Ваш телефон би ускоро могао да замени многе ваше лозинке – Кребс о безбедности

јабукаИ Гоогле И Мицрософт Ове недеље су најавили да ће ускоро подржати приступ аутентификацији који у потпуности избегава лозинке, а уместо тога захтева од корисника да само откључају своје паметне телефоне да би се пријавили на веб локације или онлајн услуге. Стручњаци кажу да би измене требало да помогну у борби против многих врста пхисхинг напада и да олакшају укупни терет лозинки за кориснике интернета, али упозоравају да би права будућност без лозинке и даље могла бити далеко од већине веб локација.

Технолошки гиганти су део напора индустрије да се замене лозинке, које се лако заборављају, често краду малвером и шемама за крађу идентитета, или процуре и продају се на мрежи након кршења корпоративних података.

Аппле, Гоогле и Мицрософт су неки од најактивнијих сарадника стандарда за пријављивање без лозинке који је успоставила ФИДО („Фаст Идентити Онлине“) алијанса и Конзорцијум Ворлд Виде Веб (В3Ц), групе које су радиле са стотинама технолошких компанија током протекле деценије на развоју новог стандарда за пријаву који функционише на исти начин у више прегледача и оперативних система.

Према ФИДО алијанси, корисници ће моћи да се пријаве на веб-сајтове кроз исту процедуру коју раде више пута дневно да би откључали свој уређај – укључујући ПИН уређаја или биометријске податке попут отиска прста или скенирања лица.

„Овај нови приступ штити од крађе идентитета и учиниће пријаву радикално безбеднијом у поређењу са застарелим вишефакторским лозинкама и технологијама као што су једнократне шифре које се шаљу путем СМС-а“, написала је коалиција 5. маја.

Сампатх СринивасПрема новом систему, ваш телефон ће чувати ФИДО акредитив који се зове „пасскеи“ који се користи за отварање вашег налога на мрежи, рекао је Гуглов директор безбедносне провере аутентичности и председник ФИДО алијансе.

„Лозинка чини пријављивање безбеднијом, јер је заснована на криптографији јавног кључа и видљива је само вашем налогу на мрежи када откључате телефон“, написао је Сринивас. „Да бисте се пријавили на веб локацију на свом рачунару, требаће вам само телефон близу вас и једноставно ћете морати да га откључате да бисте му приступили. Када то учините, више вам неће требати телефон и можете се пријавити када откључате ваш рачунар.”

Као ЗДНет НапоменеАппле, Гоогле и Мицрософт већ подржавају ове стандарде без лозинке (као што је „Пријава помоћу Гоогле-а“), али корисници морају да се пријаве на свакој веб локацији да би користили функцију без лозинке. Према овом новом систему, корисници ће моћи аутоматски да приступе својим приступним кључевима на многим својим уређајима – без потребе да поново региструју сваки налог – и да користе свој мобилни уређај за пријаву на апликацију или веб локацију на оближњем уређају.

Јоханнес УлрицхДеан тражи Санс Институте оф ТецхнологиУ саопштењу се назива „далеко најперспективнијим настојањем да се реши изазов аутентификације“.

„Најважнији део овог стандарда је да неће захтевати од корисника да купе нови уређај, већ уместо тога могу да користе уређаје које већ поседују и које знају како да користе као аутентификаторе“, рекао је Улрих.

Стеве Белловинпрофесор рачунарства на Универзитету Колумбија и раног Интернета Истраживач и пионирописао је напор без лозинке као „огроман напредак“ у аутентификацији, али је рекао да ће многим веб локацијама бити потребно предуго да их сустигну.

Један потенцијално лукав сценарио у новом систему аутентификације без лозинке је шта се дешава када неко изгуби свој мобилни уређај или му се телефон поквари и не може да се сети своје иЦлоуд лозинке, кажу Беловин и други.

„Бринем се за људе који не могу да купе додатни уређај, или не могу лако да замене покварени или украдени уређај“, рекао је Беловин. „Забринут сам због опоравка заборављене лозинке за налоге у облаку.“

Гоогле каже Чак и ако изгубите телефон, „ваши приступни кључеви ће бити безбедно синхронизовани са вашим новим телефоном из резервне копије у облаку, омогућавајући вам да наставите тамо где је стари уређај стао.“

Аппле и Мицрософт такође имају решења за прављење резервних копија у облаку која корисници који користе ове платформе могу да користе за опоравак са изгубљеног мобилног уређаја. Али Беловин је рекао да много зависи од тога колико се безбедно управља овим системима у облаку.

„Колико је лако додати јавни кључ другог уређаја на налог без дозволе?“ упита Беловин. „Мислим да њихови протоколи то онемогућују, али други се не слажу са тим.

Николас ВиверПредавач на Катедри за рачунарство на Универзитет Калифорније, БерклиРекао је да би веб локације и даље требало да имају неке механизме опоравка за сценарио „Изгубили сте телефон и лозинку“, који је описао као „стварно тежак проблем за безбедно обављање и то је заиста једна од највећих слабости у нашем тренутном систему“.

„Ако заборавите лозинку и изгубите телефон и успете да га вратите, то је велика мета за нападаче“, рекао је Вивер у мејлу. „Ако заборавите лозинку и изгубите телефон, а не можете, сада сте изгубили ауторизациони код који се користи за пријављивање. Требало би да буде последњи. Аппле има инфраструктуру да то подржи (иЦлоуд привезак за кључеве), али је није јасно да ли Гоогле то чини.”

Међутим, рекао је он, ФИДО-ов општи приступ био је одлично средство за побољшање и безбедности и употребљивости.

„То је заиста добар корак напред, и драго ми је што то видим“, рекао је Вивер. „Искористити снажну аутентификацију телефона власника телефона (ако имате пристојан приступни код) је прилично кул. И барем за иПхоне, ово можете учинити робусним чак и за компромис телефона, јер је џепни сеф тај који ће то решити и безбедан поцкет не верује ОС домаћину.“

Технолошки гиганти су рекли да ће нове могућности без лозинке бити омогућене на платформама Аппле, Гоогле и Мицрософт „током следеће године“. Али стручњаци кажу да ће вероватно требати још неколико година да мање веб дестинације усвоје ту технологију и потпуно одустану од лозинки.

Недавна истраживања показују да превише људи још увек поново користи или поново користи лозинке (благо модификујући исту лозинку), што представља ризик од преузимања налога када се ти акредитиви на крају разоткрију у упаду података. а Извештај У марту компаније за сајбер безбедност СпиЦлоуд Откривено је да 64 одсто корисника поново користи лозинке за више налога, а 70 одсто акредитива који су компромитовани у претходним кршењима још увек се користи.

Бели документ доступан у марту 2022. о приступу ФИДО-а овде (ПДФ). Постоје питања и одговори на то овде.