Ваш телефон скоро может заменить многие ваши пароли — Krebs on Security

яблокоИ Google И Майкрософт На этой неделе они объявили, что скоро будут поддерживать подход к аутентификации, который полностью избегает паролей и вместо этого требует, чтобы пользователи просто разблокировали свои смартфоны для входа на веб-сайты или в онлайн-сервисы. Эксперты говорят, что изменения должны помочь противостоять многим типам фишинговых атак и облегчить общее бремя паролей для пользователей Интернета, но они предупреждают, что истинное будущее без пароля может быть далеко не для большинства веб-сайтов.

Технологические гиганты являются частью отраслевых усилий по замене паролей, которые легко забываются, часто крадут с помощью вредоносных программ и фишинговых схем или утекают и продаются в Интернете после утечки корпоративных данных.

Apple, Google и Microsoft являются одними из самых активных участников стандарта входа без пароля, установленного альянсом FIDO («Fast Identity Online») и Консорциум всемирной паутины (W3C), группы, которые за последнее десятилетие работали с сотнями технологических компаний над разработкой нового стандарта входа в систему, который работает одинаково во многих браузерах и операционных системах.

Согласно Альянсу FIDO, пользователи смогут входить на веб-сайты с помощью той же процедуры, которую они делают несколько раз в день, чтобы разблокировать свое устройство, включая PIN-код устройства или биометрические данные, такие как отпечаток пальца или сканирование лица.

«Этот новый подход защищает от фишинга и делает вход в систему значительно более безопасным по сравнению с устаревшими многофакторными паролями и такими технологиями, как одноразовые коды доступа, отправляемые по SMS», — написала коалиция 5 мая.

Сампат ШринивасВ новой системе ваш телефон будет хранить учетные данные FIDO, называемые «ключом доступа», который используется для открытия вашей онлайн-учетной записи, сказал директор Google по аутентификации безопасности и глава FIDO Alliance.

«Ключ делает вход в систему более безопасным, потому что он основан на криптографии с открытым ключом и виден только вашей онлайн-учетной записи, когда вы разблокируете свой телефон», — написал Шринивас. «Чтобы войти на веб-сайт на вашем компьютере, вам понадобится только ваш телефон рядом с вами, и вам просто потребуется разблокировать его, чтобы получить к нему доступ. Как только вы это сделаете, вам больше не понадобится ваш телефон, и вы сможете войти в систему после разблокировки. ваш компьютер».

Нравиться ZDNet ПримечанияApple, Google и Microsoft уже поддерживают эти стандарты без пароля (например, «Войти через Google»), но пользователям необходимо входить в систему на каждом веб-сайте, чтобы использовать функцию без пароля. В рамках этой новой системы пользователи смогут автоматически получать доступ к своим паролям на многих своих устройствах — без необходимости повторной регистрации каждой учетной записи — и использовать свое мобильное устройство для входа в приложение или веб-сайт на соседнем устройстве.

Йоханнес УльрихДин ищет Технологический институт СансаОбъявление названо «безусловно, наиболее многообещающей попыткой решить проблему аутентификации».

«Самая важная часть этого стандарта заключается в том, что он не требует от пользователей покупки нового устройства, а вместо этого может использовать устройства, которые у них уже есть и которые они знают, как использовать в качестве аутентификаторов», — сказал Ульрих.

Стив БелловинПрофессор компьютерных наук Колумбийского университета и раннего Интернета Исследователь и пионерописал усилия без пароля как «огромный прогресс» в аутентификации, но сказал, что многим веб-сайтам потребуется слишком много времени, чтобы наверстать упущенное.

Один потенциально сложный сценарий в новой системе аутентификации без пароля — это то, что происходит, когда кто-то теряет свое мобильное устройство или его телефон ломается и не может вспомнить свой пароль iCloud, говорят Беловин и другие.

«Я беспокоюсь о людях, которые не могут купить дополнительное устройство или не могут легко заменить сломанное или украденное устройство», — сказал Беловин. «Меня беспокоит возможность восстановления забытого пароля для облачных учетных записей».

Google Говорит Что даже если вы потеряете свой телефон, «ваши пароли будут надежно синхронизированы с вашим новым телефоном из облачной резервной копии, что позволит вам продолжить с того места, где остановилось ваше старое устройство».

У Apple и Microsoft также есть решения для облачного резервного копирования, которые клиенты, использующие эти платформы, могут использовать для восстановления с потерянного мобильного устройства. Но Беловин сказал, что многое зависит от того, насколько безопасными будут управляться эти облачные системы.

«Насколько легко добавить открытый ключ другого устройства к учетной записи без разрешения?» — спросил Беловин. «Я думаю, что их протоколы делают это невозможным, но другие с этим не согласны».

Николас Уиверпреподаватель кафедры компьютерных наук Калифорнийский университет, БерклиОн сказал, что веб-сайты все еще должны иметь некоторые механизмы восстановления для сценария «Вы потеряли свой телефон и свой пароль», который он описал как «действительно сложную проблему для безопасного решения, и это действительно одна из самых больших слабостей в нашей текущей системе».

«Если вы забудете свой пароль, потеряете телефон и сумеете вернуть его, это станет серьезной целью для злоумышленников», — сказал Уивер в электронном письме. «Если вы забыли свой пароль и потеряли телефон и не можете этого сделать, значит, вы потеряли код авторизации, который использовался для входа в систему. Он должен быть последним. У Apple есть инфраструктура для его поддержки (связка ключей iCloud), но это неясно, делает ли это Google».

Однако, по его словам, общий подход FIDO был отличным инструментом для повышения как безопасности, так и удобства использования.

«Это действительно хороший шаг вперед, и я рад это видеть», — сказал Уивер. «Использование надежной аутентификации телефона владельца телефона (если у вас есть достойный код доступа) довольно круто. И, по крайней мере, для iPhone вы можете сделать это надежным даже для компрометации телефона, поскольку это карманный сейф, который справится с этим, и безопасный pocket не доверяет ОС хоста».

Технологические гиганты заявили, что новые возможности без пароля будут включены на платформах Apple, Google и Microsoft «в течение следующего года». Но эксперты говорят, что, вероятно, потребуется еще несколько лет, чтобы небольшие веб-сайты приняли эту технологию и полностью отказались от паролей.

Недавние исследования показывают, что слишком много людей по-прежнему повторно или повторно используют пароли (незначительно изменяя один и тот же пароль), что создает риск захвата учетной записи, когда эти учетные данные в конечном итоге раскрываются в результате утечки данных. а Отчет В марте компании по кибербезопасности SpyCloud Было обнаружено, что 64 процента пользователей повторно используют пароли для нескольких учетных записей, а 70 процентов учетных данных, которые были скомпрометированы в ходе предыдущих взломов, все еще используются.

Белый документ о подходе FIDO, доступный в марте 2022 г. здесь (PDF). Есть вопросы и ответы на него здесь.