Autentificarea fără parolă FIDO vine pentru serviciile Apple, Google, Microsoft

Trei dintre cele mai mari nume din tehnologie s-au reunit pentru a sprijini oficial protocolul Fast ID Online (FIDO), care permite autentificarea fără parolă prin scanare biometrică sau PIN dispozitiv.

Fiecare dintre companii susține deja FIDO într-o anumită măsură, dar angajamentul reînnoit promite adăugarea accesului automat la cheile FIDO fără a fi nevoie să reînregistreze fiecare cont nou și posibilitatea de a utiliza dispozitive mobile pentru autentificare pe tot felul de alte tipuri de dispozitive. și sisteme de operare.

Big Tech se concentrează pe autentificarea fără parolă, pe măsură ce utilizarea cloudului crește, oboseala parolelor se instalează

Un comunicat de presă comun al celor trei giganți ai tehnologiei de Ziua Mondială a Parolei (5 mai) a anunțat angajamentul sporit de a sprijini standardul Alianței FIDO și Consorțiul World Wide Web. Companiile au citat „oboseala parolelor” și reutilizarea obișnuită a parolelor drept unul dintre motivele adoptării standardului; studii recente au arătat că o persoană obișnuită are acum 70-100 de conturi, care în mod ideal ar trebui să aibă toate parole unice, dar reutilizarea parolelor este încă foarte comună, în ciuda anilor de avertismente din partea comunității de securitate cibernetică.

Declarația notează că autentificarea cu mai mulți factori este un remediu practic pentru această situație, dar că există loc pentru o soluție mai practică și mai sigură. În timp ce companiile tehnologice par să accepte pe deplin autentificarea fără parolă, comunitatea tehnologică rămâne împărțită dacă este cu adevărat „gata pentru orele de maximă audiență”.

Giganții tehnologici cel puțin par să fie vânduți cu autentificare fără parolă FIDO, promovând capacitatea sa de a folosi coduri PIN unice pentru a se conecta la site-uri web și aplicații. Cel mai simplu exemplu ar fi autentificarea utilizatorului final pentru a-și accesa telefonul, cum ar fi o amprentă digitală sau o scanare a feței, funcționând, de asemenea, ca acreditările lor pentru a se conecta la diferite conturi și site-uri web.

Companiile integrează sisteme de autentificare fără parolă în produsele și platformele lor, probabil ca o extensie a sistemelor existente de „autentificare unică” deja oferite ca formă de autentificare a autentificărilor pe multe site-uri web ale terților. Unul dintre punctele dificile pentru autentificarea fără parolă FIDO este că utilizatorii finali trebuie să se înregistreze individual cu fiecare site sau serviciu, în ciuda utilizării aceluiași PIN de autentificare pentru fiecare, ceea ce acest tip de sistem centralizat l-ar face mai convenabil.

Cealaltă propunere nouă este de a permite acestor sisteme să autentifice de la distanță conectările la alte dispozitive de pe dispozitivul personal de încredere al utilizatorului. De exemplu, odată conectat la telefonul său, utilizatorul final îl poate folosi pentru a se conecta la site-uri de pe un computer în proximitatea fizică.

Companiile își propun să lanseze aceste noi capacități de autentificare fără parolă pentru restul anului 2022. Propunerea a primit, de asemenea, o declarație de sprijin din partea Jen Easterly, directorul Agenției de Securitate Cibernetică și Infrastructurii din SUA (CISA), în timp ce guvernul federal al SUA își îndrumă agențiile. pentru a îmbunătăți și moderniza practicile de securitate cibernetică.

Big Tech completează autentificarea fără parolă, dar este gata pentru implementare în lumea reală?

Autentificarea fără parolă există de ani de zile, dar nu a reușit să prindă din mai multe motive. Una dintre principalele probleme a fost incapacitatea de a face sistemul ușor de utilizat. Autentificarea fără parolă FIDO promite să crească ratele de succes de conectare la aproape 100%, dar sistemele actuale se luptă cu rate de eșec de până la 15%.

Îmi vine în minte o altă întrebare evidentă: ce se întâmplă dacă îți pierzi sau spargi dispozitivul de autentificare fără parolă? Deși o blocare biometrică sau PIN pe un telefon ar putea împiedica un hoț să obțină acces la acesta, nu l-ar ajuta pe utilizatorul final să-și blocheze toate conturile fără o metodă aparentă de recuperare. Și dacă telefonul este furat, un hoț care folosește un exploit pentru a ocoli blocarea ecranului ar putea ajunge cu acces ușor la toate conexiunile victimei. Singurul răspuns pe care Alianța FIDO pare să îl aibă în acest moment este să „înregistreze mai multe dispozitive” ca copii de rezervă în cazul în care unul este compromis. Răspunsul alternativ la toate acestea sunt codurile de rezervă, dar vă întoarceți la o parolă (doar cu pași suplimentari).

