Ključni podaci za van
- Savez FIDO objavio je dokument koji analizira nedostatke koji sprječavaju da njegov standard provjere autentičnosti bez lozinke postane mainstream.
- Mehanizmi provjere autentičnosti bez lozinke nisu uspjeli zamijeniti lozinke jer su nezgodne, sugerira whitepaper.
-
Predlaže korištenje pametnih telefona kao sigurnosnih ključeva za roaming.
Jake lozinke je nezgodno kreirati i upravljati njima, ali dodavanje dodatnih koraka i uređaja u proces autentifikacije još je veća glavobolja.
To je zaključak whitepapera Fast ID Online Alliance (FIDO), koji okrivljuje probleme upotrebljivosti za sprječavanje da mehanizmi provjere autentičnosti bez lozinke postanu mainstream. Međutim, alijansa je smislila rješenje za rješavanje problema jednom zauvijek i učinila FIDO standard autentifikacije jednako sveprisutnim kao i lozinke.
"FIDO je premašio sva početna očekivanja," rekao je Bill Leddy, potpredsjednik proizvoda u LoginID-u, putem e-pošte za Lifewire nakon što je pročitao whitepaper. "[To] je stvarno blizu rješavanja svih [problema] s autentifikacijom, ali treba malo više."
Poništavanje lozinki
Leddy vjeruje da su lozinke nadživjele svoju upotrebu. On krivi sigurnosnu industriju za iznevjeravanje ljudi predugim guranjem slabih opcija.
"Lozinke su sada stare 60 godina, ali ostaju primarna opcija autentifikacije za većinu računa. Korisnici imaju mnogo različitih računa i očekuje se da za svaki zapamti jedinstvenu lozinku. To nije praktično rješenje, " ustvrdio je Leddy. Dodao je da je u današnjem internetu, gdje se web stranice mogu lako klonirati, posao sigurnosne industrije opremiti ljude pravim alatima za sprječavanje provale u račune.
Savez FIDO, otvorena industrijska udruga, stvorena da smanji oslanjanje na lozinke, radi na tom problemu već desetak godina. Stvorio je standard za autentifikaciju FIDO, koji nije uspio dobiti popularnost. U whitepaperu, savez misli da je konačno identificirao dio slagalice koji nedostaje i dao i strategiju za njegovo prevladavanje.
Prema savezu, FIDO-ov trenutni mehanizam provjere autentičnosti bez lozinke ima inherentne probleme s upotrebljivošću koji ga sprječavaju da postigne široku primjenu.
"[Uočili smo] ograničeno usvajanje [u potrošačkom prostoru], zbog uočenih neugodnosti fizičkih sigurnosnih ključeva (kupnja, registracija, nošenje, oporavak) i izazova s kojima se potrošači suočavaju s autentifikatorima platforme (npr.npr. ponovno prijavljivanje svakog novog uređaja; nema lakih načina za oporavak od izgubljenih ili ukradenih uređaja) kao drugi čimbenik," istaknuo je list.
Da bismo prevladali probleme, whitepaper poziva na korištenje naših pametnih telefona kao autentifikatora u roamingu ili prijenosnih sigurnosnih ključeva.
"Korisnički uređaj kao autentifikator u roamingu odlično je korisničko iskustvo i mnogo je sigurniji od lozinki na polu-pouzdanom uređaju ako se ispravno radi. Budući da novi pametni telefoni izvorno podržavaju FIDO i potrošači su rijetko daleko od svojih telefona, je dobra opcija, " složio se Leddy.
Put naprijed
Međutim, whitepaper sugerira da kako bi pametni telefoni postali uspješni kao prijenosni sigurnosni ključevi, FIDO mora osmisliti nesmetan proces za ljude da dodaju ili mijenjaju svoje mobilne uređaje.
Tvrdi se da ako postupak za bitne zadatke, kao što je postavljanje novog telefona ili prebacivanje na novi, nije jednostavan, ljudi će vjerojatno odbaciti cijelu ideju kao nezgodnu. Kako bi se to izbjeglo, u radu se predlaže uvođenje nove tehnike koju nazivaju FIDO vjerodajnicama za više uređaja ili "lozinke".
"Vjerodajnice 'zaporke' za više uređaja rješavaju dugotrajno pitanje oko FIDO-a. Pitanje je bilo kako prijeći na novi uređaj ako sam upisao 50 vjerodajnica specifičnih za domenu na svom starom uređaju, a zatim dobio novi Nitko ne želi proći kroz oporavak računa za 50 različitih usluga za ponovno povezivanje novih FIDO vjerodajnica, " objasnio je Leddy.
FIDO tvrdi da će pristupni ključevi pomoći u potpunom izbjegavanju ove situacije osiguravajući da su naše FIDO vjerodajnice već tamo i čekaju nas, kada se prebacimo s jednog uređaja na drugi. Naravno, rad je konceptualan i Leddy misli da je takav mehanizam lakše predložiti nego implementirati.
"Bilo bi nesreća da su rješenja za pristupne ključeve specifična za dobavljača tako da se potrošač ne može prebacivati između proizvođača uređaja ili čak heterogenog skupa uređaja (MacBook i Android telefon)," upozorio je Leddy.
Međutim, on je uvjeren da će savez FIDO, koji među svojim članovima broji teškaše kao što su Apple, Meta, Google, PayPal, Wells Fargo, American Express i Bank of America, pronaći rješenja koja su t samo univerzalno nego i temeljito provjereno protiv napada.
FIDO vjeruje da će FIDO vjerodajnice za više uređaja postati posljednji čavao u lijes za lozinke. "Uvođenjem ovih novih mogućnosti, nadamo se da ćemo osnažiti web-mjesta i aplikacije da ponude opciju od kraja do kraja uistinu bez lozinke; nisu potrebne lozinke ili jednokratne šifre (OTP)," rekao je savez.