Mga Key Takeaway
- Nag-publish ang FIDO Alliance ng whitepaper na nagsusuri sa mga pagkukulang na pumipigil sa walang password nitong pamantayan sa pagpapatotoo na maging mainstream.
- Nabigo ang mga mekanismo ng pagpapatotoo na walang password na palitan ang mga password dahil hindi maginhawa ang mga ito, iminumungkahi ng whitepaper.
-
Iminungkahi nito ang paggamit ng mga smartphone bilang roaming security key.
Hindi maginhawang gawin at pamahalaan ang malalakas na password, ngunit ang pagdaragdag ng mga karagdagang hakbang at device sa proseso ng pag-authenticate ay mas malaking sakit ng ulo.
Iyan ang konklusyon ng isang whitepaper ng Fast ID Online Alliance (FIDO), na sinisisi ang mga isyu sa usability sa pagpigil sa mga mekanismo ng walang password na pagpapatunay na maging mainstream. Gayunpaman, ang alyansa ay nakabuo ng solusyon upang malutas ang problema minsan at magpakailanman at gawin ang pamantayan sa pagpapatotoo ng FIDO bilang lahat ng mga password.
"Nalampasan ng FIDO ang lahat ng paunang inaasahan, " sinabi ni Bill Leddy, VP ng Produkto sa LoginID, sa Lifewire sa pamamagitan ng email pagkatapos basahin ang whitepaper. "[Ito] ay talagang malapit nang malutas ang lahat ng [mga isyu] sa pagpapatotoo, ngunit nangangailangan ng kaunti pa."
Pagkansela ng Mga Password
Naniniwala si Leddy na ang mga password ay lumampas sa kanilang paggamit. Sinisisi niya ang industriya ng seguridad para sa pagkabigo sa mga tao sa pamamagitan ng pagtutulak ng mahihinang mga opsyon nang napakatagal.
"60 taong gulang na ngayon ang mga password ngunit nananatiling pangunahing opsyon sa pagpapatotoo para sa karamihan ng mga account. Ang mga mamimili ay may maraming iba't ibang account at inaasahang maaalala ang isang natatanging password para sa bawat isa. Iyan ay hindi praktikal na solusyon, " iginiit ni Leddy. Idinagdag niya na sa internet ngayon, kung saan ang mga website ay madaling ma-clone, ang trabaho ng industriya ng seguridad ay magbigay ng mga tao sa mga tamang tool upang maiwasan ang mga paglabag sa account.
Ang FIDO Alliance, isang bukas na asosasyon sa industriya, na nilikha upang bawasan ang pag-asa sa mga password, ay nagtatrabaho sa isyu sa halos isang dekada na ngayon. Nilikha nito ang pamantayan sa pagpapatunay ng FIDO, na hindi nakakuha ng traksyon. Sa whitepaper, inaakala ng alyansa na sa wakas ay natukoy na nito ang nawawalang piraso ng puzzle at nagbalangkas din ng diskarte upang madaig ito.
Ayon sa alyansa, ang kasalukuyang mekanismo ng walang password na pag-authenticate ng FIDO ay may likas na mga isyu sa usability na pumipigil dito mula sa pagkamit ng malawak na paggamit.
"Naobserbahan [namin] ang limitadong pag-aampon [sa consumer space], dahil sa nakikitang abala ng mga pisikal na security key (pagbili, pagpaparehistro, pagdadala, pagbawi), at ang mga hamon na kinakaharap ng mga consumer sa mga platform authenticator (hal.g., kinakailangang muling i-enroll ang bawat bagong device; walang madaling paraan para makabawi mula sa mga nawala o nanakaw na device) bilang pangalawang salik, " sabi ng papel.
Upang malampasan ang mga isyu, hinihiling ng whitepaper na gamitin ang aming mga smartphone bilang roaming authenticator o portable security key.
"Ang device ng user bilang roaming authenticator ay isang mahusay na karanasan ng user at mas secure kaysa sa mga password sa isang semi-pinagkakatiwalaang device kung ginawa nang tama. Dahil ang mga bagong smartphone ay native na sumusuporta sa FIDO at ang mga consumer ay bihirang malayo sa kanilang mga telepono, ito ay isang magandang opsyon, " sang-ayon ni Leddy.
The Way Forward
Gayunpaman, iminumungkahi ng whitepaper na para maging matagumpay ang mga smartphone bilang mga portable na security key, dapat na gumawa ang FIDO ng maayos na proseso para sa mga tao na magdagdag o lumipat sa pagitan ng kanilang mga mobile device.
Ito ay nangangatuwiran na kung ang proseso para sa mahahalagang gawain, gaya ng pag-set up ng bagong telepono o paglipat sa bago, ay hindi diretso, malamang na iwaksi ng mga tao ang buong ideya bilang hindi maginhawa. Upang maiwasan ito, ang papel ay nagmumungkahi ng pagpapakilala ng isang bagong pamamaraan na tinatawag nilang multi-device na mga kredensyal ng FIDO, o "mga passkey."
"Ang mga kredensyal ng multi-device na 'passkey' ay tumutugon sa isang matagal nang tanong tungkol sa FIDO. Ang tanong ay kung paano lumipat sa isang bagong device kung nag-enroll ako ng 50 na kredensyal na partikular sa domain sa aking lumang device at pagkatapos ay nakakuha ng bago device. Walang gustong dumaan sa pag-recover ng account para sa 50 iba't ibang serbisyo para i-rebind ang mga bagong kredensyal ng FIDO," paliwanag ni Leddy.
Iginiit ng FIDO na ang mga passkey ay makatutulong na maiwasan ang sitwasyong ito sa pamamagitan ng pagtiyak na kapag lumipat kami mula sa isang device patungo sa isa pa, ang aming mga kredensyal sa FIDO ay naghihintay na sa amin. Siyempre, ang papel ay konseptwal, at sa palagay ni Leddy ay mas madaling imungkahi ang gayong mekanismo kaysa ipatupad.
"Nakakalungkot kung ang mga solusyon sa passkey ay partikular sa vendor upang ang isang consumer ay hindi makalipat sa pagitan ng mga manufacturer ng device o kahit na isang heterogenous (MacBook at Android phone) na hanay ng mga device," babala ni Leddy.
Gayunpaman, tiwala siyang ang alyansa ng FIDO, na binibilang ang mga mabibigat na timbang gaya ng Apple, Meta, Google, PayPal, Wells Fargo, American Express, at Bank of America, sa mga miyembro nito, ay gagawa ng mga solusyon na ' t lamang unibersal ngunit masusing sinusuri laban sa mga pag-atake.
Naniniwala ang FIDO na ang multi-device na mga kredensyal ng FIDO ang magiging huling pako sa kabaong para sa mga password. "Sa pamamagitan ng pagpapakilala sa mga bagong kakayahan na ito, umaasa kaming mabibigyang kapangyarihan ang mga website at app na mag-alok ng end-to-end na tunay na walang password na opsyon; walang kinakailangang password o isang beses na passcode (OTP)," sabi ng alyansa.
