Váš telefón môže čoskoro nahradiť mnohé z vašich hesiel – Krebs on Security

jablkoA Google A Microsoft Tento týždeň oznámili, že čoskoro podporia prístup autentifikácie, ktorý sa úplne vyhýba heslám a namiesto toho vyžaduje, aby používatelia jednoducho odomkli svoje smartfóny, aby sa mohli prihlásiť na webové stránky alebo online služby. Odborníci tvrdia, že zmeny by mali pomôcť poraziť mnohé typy phishingových útokov a zmierniť celkové zaťaženie používateľov internetu heslom, ale upozorňujú, že skutočná budúcnosť bez hesla môže byť stále vzdialená väčšine webových stránok.

Foto: Blog.google

Technologickí giganti sú súčasťou odvetvového úsilia o nahradenie hesiel, ktoré sa ľahko zabúdajú, sú často ukradnuté škodlivým softvérom a phishingovými schémami alebo uniknuté a predávané online v dôsledku narušenia podnikových údajov.

Apple, Google a Microsoft sú niektorí z najaktívnejších prispievateľov do štandardu prihlasovania bez hesla, ktorý zaviedla aliancia FIDO („Fast Identity Online“) a World Wide Web konzorcium (W3C), skupiny, ktoré za posledné desaťročie spolupracovali so stovkami technologických spoločností na vývoji nového prihlasovacieho štandardu, ktorý funguje rovnako vo viacerých prehliadačoch a operačných systémoch.

Podľa aliancie FIDO sa používatelia budú môcť prihlásiť na webové stránky rovnakým postupom, ktorý robia niekoľkokrát denne na odomknutie svojho zariadenia – vrátane kódu PIN zariadenia alebo biometrických údajov, ako je skenovanie odtlačkov prstov alebo tváre.

„Tento nový prístup chráni pred phishingom a urobí prihlasovanie radikálne bezpečnejším v porovnaní so staršími viacfaktorovými heslami a technológiami, ako sú jednorazové prístupové kódy odosielané prostredníctvom SMS,“ napísala koalícia 5.

Sampath SrinivasPodľa nového systému bude váš telefón uchovávať poverenie FIDO nazývané „prístupový kľúč“, ktorý sa používa na otvorenie vášho účtu online, uviedol riaditeľ bezpečnostnej autentifikácie spoločnosti Google a prezident aliancie FIDO.

„Prístupový kľúč zvyšuje bezpečnosť prihlasovania, pretože je založený na kryptografii s verejným kľúčom a je viditeľný iba pre váš online účet, keď odomknete telefón,“ napísal Srinivas. „Ak sa chcete prihlásiť na webovú stránku v počítači, budete potrebovať iba svoj telefón vo vašej blízkosti a budete ho musieť jednoducho odomknúť, aby ste k nemu mohli pristupovať. Keď to urobíte, nebudete znova potrebovať svoj telefón a môžete sa prihlásiť po odomknutí váš počítač.“

Páči sa mi to ZDNet PoznámkyApple, Google a Microsoft už podporujú tieto štandardy bez hesla (napríklad „Prihlásiť sa pomocou Google“), ale používatelia sa musia na každej webovej lokalite prihlásiť, aby mohli používať funkciu bez hesla. V rámci tohto nového systému budú môcť používatelia automaticky pristupovať k svojim prístupovým kľúčom na mnohých svojich zariadeniach – bez toho, aby museli znova registrovať každý účet – a použiť svoje mobilné zariadenie na prihlásenie do aplikácie alebo webovej stránky na blízkom zariadení.

Johannes UlrichDean hľadá Sans Institute of TechnologyOznámenie označilo za „zďaleka najsľubnejšie úsilie na vyriešenie výzvy na overenie“.

„Najdôležitejšou súčasťou tohto štandardu je, že nebude vyžadovať, aby si používatelia zakúpili nové zariadenie, ale namiesto toho môžu používať zariadenia, ktoré už vlastnia a vedia ich používať ako autentifikátory,“ povedal Ulrich.

