Telefonul dvs. poate înlocui în curând multe dintre parolele dvs.: Krebs despre securitate

Măr, Google Y Microsoft a anunțat săptămâna aceasta că vor sprijini în curând o abordare de autentificare care evită cu totul parolele și, în schimb, solicită utilizatorilor să-și deblocheze pur și simplu smartphone-urile pentru a se conecta la site-uri web sau la servicii online. Experții spun că modificările ar trebui să ajute la înfrângerea multor tipuri de atacuri de tip phishing și să ușureze povara generală a parolelor asupra utilizatorilor de internet, dar avertizează că un viitor cu adevărat fără parolă ar putea fi încă la câțiva ani pentru majoritatea utilizatorilor site-urilor web.

Imagine: Blog.google

Giganții tehnologiei fac parte dintr-un efort condus de industrie de a înlocui parolele, care sunt ușor uitate, furate frecvent de programe malware și scheme de phishing sau scurse și vândute online ca urmare a încălcării datelor corporative.

Apple, Google și Microsoft sunt unii dintre cei mai activi contribuitori la un standard de conectare fără parolă, creat de Alianța FIDO (“Fast Identity Online”) și de World Wide Web Consortium (W3C), grupuri care au lucrat cu sute de tehnologii. . companiilor din ultimul deceniu să dezvolte un nou standard de conectare care să funcționeze în același mod în mai multe browsere și sisteme de operare.

Potrivit Alianței FIDO, utilizatorii se vor putea conecta la site-uri web prin aceeași acțiune pe care o întreprind de mai multe ori pe zi pentru a-și debloca dispozitivele, inclusiv un PIN al dispozitivului sau datele biometrice, cum ar fi amprenta digitală sau scanarea facială.

„Această nouă abordare protejează împotriva phishingului și autentificarea va fi radical mai sigură în comparație cu parolele și tehnologiile moștenite cu mai mulți factori, cum ar fi codurile de acces unice trimise prin SMS”, a scris alianța pe 5 iunie.

Sampath Srinivasdirector de autentificare de securitate la Google și președinte al Alianței FIDO, a spus că în noul sistem telefonul dvs. va stoca o autentificare FIDO numită „cheie de acces”, care este folosită pentru a vă debloca contul online.

„Cheia de acces face conectarea mult mai sigură, deoarece se bazează pe criptografia cu cheie publică și apare doar în contul dvs. online atunci când vă deblocați telefonul”, a scris Srinivas. „Pentru a vă conecta la un site web de pe computer, veți avea nevoie doar de telefonul dvs. în apropiere și vi se va solicita pur și simplu să îl deblocați pentru a accesa. După ce ați făcut acest lucru, nu veți mai avea nevoie de telefon și vă puteți conecta pur și simplu deblocându-vă computerul.”

Ce ZDNet Note, Apple, Google și Microsoft acceptă deja aceste standarde fără parolă (de exemplu, „Conectați-vă cu Google”), dar utilizatorii trebuie să se conecteze la fiecare site web pentru a utiliza funcționalitatea fără parolă. Cu acest nou sistem, utilizatorii vor putea să-și acceseze automat parola pe multe dintre dispozitivele lor, fără a fi nevoie să se reînregistreze în fiecare cont și să își folosească dispozitivul mobil pentru a se conecta la o aplicație sau un site web pe un dispozitiv din apropiere.

John Ulrichdecan de cercetare la Institutul de Tehnologie SANS, a numit anunțul „de departe cel mai promițător efort de a rezolva provocarea de autentificare”.

„Cea mai importantă parte a acestui standard este că nu va cere utilizatorilor să cumpere un nou dispozitiv, ci mai degrabă pot folosi dispozitivele pe care le dețin deja și știu cum să le folosească ca autentificatori”, a spus Ullrich.

