Apple, Google i Microsoft chcą zabić hasło standardem „passkey”.
Pierwszy czwartek maja jest najwyraźniej „Światowym Dniem Hasła” i aby to uczcić, Apple , Google i Microsoft podejmują „ wspólny wysiłek ”, aby zabić hasło. Główni dostawcy systemów operacyjnych chcą „rozszerzyć wsparcie dla powszechnego standardu logowania bez hasła, stworzonego przez FIDO Alliance i World Wide Web Consortium”.
Standard jest określany jako „poświadczenia FIDO dla wielu urządzeń” lub po prostu „klucz dostępu”. Zamiast długiego ciągu znaków, ten nowy schemat będzie zawierał aplikację lub witrynę internetową, w której się zalogujesz, aby wysłać żądanie uwierzytelnienia na Twój telefon. Stamtąd musisz odblokować telefon, uwierzytelnić się za pomocą kodu PIN lub danych biometrycznych, a potem możesz już iść. Brzmi to jak znajomy system dla każdego, kto ma skonfigurowane uwierzytelnianie dwuskładnikowe oparte na telefonie, ale jest to zamiennik hasła, a nie dodatkowy czynnik.
Grafika została dostarczona do interakcji użytkownika:
Niektóre systemy push 2FA działają przez Internet, ale ten nowy schemat FIDO działa przez Bluetooth. Jak wyjaśniono w białej księdze: „Bluetooth wymaga fizycznej bliskości, co oznacza, że mamy teraz odporny na phishing sposób korzystania z telefonu użytkownika podczas uwierzytelniania”. Bluetooth ma złą reputację w zakresie zgodności i nie jestem pewien, czy „bezpieczeństwo” było kiedykolwiek prawdziwe obawy, ale sojusz FIDO zauważa, że Bluetooth służy tylko do „fizycznego sprawdzania bliskości” i że rzeczywisty proces logowania „nie ma wpływu na właściwości bezpieczeństwa”. Bluetooth”. Oczywiście oznacza to, że oba urządzenia będą wymagały Bluetooth na pokładzie, co jest dostępne dla większości smartfonów i laptopów, ale może być zniechęcającym zadaniem dla starszych komputerów stacjonarnych.
Tak jak menedżer haseł może skonsolidować twoje dane logowania pod jednym hasłem, twoje hasła mogą zostać skopiowane przez jakiegoś dużego właściciela platformy, takiego jak Apple lub Google. Umożliwi to łatwe przeniesienie poświadczeń na nowe urządzenie, zapobiegnie ich utracie i ułatwi synchronizację haseł między urządzeniami. Jeśli zgubisz urządzenie, nadal możesz odzyskać swoje konta, logując się (no cóż, za pomocą hasła?) Na większe konto właściciela platformy. Dobrym pomysłem może być również skonfigurowanie więcej niż jednego urządzenia jako uwierzytelniającego.
Firmy od lat próbują wyeliminować hasła, ale nie jest to łatwe do osiągnięcia. Google ma całą oś czasu na swoim blogu od 2008 roku. Hasła działają dobrze, jeśli są długie, losowe, tajne i unikalne, ale czynnik ludzki w hasłach zawsze stanowi problem. Jesteśmy kiepscy w zapamiętywaniu długich losowych ciągów znaków. Zapisywanie haseł lub ponowne ich wykorzystywanie jest kuszące, a ataki typu phishing próbują nakłonić Cię do podania hasła stronie trzeciej. Kiedy dochodzi do naruszenia bezpieczeństwa, pary nazwy użytkownika i hasła są łatwo wymieniane i istnieją ogromne bazy danych skompromitowanych danych uwierzytelniających.
Wpis na blogu FIDO stwierdza: „Oczekuje się, że te nowe możliwości staną się dostępne na platformach Apple, Google i Microsoft w ciągu następnego roku”. i macOS Monterey, ale nie jest jeszcze kompatybilny z innymi platformami. Obsługa haseł Google była już widoczna w Usługach Play na Androida, więc powinna być szybko obsługiwana przez nawet starsze urządzenia z Androidem, gdy będzie gotowa.
Obraz aukcji z FIDO Alliance
Dodaj komentarz