technologia
Twój telefon może wkrótce zastąpić wiele Twoich haseł – Rak na bezpieczeństwie
Jabłko, Google oraz Microsoft ogłosili w tym tygodniu, że wkrótce będą wspierać podejście do uwierzytelniania, które całkowicie unika haseł, zamiast wymagać od użytkowników po prostu odblokowania smartfonów w celu zalogowania się na stronach internetowych lub usługach online. Eksperci twierdzą, że zmiany powinny pomóc odeprzeć wiele rodzajów ataków phishingowych i zmniejszyć ogólne obciążenie hasłami użytkowników Internetu, ale należy pamiętać, że prawdziwa przyszłość bez haseł dla większości witryn może być jeszcze długa.
Giganci technologiczni są częścią prowadzonych przez branżę wysiłków na rzecz zastąpienia haseł, które można łatwo zapomnieć, często kradzione za pomocą złośliwego oprogramowania i programów phishingowych lub wyciekające i sprzedawane online w wyniku naruszeń bezpieczeństwa danych korporacyjnych.
Apple, Google i Microsoft są jednymi z bardziej aktywnych współtwórców standardu logowania bez hasła, promowanego przez sojusz FIDO („Fast Identity Online”) i Konsorcjum World Wide Web (W3C), grupy, które współpracowały z setkami firm technologicznych w ciągu ostatniej dekady, aby opracować nowy standard logowania, który działa w ten sam sposób w wielu przeglądarkach i systemach operacyjnych.
Według FIDO Alliance użytkownicy mogą logować się na stronach internetowych za pomocą tej samej czynności, którą wykonują wiele razy dziennie, aby odblokować swoje urządzenia — w tym kodu PIN urządzenia lub danych biometrycznych, takich jak odcisk palca lub skan twarzy.
„To nowe podejście chroni przed phishingiem, a logowanie będzie radykalnie bezpieczniejsze w porównaniu z hasłami i starszymi technologiami wieloskładnikowymi, takimi jak jednorazowe hasła wysyłane SMS-em” – napisał sojusz 5 maja.
Sampath SrinivasDyrektor ds. uwierzytelniania zabezpieczeń w Google i prezes FIDO Alliance powiedział, że w nowym systemie Twój telefon przechowuje poświadczenie FIDO o nazwie „Passkey”, które służy do odblokowywania konta online.
„Klucz dostępu sprawia, że logowanie jest znacznie bezpieczniejsze, ponieważ opiera się na kryptografii klucza publicznego i jest ujawniane na Twoim koncie online dopiero po odblokowaniu telefonu” – napisał Srinivas. „Aby zalogować się na stronie internetowej na swoim komputerze, wystarczy mieć telefon w pobliżu, a poprosi Cię o odblokowanie go w celu uzyskania dostępu. Gdy to zrobisz, nie potrzebujesz już telefonu i możesz się zalogować, po prostu odblokowując komputer”.
Kiedy ZDNet Uwagi, Apple, Google i Microsoft obsługują już te standardy bezhasłowe (np. „Zaloguj się przez Google”), ale użytkownicy muszą zalogować się w każdej witrynie, aby korzystać z funkcji bezhasłowych. Dzięki temu nowemu systemowi użytkownicy mogą automatycznie uzyskiwać dostęp do swojego hasła na wielu swoich urządzeniach — bez konieczności ponownego rejestrowania każdego konta — i używać urządzenia mobilnego do logowania się w aplikacji lub witrynie internetowej na pobliskim urządzeniu.
Jana UlrichaDziekan ds. Nauki Instytut Technologiczny SANSnazwał ogłoszenie „zdecydowanie najbardziej obiecującym wysiłkiem w celu rozwiązania wyzwania związanego z uwierzytelnianiem”.
„Najważniejszą częścią tego standardu jest to, że użytkownicy nie muszą kupować nowego urządzenia, mogą korzystać z urządzeń, które już posiadają i wiedzą, jak używać ich jako uwierzytelniających” – powiedział Ullrich.
Steve Bellovinaprofesor informatyki na Uniwersytecie Columbia i wczesny internet badacz i pioniernazwał wysiłki bez hasła „dużym krokiem naprzód” w zakresie uwierzytelniania, ale powiedział, że minie bardzo dużo czasu, zanim wiele witryn nadrobi zaległości.
