Telefonul dvs. ar putea înlocui în curând multe dintre parolele dvs. – Krebs on Security

Măr, Google și Microsoft a anunțat săptămâna aceasta că vor sprijini în curând o abordare de autentificare care evită parolele cu totul și, în schimb, solicită utilizatorilor să-și deblocheze pur și simplu smartphone-urile pentru a se conecta la site-uri web sau la servicii online. Experții spun că modificările ar trebui să ajute la înfrângerea multor tipuri de atacuri de tip phishing și să ușureze povara generală a parolelor pentru utilizatorii de internet, dar avertizează că un viitor adevărat fără parole ar putea dura ani până la finalizarea majorității site-urilor web.

Imagine: blog.google

Giganții tehnologiei fac parte dintr-un efort condus de industrie de a înlocui parolele, care sunt ușor uitate, furate frecvent de programe malware și de phishing sau scurse și vândute online în urma unor încălcări de securitate.

Apple, Google și Microsoft sunt printre cei mai activi contribuitori la un standard de conectare fără parolă dezvoltat de Alianța FIDO (“Fast Identity Online”) și World Wide Web Consortium (W3C), grupuri care au lucrat cu sute de tehnologii. companiilor din ultimul deceniu să dezvolte un nou standard de conexiune care să funcționeze la fel în mai multe browsere și sisteme de operare.

Potrivit Alianței FIDO, utilizatorii se vor putea conecta la site-uri web cu aceeași acțiune pe care o fac de mai multe ori pe zi pentru a-și debloca dispozitivele, inclusiv un PIN al dispozitivului sau datele biometrice, cum ar fi amprenta digitală sau parola.

„Această nouă abordare protejează împotriva phishingului, iar autentificarea va fi radical mai sigură în comparație cu parolele și tehnologiile moștenite cu mai mulți factori, cum ar fi parolele unice trimise prin mesaj text”, a scris alianța pe 5 mai.

Sampath Srinivasdirector de autentificare de securitate la Google și președinte al Alianței FIDO, a spus că în noul sistem, telefonul dvs. va stoca un ID FIDO numit „cheie de acces”, care este folosit pentru a vă debloca contul online.

„Parola face autentificarea mult mai sigură, deoarece se bazează pe criptografia cu cheie publică și este afișată doar în contul dvs. online atunci când vă deblocați telefonul”, a scris Srinivas. „Pentru a vă conecta la un site web de pe computer, veți avea nevoie doar de telefonul dvs. în apropiere și vi se va solicita doar să-l deblocați pentru a-l accesa. Odată ce ați făcut asta, nu veți mai avea nevoie de telefonul dvs. și dvs. vă puteți conecta pur și simplu deblocând computerul.

Ca ZDNet note, Apple, Google și Microsoft acceptă deja aceste standarde fără parolă (de exemplu, „Conectați-vă cu Google”), dar utilizatorii trebuie să se conecteze la fiecare site web pentru a utiliza funcția fără parolă. În cadrul acestui nou sistem, utilizatorii vor putea să-și acceseze automat parola pe mai multe dispozitive – fără a fi nevoie să reînregistreze fiecare cont – și să-și folosească dispozitivul mobil pentru a se conecta la o aplicație sau un site web pe un dispozitiv din apropiere.

Johannes Ullrichdecan de cercetare la SANS Technology Institute, a numit anunțul „de departe cel mai promițător efort de a rezolva provocarea de autentificare”.

„Cea mai importantă parte a acestui standard este că nu va cere utilizatorilor să achiziționeze un nou dispozitiv, ci în schimb vor putea folosi dispozitivele pe care le dețin deja și vor ști să le folosească ca autentificatori”, a spus Ullrich.

Steve Belovinun profesor de informatică de la Universitatea Columbia și un cercetător și pionier al internetului timpuriu, a numit efortul fără parolă un „progres uriaș” în autentificare, dar a spus că va dura mult timp pentru ca multe site-uri web să ajungă din urmă.

Bellovin și alții spun că un scenariu potențial dificil în această nouă schemă de autentificare fără parolă este ceea ce se întâmplă atunci când cineva își pierde dispozitivul mobil sau se defectează telefonul și nu își poate aminti parola iCloud.

„Îmi fac griji pentru oamenii care nu își permit un dispozitiv suplimentar sau nu pot înlocui cu ușurință un dispozitiv rupt sau furat”, a spus Bellovin. „Sunt îngrijorat de recuperarea parolei uitate pentru conturile cloud.”

Google spune că, chiar dacă îți pierzi telefonul, „cheile tale de acces vor fi sincronizate în siguranță cu noul tău telefon din backup în cloud, permițându-ți să reluezi de unde a rămas vechiul dispozitiv”.

Apple și Microsoft au, de asemenea, soluții de backup în cloud pe care clienții care folosesc acele platforme le-ar putea folosi pentru a recupera de pe un dispozitiv mobil pierdut. Dar Bellovin a spus că multe depind de securitatea administrării acestor sisteme cloud.

„Este ușor să adăugați cheia publică a altui dispozitiv la un cont, fără permisiune?” se întrebă Bellovin. „Cred că protocoalele lor fac acest lucru imposibil, dar alții nu sunt de acord”.

Nicolas Tisserandlector la catedra de informatică a Universitatea din California, Berkeleya spus că site-urile web trebuie încă să aibă un mecanism de recuperare pentru scenariul „ți-ai pierdut telefonul și parola”, pe care l-a descris ca „o problemă cu adevărat dificil de rezolvat în siguranță și este deja una dintre cele mai mari slăbiciuni ale sistemului nostru actual”.

„Dacă uiți parola și îți pierzi telefonul și îl poți primi înapoi, aceasta este acum o țintă uriașă pentru atacatori”, a spus Weaver într-un e-mail. „Dacă uiți parola și îți pierzi telefonul și NU POȚI, ei bine, acum ți-ai pierdut jetonul de autorizare folosit pentru a te autentifica. Va trebui să fie acesta din urmă. Apple are infrastructura pe loc pentru a-l susține (iCloud Keychain) , dar nu este clar dacă Google o face.

Chiar și așa, a spus el, abordarea holistică a FIDO a fost un instrument excelent pentru îmbunătățirea atât a securității, cât și a gradului de utilizare.

„Este un pas foarte, foarte bun înainte și sunt încântat să văd asta”, a spus Weaver. „Profita de autentificarea puternică a proprietarului telefonului (dacă aveți o parolă decentă) este destul de plăcut. Și cel puțin pentru iPhone, puteți face acest lucru robust chiar și pentru a compromite telefonul, pentru că este enclava sigură care s-ar ocupa de asta, iar enclava sigură nu are încredere în sistemul de operare gazdă.

Giganții tehnologiei au spus că noile funcții fără parolă vor fi activate pe platformele Apple, Google și Microsoft „în anul viitor”. Dar experții au spus că probabil că va mai dura câțiva ani pentru ca destinațiile web mai mici să îmbrățișeze tehnologia și să renunțe la parole.

Cercetări recente arată că mult prea mulți oameni încă reutiliza sau reciclează parolele (modifică ușor aceeași parolă), prezentând un risc de preluare a contului atunci când acele acreditări sunt în cele din urmă expuse în timpul unei încălcări a datelor. Un raport din martie de la o firmă de securitate cibernetică SpyCloud a constatat că 64% dintre utilizatori reutiliza parolele pentru mai multe conturi și 70% dintre acreditările compromise în încălcări anterioare sunt încă în uz.

O carte albă din martie 2022 despre abordarea FIDO este disponibilă aici (PDF). O întrebare frecventă despre aceasta este aici.

Add Comment