Steve BellovinProfesor de informatică la Universitatea Columbia și unul dintre primii cercetători și pionieri ai Internetului, el a numit efortul fără parolă o „recunoaștere” în autentificare, dar a spus că multe site-uri web vor avea nevoie de mult timp pentru a ajunge din urmă.

Bellovin și alții spun că un scenariu potențial dificil în această nouă schemă de autentificare fără parolă este ceea ce se întâmplă atunci când cineva își pierde dispozitivul mobil sau i se rupe telefonul și nu își poate aminti parola iCloud.

„Sunt îngrijorat de oamenii care nu își permit un dispozitiv suplimentar sau care nu pot înlocui cu ușurință un dispozitiv rupt sau furat”, a spus Bellovin. „Sunt îngrijorat de recuperarea parolelor uitate pentru conturile cloud.”

Google spune că, chiar dacă îți pierzi telefonul, „cheile tale de acces vor fi sincronizate în siguranță cu noul tău telefon din backup-ul în cloud, permițându-ți să reluezi exact de unde a rămas vechiul dispozitiv”.

Apple și Microsoft au, de asemenea, soluții de backup în cloud pe care clienții care folosesc acele platforme le-ar putea folosi pentru a recupera de pe un dispozitiv mobil pierdut. Dar Bellovin a spus că multe depind de cât de sigur sunt gestionate acele sisteme cloud.

„Cât de ușor este să adăugați cheia publică a altui dispozitiv la un cont, fără autorizare?” se întrebă Bellovin. „Cred că protocoalele lor fac imposibil, dar alții nu sunt de acord”.

Nicholas Weaverprofesor la catedra de informatică Universitatea din California, Berkeleya spus că site-urile web nu au încă un mecanism de recuperare pentru scenariul „telefonului și parolei pierdute”, pe care l-a descris ca „o problemă cu adevărat dificil de rezolvat în siguranță și este deja una dintre cele mai mari slăbiciuni ale sistemului nostru actual”.

„Dacă uiți parola și îți pierzi telefonul și îl poți recupera, acum aceasta este o țintă mare pentru atacatori”, a spus Weaver într-un e-mail. „Dacă uiți parola și îți pierzi telefonul și NU POȚI, acum ți-ai pierdut tokenul de autorizare care este folosit pentru a te autentifica. Va trebui să fie ultimul. Apple are infrastructura pentru a-l susține (iCloud Keychain), dar nu este clar dacă Google o are.”

Totuși, a spus el, abordarea generală a FIDO a fost un instrument excelent pentru îmbunătățirea atât a securității, cât și a ușurinței în utilizare.

„Este un pas foarte, foarte bun înainte și sunt încântat să văd asta”, a spus Weaver. „Este grozav să folosiți o autentificare puternică a proprietarului telefonului (dacă aveți o parolă decentă). Și cel puțin pentru iPhone, puteți face acest lucru robust chiar și pentru a compromite telefonul, deoarece este enclava sigură care s-ar ocupa de acest lucru, iar enclava sigură nu are încredere în sistemul de operare gazdă.”

Giganții tehnologiei au spus că noile capabilități fără parolă vor fi activate pe platformele Apple, Google și Microsoft „pe parcursul anului viitor”. Dar experții au spus că probabil că va mai dura câțiva ani pentru ca destinațiile web mai mici să adopte tehnologia și să elimine cu totul parolele.

Cercetări recente arată că prea mulți oameni încă reutiliza sau reciclează parolele (modificând ușor aceeași parolă), prezentând un risc de preluare a contului atunci când acele acreditări sunt în cele din urmă expuse într-o încălcare a datelor. Un raport din martie de la firma de securitate cibernetică spycloud a constatat că 64% dintre utilizatori reutiliza parolele pentru mai multe conturi și că 70% dintre acreditările compromise în încălcări anterioare sunt încă în uz.

O carte albă din martie 2022 despre abordarea FIDO este disponibilă aici (PDF). O întrebare frecventă despre acest lucru este aici.

Add Comment