Craig Lurey, CTO și co-fondator al Keeper Security, a detaliat această problemă: „Există încă multe probleme de securitate și experiența utilizatorului care trebuie rezolvate pentru ca tehnologia la scară largă fără parolă să funcționeze pentru utilizatori. Într-o lume digitală, este inacceptabil să existe o situație în care un dispozitiv pierdut, furat sau deteriorat duce la o pierdere catastrofală a conturilor unei persoane și a datelor private… Am constatat că încrederea consumatorilor și a întreprinderilor pe cuvinte este în creștere și se întâmplă mai rapid, datorită trecerii la distanță. servicii de lucru și cloud, iar FIDO nu abordează nevoia de a cripta datele utilizatorilor într-un mediu fără cunoștințe și încredere zero. Adoptarea lentă a autentificării multifactorice (MFA) de către companii și consumatori – deși MFA este o soluție convenabilă și extrem de modalitate eficientă de a proteja utilizatorii finali de la încălcări din cauza furtului de acreditări – este un bun indicator al posibilului interval de timp pentru adoptarea tehnologiei fără parolă. În primul rând, vânzătorii trebuie să încorporeze tehnologia în site-urile și aplicațiile lor, iar apoi utilizatorii finali trebuie să învețe despre tehnologie și să ajungă să aibă încredere și să o adopte. Rețineți că acest lucru include utilizatorii care se obișnuiesc să se bazeze pe dispozitivele lor mobile. Între adoptarea organizațională și cea de către consumatori, pot trece mulți ani până când tehnologia fără parolă devine curentă. Concluzie: Vom continua să folosim parole pentru cel puțin încă un deceniu. Conectarea cu un singur factor, fără parolă, pune prea multe provocări funcționale, logistice și de securitate pentru a deveni norma peste noapte.

În timp ce schemele de autentificare fără parolă, cum ar fi FIDO, pot avea probleme, majoritatea jucătorilor de securitate cibernetică sunt, de asemenea, de acord că pur și simplu rămânerea cu sistemul actual de autentificare cu parolă nu va fi un aranjament viabil în peisajul actual a amenințărilor cibernetice. Studiile atribuie aproximativ 80% din încălcările de date compromiterii parolei, de obicei din cauza phishing-ului, ghicirii slabe a parolelor sau unei încălcări a datelor care expună reutilizarea parolei.

În timp ce companiile de tehnologie par să sprijine pe deplin #autentificarea fără parolă, comunitatea tehnologică rămâne împărțită dacă este cu adevărat „gata pentru orele de maximă audiență”. #securitate cibernetică #respectdateFaceți clic pentru a tweet

Roger Grimes, Data Driven Defense Evangelist pentru KnowBe4, are o viziune mai pozitivă asupra autentificării fără parolă, dar recunoaște că este departe de a fi un glonț magic pentru utilizatorii finali: „Acest anunț este bun și va continua să sprijine trecerea de la parole la ceva mai bun, deși vreau să subliniez că prima dată (de multe ori) am auzit că vom ajunge în sfârșit la o societate fără parolă, asta a fost în 1989. Deci, nu îmi țin respirația. Sunt foarte încurajat să văd că FIDO , va fi folosit un model de autentificare fără parolă rezistent la phishing. Autentificarea cu mai mulți factori cu 90 până la nouăzeci și cincisprezece la sută este ocolită cu ușurință de atacurile obișnuite de phishing, dar FIDO este mai rezistent, așa că mă bucur să aud că opțiunile fără parolă bazate pe FIDO sunt implicati.auzi ca camera a avea funcții de utilizator va fi unul dintre factori, sunt atât de încântat. Marea majoritate a atacurilor cibernetice de succes implică utilizatorul final în așa fel încât dispozitivul utilizatorului final (unul dintre factorii de autentificare) este adesea complet compromis. Hackerul sau malware-ul rezidă, nu este detectat pe dispozitivul său și poate face orice face utilizatorul, inclusiv accesarea site-urilor și serviciilor protejate prin MFA și fără parolă. Totuși, asta e ceva de aplaudat, deși încă sper că oamenii vor alege o soluție care implică doi sau mai mulți factori de autentificare. Multe soluții fără parolă, inclusiv soluțiile FIDO propuse, sunt autentificare cu un singur factor. Acest lucru nu este suficient și utilizarea dispozitivului utilizatorului ca unul dintre factorii de autentificare nu este foarte sigură din motivele discutate mai sus. Soluțiile MFA puternice sau fără parolă sunt rezistente la atacurile de tip phishing și necesită doi factori de autentificare puternici (cum ar fi un dispozitiv extern și PIN sau atribut biometric și PIN). Soluțiile fără parolă cu un singur factor reprezintă doar o îmbunătățire moderată față de utilizarea parolelor și, dacă vă obosiți să dezactivați parolele, ați putea la fel de bine să alegeți ceva mult mai sigur. Altfel, de ce să faci tot efortul? »

Add Comment