Ваш телефон би ускоро могао да промени многе ваше лозинке – Цриппс он Сецурити

Аппле, Гоогле И Мицрософт Ове недеље је најавио да ће ускоро подржати приступ аутентификацији који у потпуности елиминише лозинке, уместо да захтева од корисника да отворе своје паметне телефоне да би се пријавили на веб локације или онлајн услуге. Стручњаци кажу да ће ове промене помоћи да се победе многе врсте пхисхинг напада и да се олакша укупни терет лозинки за кориснике интернета, али упозоравају да ће будућност без правих лозинки бити још много година за већину веб локација.

Слика: Блог.гоогле

Технолошки гиганти су део напора које предводи индустрија да се промене лозинке које се лако заборављају, које се често краду малвером и пхисхинг преварама или које процуре на мрежи након кршења корпоративних података.

Аппле, Гоогле и Мицрософт су у партнерству са ФИДО („Фаст Идентити Онлине“) и Тхе Ворлд Виде Веб Федератион (В3Ц), тимови који су радили са стотинама технолошких компанија током протекле деценије како би развили нови стандард за пријаву који ради уједначено у више прегледача и оперативних система.

Према ФИДО алијанси, корисници се могу пријавити на веб-сајтове кроз исти процес који траје неколико пута дневно да откључају своје уређаје – укључујући ПИН уређаја или биометријски као што су отисак прста или скенирање лица.

„Овај нови приступ штити од крађе идентитета и чини пријављивање сигурнијим у поређењу са традиционалним мултифакторским технологијама као што су лозинке и једнократне лозинке које се шаљу путем СМС-а“, написала је Коалиција 5. маја.

Сампатх СринивасГоогле-ов директор за безбедносна овлашћења и шеф ФИДО алијансе рекао је да ће према новом систему ваш телефон чувати ФИДО акредитиве познате као „пасскеи“ који се користи за отварање вашег налога на мрежи.

READ  Најновије вести о рату у Русији и Украјини

„Засновано на шифровању јавног кључа, чини веома безбедним пријављивање са лозинком, јер ће бити приказана на вашем онлајн налогу само када отворите свој мобилни телефон“, написао је Сринивас. „Требаће вам телефон у близини да бисте се пријавили на веб локацију на рачунару. Од вас ће се тражити да га отворите за приступ. Када то урадите, више нећете морати да рестартујете телефон и можете се пријавити откључавањем рачунара.

Као ЗДНет Напомене, Аппле, Гоогле и Мицрософт већ подржавају ове стандарде без лозинке (нпр. „Пријавите се помоћу Гоогле-а“), али корисници морају да се пријаве на сваку веб локацију да би користили функцију без лозинке. Према новом систему, корисници ће моћи аутоматски да приступе својим лозинкама на више уређаја – без потребе да поново региструју сваки налог – и да се пријаве на апликацију или веб локацију на оближњем уређају користећи свој мобилни уређај.

Јоханнес УлрицхИстраживање тинејџера за САНС Тецхнологи ЦомпаниСаопштење је названо „најперспективнијим покушајем да се реши изазов акредитације“.

„Најважнији део овог стандарда је да корисници не морају да купују нови уређај, већ да користе уређаје које већ имају и знају како да их користе као аутентификаторе“, рекао је Улрих.

Стеве БелловПрофесор рачунарства и раног интернета на Универзитету Колумбија Истраживач и пионирНазван „највећим побољшањем“ у препознавању иницијативе без лозинке, али је рекао да ће многим веб локацијама бити потребно предуго да их сустигну.

Белловс и други тврде да у незгодној ситуацији са овим новим програмом за аутентификацију без лозинке, ако неко изгуби свој мобилни уређај или му се телефон поквари, неће моћи да поврати иЦлоуд лозинку.

READ  Свемирски телескоп Џејмс Веб дели нову слику након достизања оптичке прекретнице

„Бринем се за људе који не могу да приуште додатни уређај или могу лако да замене покварени или украдени уређај“, рекао је Беловин. „Забринут сам за опоравак лозинке за налоге у облаку.“

Гоогле каже Чак и ако изгубите мобилни телефон, „ваше лозинке ће бити безбедно синхронизоване са вашим новим мобилним из резервне копије у облаку, што ће вам омогућити да преузмете стари уређај са паркинга.“

Аппле и Мицрософт имају решења за прављење резервних копија у облаку која корисници који користе те сајтове могу да користе за опоравак са изгубљеног мобилног уређаја. Али према Беллоу, то зависи од тога колико се безбедно управља таквим системима у облаку.

„Колико је лако додати јавни кључ на други уређај без аутентификације?“ Бело је био изненађен. „Мислим да њихова етика то онемогућава, али други се не слажу.

Николас ВиверПредавач у области рачунарства Универзитет Калифорније, БерклиРекао је да би веб-сајтови требало да имају још корака за опоравак у ситуацији „изгубили сте телефон и лозинку“, што је описао као „веома тежак проблем за безбедно решавање и већ једну од највећих слабости у нашем тренутном систему“.

„Ако можете да заборавите лозинку, изгубите телефон и повратите га, сада је ово велика мета за нападаче“, рекао је Вивер у мејлу. „Ако заборавите лозинку и изгубите мобилни телефон, сада ћете изгубити токен за аутентификацију који се користи за пријаву. Мора бити ово друго. Аппле има инфраструктуру да то подржи (иЦлоуд привезак за кључеве), али није јасно да ли ће Гоогле.

Без обзира на то, он је рекао да је укупни ФИДО приступ одличан алат за побољшање безбедности и употребљивости.

READ  Најаве избора у Аустралији уживо: Први извештаји указују на скори завршетак

„То је добар корак и драго ми је што ово видим“, рекао је Вивер. „Веома је добро користити снажну аутентификацију власника телефона (ако имате пристојан приступни код). И барем за иПхоне, чак и телефонски компромиси могу ово учинити јаким, јер то је безбедна енклава која њиме управља и не верује безбедном оперативном систему енклаве.

Технолошке легенде кажу да ће нове могућности без лозинке бити имплементиране „у наредној години“ на оперативним системима Аппле, Гоогле и Мицрософт. Али стручњаци кажу да ће и даље бити потребно много година да мале интернет странице усвоје ту технологију и потпуно се отарасе лозинки.

Недавна истраживања показују да многи људи поново користе или рециклирају лозинке (мало мењајући исту лозинку), што представља ризик од аквизиције налога када су ти акредитиви изложени у случају повреде података. А Извештај Март из сајбер безбедности СпиЦлоуд 64% корисника сматра да поново користе лозинке за више налога, а 70% акредитива компромитованих у претходним кршењима је и даље у употреби.

Доступна је Бела књига о ФИДО приступу из марта 2022 Ево (ПДФ). У њему се налази често постављана питања Ево.

Оставите одговор

Ваша адреса е-поште неће бити објављена.