knihu, v ktorej analyzuje nedostatky, ktoré bránia tomu, aby sa jej štandard autentifikácie bez hesla stal hlavným prúdom.
- Bezheslové autentifikačné mechanizmy zlyhali pri nahradení hesiel, pretože sú nepohodlné, naznačuje whitepaper.
-
Navrhuje používanie smartfónov ako bezpečnostných kľúčov pri roamingu.
Vytváranie a správa silných hesiel je nepohodlné, ale pridávanie ďalších krokov a zariadení do procesu overovania je ešte väčší problém.
To je záver whitepaperu Fast ID Online Alliance (FIDO), ktorý obviňuje problémy s použiteľnosťou za to, že bránia tomu, aby sa mechanizmy autentifikácie bez hesla stali hlavným prúdom. Aliancia však prišla s riešením, ako tento problém raz a navždy vyriešiť a urobiť štandard autentifikácie FIDO rovnako všadeprítomný ako heslá.
"FIDO prekonalo všetky počiatočné očakávania," povedal Bill Leddy, viceprezident pre produkt v LoginID, Lifewire e-mailom po prečítaní bielej knihy. „[Je] je naozaj blízko k vyriešeniu všetkých [problémov] s autentifikáciou, ale potrebuje trochu viac.“
Zrušenie hesiel
Leddy verí, že heslá prežili svoje používanie. Obviňuje bezpečnostný priemysel zo zlyhania ľudí tým, že príliš dlho presadzuje slabé možnosti.
"Heslá majú teraz 60 rokov, no pre väčšinu účtov zostávajú primárnou možnosťou overenia. Spotrebitelia majú veľa rôznych účtov a očakáva sa, že si pre každý zapamätajú jedinečné heslo. To nie je praktické riešenie, " tvrdil Leddy. Dodal, že v dnešnom internete, kde sa dajú webové stránky ľahko klonovať, je úlohou bezpečnostného priemyslu vybaviť ľudí tými správnymi nástrojmi, aby zabránili narušeniu účtu.
Aliancia FIDO, otvorená priemyselná asociácia, vytvorená s cieľom znížiť spoliehanie sa na heslá, pracuje na tomto probléme už asi desaťročie. Vytvorila autentifikačný štandard FIDO, ktorý sa nedokázal presadiť. V bielej knihe si aliancia myslí, že konečne identifikovala chýbajúci kúsok skladačky a tiež načrtla stratégiu, ako ho prekonať.
Podľa aliancie má súčasný mechanizmus autentifikácie FIDO bez hesla vlastné problémy s použiteľnosťou, ktoré mu bránia dosiahnuť široké prijatie.
"[Všimli sme si obmedzené prijatie [v spotrebiteľskom priestore] z dôvodu vnímania nepohodlia fyzických bezpečnostných kľúčov (nákup, registrácia, nosenie, obnovenie) a problémov, ktorým spotrebitelia čelia pri overovaní platforiem (napr.napríklad nutnosť opätovnej registrácie každého nového zariadenia; nie sú jednoduché spôsoby, ako obnoviť zo stratených alebo ukradnutých zariadení) ako druhý faktor,“uvádza sa v novinách.
Na prekonanie týchto problémov sa v bielej knihe vyzýva na používanie našich smartfónov ako roamingových autentifikátorov alebo prenosných bezpečnostných kľúčov.
„Zariadenie používateľa ako roamingový autentifikátor predstavuje skvelú používateľskú skúsenosť a je oveľa bezpečnejšie ako heslá na polodôveryhodných zariadeniach, ak sa to robí správne. Keďže nové smartfóny natívne podporujú FIDO a spotrebitelia sú len zriedka ďaleko od svojich telefónov, je dobrá voľba,“súhlasil Leddy.
Cesta vpred
Biela kniha však naznačuje, že na to, aby sa smartfóny stali úspešnými ako prenosné bezpečnostné kľúče, musí FIDO navrhnúť hladký proces, aby ľudia mohli pridávať svoje mobilné zariadenia alebo medzi nimi prepínať.
Tvrdí, že ak proces základných úloh, ako je nastavenie nového telefónu alebo prechod na nový, nie je jednoduchý, ľudia pravdepodobne celý nápad odmietnu ako nepohodlný. Aby sa tomu zabránilo, dokument navrhuje zavedenie novej techniky, ktorú nazývajú poverenia FIDO pre viacero zariadení alebo „prístupové kľúče“.
Poverenia „prístupového kľúča“pre viacero zariadení riešia dlhodobú otázku týkajúcu sa FIDO. Otázka znela, ako prejsť na nové zariadenie, ak som na svojom starom zariadení zaregistroval 50 poverení pre konkrétnu doménu a potom som získal nové zariadenia. Nikto nechce prejsť obnovením účtu pre 50 rôznych služieb, aby znovu naviazal nové prihlasovacie údaje FIDO,“vysvetlil Leddy.
FIDO tvrdí, že prístupové kľúče pomôžu úplne predísť tejto situácii tým, že zabezpečia, že keď prejdeme z jedného zariadenia na druhé, naše poverenia FIDO už na nás budú čakať. Samozrejme, tento dokument je koncepčný a Leddy si myslí, že takýto mechanizmus je jednoduchšie navrhnúť ako implementovať.
"Bolo by poľutovaniahodné, keby riešenia prístupových kľúčov boli špecifické pre dodávateľa, takže spotrebiteľ by nemohol prepínať medzi výrobcami zariadení alebo dokonca heterogénnou sadou zariadení (MacBook a telefón s Androidom), " varoval Leddy.
Je však presvedčený, že aliancia FIDO, ktorá medzi svojich členov zahŕňa ťažké váhy ako Apple, Meta, Google, PayPal, Wells Fargo, American Express a Bank of America, príde s riešeniami, ktoré nie sú Je len univerzálny, ale aj dôkladne preverený proti útokom.
FIDO verí, že prihlasovacie údaje FIDO pre viacero zariadení sa stanú posledným klincom do rakvy pre heslá. „Dúfame, že predstavením týchto nových možností umožníme webovým stránkam a aplikáciám ponúkať komplexnú možnosť skutočne bez hesla; nie sú potrebné žiadne heslá ani jednorazové prístupové kódy (OTP),“uviedla aliancia.
