Ваш телефон скоро может заменить многие ваши пароли — Krebs on Security

Яблоко, Google и Майкрософт объявили на этой неделе, что вскоре они будут поддерживать подход к аутентификации, который полностью избегает паролей и вместо этого требует, чтобы пользователи просто разблокировали свои смартфоны для входа на веб-сайты или в онлайн-сервисы. Эксперты говорят, что изменения должны помочь противостоять многим типам фишинговых атак и облегчить общее бремя паролей для пользователей Интернета, но предупреждают, что до настоящего будущего без паролей для большинства веб-сайтов могут пройти годы.

Изображение: Blog.google

Технологические гиганты являются частью отраслевых усилий по замене паролей, которые легко забываются, часто крадут с помощью вредоносных программ и фишинговых схем или просачиваются и продаются в Интернете после утечки корпоративных данных.

Apple, Google и Microsoft являются одними из наиболее активных участников стандарта входа без пароля, разработанного Альянсом FIDO («Fast Identity Online») и Консорциум всемирной паутины (W3C), группы, которые за последнее десятилетие работали с сотнями технологических компаний над разработкой нового стандарта входа в систему, который работает одинаково во многих браузерах и операционных системах.

По данным FIDO Alliance, пользователи смогут входить на веб-сайты с помощью тех же действий, которые они предпринимают несколько раз в день для разблокировки своих устройств, включая PIN-код устройства или биометрические данные, такие как отпечаток пальца или сканирование лица.

«Этот новый подход защищает от фишинга, а вход в систему будет радикально более безопасным по сравнению с паролями и устаревшими многофакторными технологиями, такими как одноразовые коды доступа, отправляемые по SMS», — написал альянс 5 мая.

Сампат Шринивасдиректор по аутентификации безопасности в Google и президент Альянса FIDO, сказал, что в новой системе ваш телефон будет хранить учетные данные FIDO, называемые «ключом доступа», который используется для разблокировки вашей онлайн-учетной записи.

READ  Согласно отчету, Майк Тайсон неоднократно бил человека, который бросил в него бутылку с водой на борту самолета JetBlue.

«Ключ делает вход в систему гораздо более безопасным, поскольку он основан на криптографии с открытым ключом и отображается в вашей онлайн-учетной записи только тогда, когда вы разблокируете свой телефон», — написал Шринивас. «Чтобы войти на веб-сайт на своем компьютере, вам просто понадобится телефон рядом, и вам просто будет предложено разблокировать его для доступа. Как только вы это сделаете, вам больше не понадобится телефон, и вы сможете войти в систему, просто разблокировав компьютер».

В виде ZDNet примечания, Apple, Google и Microsoft уже поддерживают эти стандарты без пароля (например, «Войти через Google»), но пользователям необходимо входить в систему на каждом веб-сайте, чтобы использовать функцию без пароля. В рамках этой новой системы пользователи смогут автоматически получать доступ к своему ключу доступа на многих своих устройствах — без необходимости повторной регистрации каждой учетной записи — и использовать свое мобильное устройство для входа в приложение или веб-сайт на соседнем устройстве.

Йоханнес Ульрихдекан по научной работе Технологический институт SANSназвал объявление «безусловно, наиболее многообещающей попыткой решить проблему аутентификации».

«Самая важная часть этого стандарта заключается в том, что он не требует от пользователей покупки нового устройства, вместо этого они могут использовать устройства, которые у них уже есть и которые они знают, как использовать в качестве аутентификаторов», — сказал Ульрих.

Стив Белловинпрофессор компьютерных наук в Колумбийском университете и один из первых исследователь и пионерназвал усилия без пароля «огромным достижением» в аутентификации, но сказал, что многим веб-сайтам потребуется очень много времени, чтобы наверстать упущенное.

Белловин и другие говорят, что один потенциально сложный сценарий в этой новой схеме аутентификации без пароля — это то, что происходит, когда кто-то теряет свое мобильное устройство или его телефон ломается, и он не может вспомнить свой пароль iCloud.

READ  Tesla отзывает почти полмиллиона электромобилей из соображений безопасности

«Я беспокоюсь о людях, которые не могут позволить себе дополнительное устройство или не могут легко заменить сломанное или украденное устройство», — сказал Белловин. «Я беспокоюсь о восстановлении забытого пароля для облачных учетных записей».

Google говорит что даже если вы потеряете свой телефон, «ваши пароли будут надежно синхронизированы с вашим новым телефоном из облачной резервной копии, что позволит вам продолжить с того места, где остановилось ваше старое устройство».

У Apple и Microsoft также есть решения для облачного резервного копирования, которые клиенты, использующие эти платформы, могут использовать для восстановления данных с потерянного мобильного устройства. Но Белловин сказал, что многое зависит от того, насколько безопасно администрируются такие облачные системы.

«Насколько легко добавить открытый ключ другого устройства к учетной записи без авторизации?» Белловин задумался. «Я думаю, что их протоколы делают это невозможным, но другие не согласны».

Николас Уиверпреподаватель кафедры компьютерных наук г. Калифорнийский университет, Берклисказал, что веб-сайты по-прежнему должны иметь какой-то механизм восстановления для сценария «вы потеряли свой телефон и пароль», который он назвал «действительно сложной проблемой для безопасного решения и уже одной из самых больших слабых сторон в нашей текущей системе».

«Если вы забудете пароль и потеряете свой телефон и сможете его восстановить, теперь это огромная цель для злоумышленников», — сказал Уивер в электронном письме. «Если вы забыли пароль и потеряли свой телефон и НЕ МОЖЕТЕ, что ж, теперь вы потеряли свой токен авторизации, который используется для входа в систему. Придется быть последним. У Apple есть инфраструктура для ее поддержки (связка ключей iCloud), но неясно, есть ли у Google».

Тем не менее, по его словам, общий подход FIDO стал отличным инструментом для повышения как безопасности, так и удобства использования.

READ  НА ФОТО: «Вооруженный и опасный» стрелок Фред Мейер, 39 лет, который «застрелил покупателя Instacart».

«Это очень, очень хороший шаг вперед, и я рад это видеть», — сказал Уивер. «Воспользоваться надежной аутентификацией владельца телефона (если у вас есть хороший пароль) довольно приятно. И, по крайней мере, для iPhone вы можете сделать это устойчивым даже к компрометации телефона, поскольку это безопасный анклав, который справится с этим, а безопасный анклав не доверяет операционной системе хоста».

Технологические гиганты заявили, что новые возможности без пароля будут включены на платформах Apple, Google и Microsoft «в течение следующего года». Но эксперты говорят, что, вероятно, потребуется еще несколько лет, чтобы небольшие веб-сайты приняли эту технологию и полностью отказались от паролей.

Недавние исследования показывают, что слишком много людей по-прежнему повторно используют или повторно используют пароли (незначительно изменяя один и тот же пароль), что создает риск захвата учетной записи, когда эти учетные данные в конечном итоге раскрываются в результате утечки данных. А отчет в марте от фирмы по кибербезопасности SpyCloud обнаружили, что 64 процента пользователей повторно используют пароли для нескольких учетных записей, и что 70 процентов учетных данных, скомпрометированных в результате предыдущих взломов, все еще используются.

Доступен технический документ о подходе FIDO за март 2022 г. здесь (PDF). FAQ по нему есть здесь.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *