24 grudnia, 2024

Świat Biotworzyw

Informacje o Polsce. Wybierz tematy, o których chcesz dowiedzieć się więcej

Twój telefon może wkrótce zastąpić wiele Twoich haseł – Krebs on Security

jabłkoI Google I Microsoft W tym tygodniu ogłosili, że wkrótce będą wspierać podejście do uwierzytelniania, które całkowicie unika haseł, a zamiast tego wymaga od użytkowników po prostu odblokowania smartfonów w celu zalogowania się na stronach internetowych lub usługach online. Eksperci twierdzą, że zmiany powinny pomóc w pokonaniu wielu rodzajów ataków phishingowych i złagodzić ogólne obciążenie hasłami użytkowników Internetu, ale ostrzegają, że prawdziwa przyszłość bez hasła może nadal być daleka od większości witryn.

Zdjęcie: Blog.google

Giganci technologiczni są częścią prowadzonych przez branżę wysiłków na rzecz zastąpienia haseł, które można łatwo zapomnieć, często kradzione przez złośliwe oprogramowanie i programy phishingowe lub które wyciekają i są sprzedawane online w wyniku naruszeń bezpieczeństwa danych korporacyjnych.

Apple, Google i Microsoft są jednymi z najbardziej aktywnych współtwórców standardu logowania bez hasła ustanowionego przez sojusz FIDO („Fast Identity Online”) i Konsorcjum World Wide Web (W3C), grupy, które współpracowały z setkami firm technologicznych w ciągu ostatniej dekady, aby opracować nowy standard logowania, który działa tak samo w wielu przeglądarkach i systemach operacyjnych.

Według FIDO Alliance użytkownicy będą mogli logować się na stronach internetowych za pomocą tej samej procedury, którą wykonują wiele razy dziennie, aby odblokować swoje urządzenie – w tym kodu PIN urządzenia lub danych biometrycznych, takich jak odcisk palca lub skan twarzy.

„To nowe podejście chroni przed phishingiem i sprawi, że logowanie będzie znacznie bezpieczniejsze w porównaniu ze starszymi wieloskładnikowymi hasłami i technologiami, takimi jak jednorazowe hasła wysyłane SMS-em” – napisała koalicja 5 maja.

Sampath SrinivasW nowym systemie Twój telefon będzie przechowywać dane uwierzytelniające FIDO zwane „kluczem”, które są używane do otwierania konta online, powiedział dyrektor Google ds. uwierzytelniania zabezpieczeń i prezes FIDO Alliance.

„Klucz dostępu sprawia, że ​​logowanie jest bezpieczniejsze, ponieważ opiera się na kryptografii klucza publicznego i jest widoczne tylko dla Twojego konta online po odblokowaniu telefonu” – napisał Srinivas. „Aby zalogować się do witryny internetowej na swoim komputerze, będziesz potrzebować tylko telefonu znajdującego się w pobliżu i po prostu będziesz musiał go odblokować, aby uzyskać do niego dostęp. Gdy to zrobisz, nie będziesz już potrzebować telefonu i możesz się zalogować po odblokowaniu Twój komputer.”

Lubić ZDNet UwagiApple, Google i Microsoft obsługują już te standardy bezhasłowe (takie jak „Zaloguj się przez Google”), ale użytkownicy muszą zalogować się w każdej witrynie, aby korzystać z funkcji bezhasłowych. W ramach tego nowego systemu użytkownicy będą mogli automatycznie uzyskiwać dostęp do swoich haseł na wielu swoich urządzeniach – bez konieczności ponownej rejestracji każdego konta – i używać urządzenia mobilnego do logowania się do aplikacji lub witryny internetowej na pobliskim urządzeniu.

Johannes UlrichSzukaj dziekana dla Instytut Technologiczny SansOgłoszenie nazwało „zdecydowanie najbardziej obiecującą próbą rozwiązania problemu uwierzytelniania”.

„Najważniejszą częścią tego standardu jest to, że nie będzie wymagał od użytkowników zakupu nowego urządzenia, ale zamiast tego może korzystać z urządzeń, które już posiadają i które wiedzą, jak używać ich jako uwierzytelniających” – powiedział Ulrich.