Steve Bellovinprofesor počítačovej vedy na Kolumbijskej univerzite a začiatku internetu Výskumník a priekopníkopísal snahu bez hesla ako „obrovský pokrok“ v autentifikácii, ale povedal, že to bude trvať príliš dlho, kým to mnohé webové stránky dobehnú.

Jedným z potenciálne zložitých scenárov v novom autentifikačnom systéme bez hesla je to, čo sa stane, keď niekto stratí svoje mobilné zariadenie alebo sa mu pokazí telefón a nemôže si spomenúť na heslo iCloud, hovoria Belovin a ďalší.

„Bojím sa o ľudí, ktorí si nemôžu kúpiť ďalšie zariadenie alebo nemôžu ľahko nahradiť pokazené alebo ukradnuté zariadenie,“ povedal Belovin. „Mám obavy o obnovenie zabudnutého hesla pre cloudové účty.“

Google Hovorí Že aj keď stratíte telefón, „vaše prístupové kľúče budú bezpečne synchronizované s vaším novým telefónom zo zálohy v cloude, čo vám umožní pokračovať tam, kde vaše staré zariadenie skončilo.“

Apple a Microsoft majú tiež cloudové zálohovacie riešenia, ktoré môžu zákazníci používajúci tieto platformy použiť na obnovu zo strateného mobilného zariadenia. Belovin však povedal, že veľa závisí od toho, ako bezpečne sú tieto cloudové systémy spravované.

„Aké ľahké je pridať verejný kľúč iného zariadenia k účtu bez povolenia?“ spýtal sa Belovin. „Myslím si, že ich protokoly to znemožňujú, ale iní s tým nesúhlasia.“

Nicholas WeaverPrednášajúci na Katedre informatiky na Kalifornská univerzita, BerkeleyPovedal, že webové stránky by mali mať stále nejaké mechanizmy obnovy pre scenár „Stratili ste telefón a heslo“, ktorý opísal ako „naozaj náročný problém, ktorý sa dá bezpečne vykonať a je to skutočne jedna z najväčších slabín nášho súčasného systému“.

„Ak zabudnete svoje heslo a stratíte telefón a podarí sa vám ho získať späť, je to pre útočníkov veľký cieľ,“ uviedol Weaver v e-maile. „Ak zabudnete heslo a stratíte telefón a nemôžete, teraz ste stratili autorizačný kód používaný na prihlásenie. Mal by byť posledný. Apple má infraštruktúru, ktorá to podporuje (kľúčenka iCloud), ale nie je jasné, či to robí Google.“

Povedal však, že všeobecný prístup FIDO je skvelým nástrojom na zlepšenie bezpečnosti aj použiteľnosti.

„Je to naozaj dobrý krok vpred a som rád, že to vidím,“ povedal Weaver. „Využitie silnej autentifikácie telefónu majiteľa telefónu (ak máte slušný prístupový kód) je celkom fajn. A prinajmenšom pre iPhone to môžete urobiť robustným aj pre kompromis s telefónom, pretože je to vreckový trezor, ktorý zvládne toto a bezpečné pocket neverí OS hostiteľa.“

Technologickí giganti uviedli, že nové možnosti bez hesla budú povolené na platformách Apple, Google a Microsoft „v priebehu budúceho roka“. Odborníci však uviedli, že bude pravdepodobne trvať niekoľko ďalších rokov, kým menšie webové destinácie prijmú túto technológiu a úplne sa vzdajú hesiel.

Nedávny výskum ukazuje, že príliš veľa ľudí stále používa alebo opakovane používa heslá (mierne upravujú rovnaké heslo), čo predstavuje riziko prevzatia účtu, keď sa tieto poverenia nakoniec prezradia pri porušení údajov. a správa V marci spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou SpyCloud Zistilo sa, že 64 percent používateľov opakovane používa heslá pre viaceré účty a 70 percent poverení, ktoré boli ohrozené pri predchádzajúcich porušeniach, sa stále používa.

Biely dokument o prístupe FIDO dostupný v marci 2022 tu (PDF). Sú na to otázky a odpovede tu.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *