Pagrindiniai pasiėmimai
- FIDO aljansas paskelbė b altąją knygą, kurioje analizuojami trūkumai, neleidžiantys jo autentifikavimo be slaptažodžio standartui tapti pagrindiniu.
- Autentifikavimo be slaptažodžių mechanizmų nepavyko pakeisti slaptažodžių, nes jie yra nepatogūs, teigiama b altojoje knygoje.
-
Siūloma išmaniuosius telefonus naudoti kaip tarptinklinio ryšio saugos raktus.
Stiprius slaptažodžius nepatogu kurti ir tvarkyti, bet papildomų veiksmų ir įrenginių pridėjimas prie autentifikavimo proceso yra dar didesnis galvos skausmas.
Tokios išvados daroma „Fast ID Online Alliance“(FIDO) parengtame dokumente, kuriame k altinamos naudojimo problemos, užkertančios kelią autentifikavimo be slaptažodžio mechanizmams tapti įprastais. Tačiau aljansas sugalvojo sprendimą, kaip kartą ir visiems laikams išspręsti problemą ir padaryti FIDO autentifikavimo standartą taip pat visur naudojamą kaip slaptažodžius.
„FIDO viršijo visus pradinius lūkesčius“, – „Lifewire“el. paštu sakė Billas Leddy, LoginID produkto viceprezidentas, perskaitęs dokumentą. "[Jis] tikrai arti visų autentifikavimo [problemų] sprendimo, bet reikia šiek tiek daugiau."
Slaptažodžių atšaukimas
Leddy mano, kad slaptažodžiai jau seniai naudojami. Jis k altina saugumo pramonę dėl žmonių žlugimo, per ilgai stumdamas silpnas galimybes.
Slaptažodžiams dabar yra 60 metų, tačiau jie išlieka pagrindine daugelio paskyrų autentifikavimo parinktimi. Vartotojai turi daug skirtingų paskyrų ir tikimasi, kad jie atsimins unikalų kiekvienos paskyros slaptažodį. Tai nėra praktiškas sprendimas“, – tvirtino Leddy. Jis pridūrė, kad šiuolaikiniame internete, kur galima lengvai klonuoti svetaines, saugos pramonės užduotis yra aprūpinti žmones tinkamais įrankiais, kad būtų išvengta paskyros pažeidimų.
FIDO aljansas, atvira pramonės asociacija, sukurta siekiant sumažinti priklausomybę nuo slaptažodžių, jau maždaug dešimtmetį sprendžia šią problemą. Jis sukūrė FIDO autentifikavimo standartą, kuris negalėjo įgyti traukos. B altojoje knygoje aljansas mano, kad pagaliau nustatė trūkstamą dėlionės dalį ir taip pat išdėstė strategiją, kaip ją įveikti.
Pasak aljanso, dabartinis FIDO autentifikavimo be slaptažodžio mechanizmas turi būdingų naudojimo problemų, dėl kurių jis nebuvo plačiai naudojamas.
"[Mes] pastebėjome ribotą pritaikymą [vartotojų erdvėje] dėl jaučiamų fizinių saugos raktų nepatogumų (pirkimo, registravimo, nešiojimo, atkūrimo) ir iššūkių, su kuriais susiduria vartotojai dėl platformos autentifikavimo priemonių (pvz.,.pvz., kiekvieną naują įrenginį reikia registruoti iš naujo; nėra lengvų būdų atsigauti po pamestų ar pavogtų įrenginių), kaip antras veiksnys“, – pažymima laikraštyje.
Siekiant išspręsti problemas, b altojoje knygoje raginama naudoti išmaniuosius telefonus kaip tarptinklinio ryšio autentifikavimo priemones arba nešiojamuosius saugos raktus.
Naudotojo įrenginys kaip tarptinklinio ryšio autentifikavimo priemonė yra puiki naudotojo patirtis ir daug saugesnė nei slaptažodžiai pusiau patikimame įrenginyje, jei tai daroma teisingai. Kadangi nauji išmanieji telefonai iš esmės palaiko FIDO, o vartotojai retai būna toli nuo savo telefonų, yra geras pasirinkimas“, – sutiko Ledis.
Kelias pirmyn
Tačiau informaciniame dokumente teigiama, kad norint, kad išmanieji telefonai taptų sėkmingi kaip nešiojamieji saugos raktai, FIDO turi sukurti sklandų procesą, kad žmonės galėtų pridėti arba perjungti mobiliuosius įrenginius.
Jis teigia, kad jei esminių užduočių, tokių kaip naujo telefono nustatymas arba perjungimas į naują, procesas nėra paprastas, žmonės greičiausiai atmes visą idėją kaip nepatogią. Siekiant to išvengti, straipsnyje siūloma įdiegti naują metodą, vadinamą kelių įrenginių FIDO kredencialais arba „slaptažodžiais“.
„Kelių įrenginių „slaptažodžio“kredencialai atsako į seniai iškilusį FIDO klausimą. Kyla klausimas, kaip pereiti prie naujo įrenginio, jei sename įrenginyje užregistravau 50 konkrečiam domenui būdingų kredencialų ir gavau naują Niekas nenori atkurti 50 skirtingų paslaugų paskyros, kad iš naujo susietų naujus FIDO kredencialus“, – paaiškino Leddy.
FIDO tvirtina, kad prieigos raktai padės visiškai išvengti šios situacijos, nes kai perjungiame iš vieno įrenginio į kitą, mūsų FIDO kredencialai jau laukia mūsų. Žinoma, dokumentas yra konceptualus, ir Leddy mano, kad tokį mechanizmą lengviau pasiūlyti nei įgyvendinti.
"Būtų gaila, jei slaptažodžio sprendimai būtų skirti tik tiekėjui, kad vartotojas negalėtų perjungti įrenginių gamintojų ar net nevienalyčių ("MacBook" ir "Android" telefonų) įrenginių rinkinio", - perspėjo Leddy.
Tačiau jis įsitikinęs, kad FIDO aljansas, kurio nariais yra tokie sunkiasvoriai kaip Apple, Meta, Google, PayPal, Wells Fargo, American Express ir Bank of America, pateiks sprendimus, kurie ne tik universalus, bet ir nuodugniai patikrintas nuo atakų.
FIDO mano, kad kelių įrenginių FIDO kredencialai taps paskutine vinimi į slaptažodžių karstą. „Pristatydami šias naujas galimybes tikimės, kad svetainėms ir programoms būtų suteikta galimybė pasiūlyti visiškai be slaptažodžio; nereikia jokių slaptažodžių ar vienkartinių slaptažodžių (OTP),“– sakė aljansas.