Klíčové poznatky
- Aliance FIDO zveřejnila whitepaper analyzující nedostatky, které brání tomu, aby se její standard ověřování bez hesla stal běžným.
- Mechanismy ověřování bez hesel selhávaly při nahrazení hesel, protože jsou nepohodlné, navrhuje whitepaper.
-
Navrhuje použití chytrých telefonů jako bezpečnostních klíčů pro roaming.
Vytváření a správa silných hesel je nepohodlné, ale přidávání dalších kroků a zařízení do procesu ověřování je ještě větší bolest.
To je závěr whitepaperu Fast ID Online Alliance (FIDO), který obviňuje problémy s použitelností z toho, že brání tomu, aby se mechanismy autentizace bez hesla staly mainstreamem. Aliance však přišla s řešením, jak problém jednou provždy vyřešit a učinit standard ověřování FIDO stejně všudypřítomný jako hesla.
"FIDO překonalo všechna původní očekávání," řekl Bill Leddy, viceprezident pro produkt na LoginID, Lifewire e-mailem po prostudování whitepaperu. "[Je] je opravdu blízko vyřešení všech [problémů] s ověřováním, ale potřebuje trochu víc."
Zrušení hesel
Leddy věří, že hesla přežila své používání. Obviňuje bezpečnostní průmysl ze selhání lidí tím, že příliš dlouho prosazuje slabé možnosti.
"Hesla jsou nyní 60 let stará, ale zůstávají primární možností ověřování pro většinu účtů. Spotřebitelé mají mnoho různých účtů a očekává se, že si pro každý z nich zapamatují jedinečné heslo. To není praktické řešení, " tvrdil Leddy. Dodal, že v dnešním internetu, kde lze webové stránky snadno klonovat, je úkolem bezpečnostního průmyslu vybavit lidi správnými nástroji, které zabrání narušení účtů.
Společnost FIDO Alliance, otevřené průmyslové sdružení, vytvořené za účelem snížení závislosti na heslech, na tomto problému pracuje již asi deset let. Vytvořila autentizační standard FIDO, který nebyl schopen získat trakci. V dokumentu whitepaper si aliance myslí, že konečně identifikovala chybějící dílek skládačky a také nastínila strategii, jak jej překonat.
Podle aliance má současný autentizační mechanismus FIDO bez hesla inherentní problémy s použitelností, které mu brání dosáhnout širokého přijetí.
"[Všimli jsme si omezeného přijetí [ve spotřebitelském prostoru] kvůli vnímaným nepříjemnostem fyzických bezpečnostních klíčů (nákup, registrace, nošení, obnova) a problémům, kterým spotřebitelé čelí s autentizátory platforem (např.např. nutnost znovu zaregistrovat každé nové zařízení; žádné snadné způsoby obnovy ze ztracených nebo odcizených zařízení) jako druhý faktor,“poznamenal list.
Abychom tyto problémy překonali, bílá kniha vyzývá k používání našich chytrých telefonů jako roamingových autentizátorů nebo přenosných bezpečnostních klíčů.
Zařízení uživatele jako roamingový autentizátor představuje skvělou uživatelskou zkušenost a je mnohem bezpečnější než hesla na polodůvěryhodném zařízení, pokud je provedeno správně. Vzhledem k tomu, že nové chytré telefony nativně podporují FIDO a spotřebitelé jsou jen zřídka daleko od svých telefonů, je dobrá volba,“souhlasil Leddy.
Cesta vpřed
Bílá kniha však naznačuje, že k tomu, aby se chytré telefony staly úspěšnými přenosnými bezpečnostními klíči, musí FIDO navrhnout hladký proces, aby lidé mohli přidávat svá mobilní zařízení nebo mezi nimi přepínat.
Argumentuje tím, že pokud proces pro základní úkoly, jako je nastavení nového telefonu nebo přechod na nový, není přímočarý, lidé pravděpodobně celý nápad odmítnou jako nepohodlný. Aby se tomu zabránilo, dokument navrhuje zavedení nové techniky, kterou nazývají pověření FIDO pro více zařízení nebo „přístupové klíče“.
Přihlašovací údaje 'passkey' pro více zařízení řeší dlouhodobou otázku týkající se FIDO. Otázkou bylo, jak přejít na nové zařízení, pokud jsem na svém starém zařízení zaregistroval 50 pověření pro konkrétní doménu a poté získal nové zařízení. Nikdo nechce projít obnovením účtu pro 50 různých služeb, aby znovu svázal nové přihlašovací údaje FIDO,“vysvětlil Leddy.
FIDO tvrdí, že přístupové klíče pomohou této situaci zcela předejít tím, že zajistí, že když přepneme z jednoho zařízení na druhé, naše přihlašovací údaje FIDO na nás již čekají. Tento dokument je samozřejmě koncepční a Leddy si myslí, že takový mechanismus je jednodušší navrhnout než implementovat.
„Bylo by nešťastné, kdyby řešení přístupových klíčů byla specifická pro dodavatele, takže spotřebitel nemohl přepínat mezi výrobci zařízení nebo dokonce heterogenní sadou zařízení (MacBook a telefon Android), “varoval Leddy.
Je však přesvědčen, že aliance FIDO, která mezi své členy počítá těžké váhy jako Apple, Meta, Google, PayPal, Wells Fargo, American Express a Bank of America, přijde s řešeními, která nejsou Je pouze univerzální, ale také důkladně prověřený proti útokům.
FIDO věří, že přihlašovací údaje FIDO pro více zařízení se stanou posledním hřebíkem do rakve pro hesla. „Doufáme, že zavedením těchto nových funkcí umožníme webům a aplikacím nabízet komplexní možnost skutečně bez hesla; nejsou vyžadována žádná hesla ani jednorázové přístupové kódy (OTP),“uvedla aliance.