Steve Bellovinaprofesor informatyki na Uniwersytecie Columbia i wczesnego Internetu Badacz i pionieropisał wysiłek bez hasła jako „ogromny postęp” w uwierzytelnianiu, ale powiedział, że wiele stron internetowych zajmie to zbyt dużo czasu.

Jednym z potencjalnie trudnych scenariuszy w nowym systemie uwierzytelniania bezhasłowego jest sytuacja, w której ktoś zgubi urządzenie mobilne lub jego telefon się zepsuje i nie pamięta hasła do iCloud, mówią Belovin i inni.

„Martwię się o ludzi, którzy nie mogą kupić dodatkowego urządzenia lub nie mogą łatwo wymienić zepsutego lub skradzionego urządzenia” – powiedział Belovin. „Jestem zaniepokojony odzyskaniem zapomnianego hasła do kont w chmurze”.

Google Mówi Że nawet jeśli zgubisz telefon, „Twoje hasła zostaną bezpiecznie zsynchronizowane z nowym telefonem z kopii zapasowej w chmurze, co pozwoli Ci wznowić miejsce, w którym zostało przerwane stare urządzenie”.

Firmy Apple i Microsoft mają również rozwiązania do tworzenia kopii zapasowych w chmurze, które klienci korzystający z tych platform mogą wykorzystać do odzyskania utraconego urządzenia mobilnego. Ale Belovin powiedział, że wiele zależy od tego, jak bezpiecznie zarządza się tymi systemami w chmurze.

„Jak łatwo jest dodać klucz publiczny innego urządzenia do konta bez pozwolenia?” – zapytał Biełowin. „Myślę, że ich protokoły to uniemożliwiają, ale inni się z tym nie zgadzają”.

Mikołaj TkaczWykładowca w Katedrze Informatyki na Uniwersytet Kalifornijski w BerkeleyPowiedział, że strony internetowe powinny nadal mieć pewne mechanizmy odzyskiwania dla scenariusza „Zgubiłeś telefon i hasło”, który opisał jako „naprawdę trudny problem do bezpiecznego wykonania i jest to naprawdę jedna z największych słabości naszego obecnego systemu”.

„Jeśli zapomnisz hasła, zgubisz telefon i uda ci się go odzyskać, jest to duży cel dla atakujących” – powiedział Weaver w e-mailu. „Jeśli zapomnisz hasła i zgubisz telefon, a nie możesz, cóż, teraz zgubiłeś kod autoryzacyjny używany do logowania. Powinno to być ostatnie. Apple ma infrastrukturę, która to obsługuje (pęk kluczy iCloud), ale jest nie jest jasne, czy Google to robi”.

Powiedział jednak, że ogólne podejście FIDO jest doskonałym narzędziem do poprawy zarówno bezpieczeństwa, jak i użyteczności.

„To naprawdę dobry krok naprzód i cieszę się, że to widzę” – powiedział Weaver. „Wykorzystywanie silnego uwierzytelniania telefonu przez właściciela telefonu (jeśli masz przyzwoity kod dostępu) jest całkiem fajne. I przynajmniej w przypadku iPhone’a, możesz sprawić, że będzie to solidne nawet w przypadku kompromisu z telefonem, ponieważ to sejf kieszonkowy poradzi sobie z tym i bezpiecznym pocket nie ufa systemowi operacyjnemu hosta.”

Giganci technologiczni powiedzieli, że nowe funkcje bez hasła zostaną włączone na platformach Apple, Google i Microsoft „w ciągu przyszłego roku”. Eksperci twierdzą jednak, że wdrożenie tej technologii i całkowita rezygnacja z haseł zajmie mniejszym stronom internetowym jeszcze kilka lat.

Ostatnie badania pokazują, że zbyt wiele osób nadal używa ponownie lub ponownie używa haseł (nieznacznie modyfikując to samo hasło), co stwarza ryzyko przejęcia konta, gdy te dane uwierzytelniające zostaną ostatecznie ujawnione w przypadku naruszenia bezpieczeństwa danych. a Raport W marcu firma zajmująca się cyberbezpieczeństwem SpyCloud Okazało się, że 64 procent użytkowników ponownie używa haseł do wielu kont, a 70 procent danych uwierzytelniających, które zostały naruszone w poprzednich naruszeniach, nadal jest w użyciu.

Biały dokument dostępny w marcu 2022 r. na temat podejścia FIDO tutaj (PDF). Są na to pytania i odpowiedzi tutaj.