Bellovin i inni twierdzą, że potencjalnie trudnym scenariuszem w tym nowym schemacie uwierzytelniania bez hasła jest sytuacja, w której ktoś zgubi urządzenie mobilne lub zepsuje się telefon i nie pamięta hasła do iCloud.
„Martwię się o ludzi, którzy nie mogą sobie pozwolić na dodatkowe urządzenie lub po prostu wymienić zepsute lub skradzione urządzenie” – powiedział Bellovin. „Martwię się o odzyskanie zapomnianych haseł do kont w chmurze”.
Google mówi Nawet jeśli zgubisz telefon, „klucze dostępu są bezpiecznie synchronizowane z nowym telefonem z kopii zapasowej w chmurze, dzięki czemu możesz wznowić pracę w miejscu, w którym zostało przerwane stare urządzenie”.
Firmy Apple i Microsoft mają również rozwiązania do tworzenia kopii zapasowych w chmurze, z których klienci korzystający z tych platform mogą korzystać w celu odzyskania utraconego urządzenia mobilnego. Jednak Bellovin powiedział, że wiele zależy od tego, jak bezpiecznie zarządza się takimi systemami w chmurze.
„Jak łatwo jest dodać klucz publiczny innego urządzenia do konta bez autoryzacji?”, zastanawiał się Bellovin. „Myślę, że ich protokoły to uniemożliwiają, ale inni się z tym nie zgadzają”.
Mikołaja WeberaWykładowca w Katedrze Informatyki Uniwersytet Kalifornijski w Berkeleypowiedział, że strony internetowe nadal muszą mieć mechanizm odzyskiwania w przypadku scenariusza „zgubiłeś telefon i hasło”, który opisał jako „naprawdę trudny problem do rozwiązania i już jest jedną z największych słabości naszego obecnego systemu”. .
„Jeśli zapomnisz hasła, zgubisz telefon i możesz go odzyskać, jest to teraz ogromny cel dla atakujących” – powiedział Weaver w e-mailu. „Jeśli zapomnisz hasła, zgubisz telefon i NIE MOŻESZ NIC ZROBIĆ, to straciłeś token autoryzacyjny, który służy do logowania. To musi być to drugie. Apple ma infrastrukturę, która to obsługuje (pęk kluczy iCloud), ale nie jest jasne, czy to robi Google”.
Niemniej jednak całe podejście FIDO jest świetnym narzędziem do poprawy bezpieczeństwa i użyteczności.
„To naprawdę dobry krok naprzód i jestem podekscytowany, widząc to” – powiedział Weaver. „Użycie przez telefon silnego uwierzytelnienia właściciela telefonu (jeśli masz przyzwoity kod dostępu) jest całkiem miłe. A przynajmniej w przypadku iPhone’a możesz sprawić, że będzie to solidne, nawet w przypadku kompromisów telefonicznych, ponieważ to bezpieczna enklawa poradzi sobie z tym, a bezpieczna enklawa nie ufa systemowi operacyjnemu hosta”.
Giganci technologiczni powiedzieli, że nowe funkcje bez hasła zostaną wprowadzone na platformach Apple, Google i Microsoft „w nadchodzącym roku”. Eksperci twierdzą jednak, że prawdopodobnie minie jeszcze kilka lat, zanim mniejsze witryny przyjmą tę technologię i całkowicie zrezygnują z haseł.
Ostatnie badania pokazują, że zbyt wiele osób nadal używa ponownie lub przetwarza hasła (nieznacznie zmieniając to samo hasło), co stwarza ryzyko przejęcia konta, jeśli te dane uwierzytelniające zostaną ostatecznie ujawnione w przypadku naruszenia bezpieczeństwa danych. A raport w marcu przez firmę zajmującą się cyberbezpieczeństwem SpyCloud odkryli, że 64 procent użytkowników ponownie używa haseł na różnych kontach, a 70 procent danych uwierzytelniających, które zostały naruszone podczas poprzednich naruszeń bezpieczeństwa, nadal jest w użyciu.
Biała księga z marca 2022 dotycząca podejścia FIDO jest dostępna tutaj (PDF). Istnieje FAQ na ten temat tutaj.