jablkoA Google A Microsoft Tento týden oznámili, že brzy podpoří přístup k ověřování, který se zcela vyhýbá heslům a místo toho vyžaduje, aby uživatelé pouze odemkli své smartphony, aby se mohli přihlásit na webové stránky nebo online služby. Odborníci tvrdí, že změny by měly pomoci porazit mnoho typů phishingových útoků a zmírnit celkovou zátěž uživatelů internetu hesly, ale varují, že skutečná budoucnost bez hesla může být stále vzdálená většině webových stránek.
Technologickí giganti jsou součástí průmyslového úsilí o nahrazení hesel, která se snadno zapomenou, jsou často ukradena malwarem a phishingovými schématy nebo unikají a prodávají online v důsledku porušení podnikových dat.
Apple, Google a Microsoft jsou jedni z nejaktivnějších přispěvatelů do standardu přihlašování bez hesla, který zavedla aliance FIDO („Fast Identity Online“) a World Wide Web konsorcium (W3C), skupiny, které v posledním desetiletí spolupracovaly se stovkami technologických společností na vývoji nového standardu přihlašování, který funguje stejně v různých prohlížečích a operačních systémech.
Podle aliance FIDO se uživatelé budou moci přihlásit na webové stránky stejným postupem, který provádějí několikrát denně, aby odemkli své zařízení – včetně kódu PIN zařízení nebo biometrických údajů, jako je otisk prstu nebo sken obličeje.
„Tento nový přístup chrání před phishingem a ve srovnání se staršími vícefaktorovými hesly a technologiemi, jako jsou jednorázové přístupové kódy zasílané prostřednictvím SMS, učiní přihlašování radikálně bezpečnějším,“ napsala koalice 5.
Sampath SrinivasPodle nového systému bude váš telefon ukládat pověření FIDO nazývané „passkey“, které se používá k otevření vašeho účtu online, řekl ředitel bezpečnostní autentizace společnosti Google a prezident aliance FIDO.
„Heslo dělá přihlašování bezpečnější, protože je založeno na kryptografii s veřejným klíčem a je viditelné pouze pro váš online účet, když odemknete telefon,“ napsal Srinivas. „Abyste se mohli přihlásit na webovou stránku na svém počítači, budete potřebovat pouze svůj telefon poblíž sebe a budete jej muset jednoduše odemknout, abyste k nim měli přístup. Jakmile to uděláte, nebudete znovu potřebovat svůj telefon a můžete se přihlásit po odemknutí.“ váš počítač.“
Jako ZDNet PoznámkySpolečnosti Apple, Google a Microsoft již podporují tyto standardy bez hesla (například „Přihlásit se pomocí Googlu“), ale uživatelé se musí na každém webu přihlásit, aby mohli používat funkci bez hesla. V rámci tohoto nového systému budou uživatelé moci automaticky přistupovat ke svým přístupovým klíčům na mnoha svých zařízeních – aniž by museli znovu registrovat každý účet – a používat své mobilní zařízení k přihlášení do aplikace nebo webové stránky na blízkém zařízení.
Johannes UlrichDean hledá Sans Institute of TechnologyOznámení označilo za „zdaleka nejslibnější snahu o vyřešení výzvy k ověření“.
„Nejdůležitější součástí tohoto standardu je, že nebude vyžadovat, aby si uživatelé kupovali nové zařízení, ale místo toho mohou používat zařízení, která již vlastní a vědí, jak je používat jako autentizátory,“ řekl Ulrich.
Steve Bellovinprofesor informatiky na Kolumbijské univerzitě a raného internetu Výzkumník a průkopníkpopsal snahu bez hesla jako „obrovský pokrok“ v autentizaci, ale řekl, že to bude trvat příliš dlouho, než to mnoho webů dožene.
Jedním z potenciálně ošemetných scénářů v novém autentizačním systému bez hesla je to, co se stane, když někdo ztratí své mobilní zařízení nebo se mu rozbije telefon a nemůže si vzpomenout na heslo iCloud, říkají Belovin a další.
„Mám starost o lidi, kteří si nemohou koupit další zařízení nebo nemohou snadno vyměnit rozbité nebo ukradené zařízení,“ řekl Belovin. „Mám obavy z obnovení zapomenutého hesla pro cloudové účty.“
Google říká Že i když ztratíte telefon, „vaše přístupové klíče budou bezpečně synchronizovány s vaším novým telefonem z cloudové zálohy, což vám umožní pokračovat tam, kde vaše staré zařízení skončilo.“
Apple a Microsoft mají také cloudová zálohovací řešení, která mohou zákazníci využívající tyto platformy použít k obnově ze ztraceného mobilního zařízení. Ale Belovin řekl, že hodně záleží na tom, jak bezpečně jsou tyto cloudové systémy spravovány.
„Jak snadné je přidat veřejný klíč jiného zařízení k účtu bez povolení?“ zeptal se Belovin. „Myslím, že jejich protokoly to znemožňují, ale ostatní s tím nesouhlasí.“
Nicholas WeaverPřednášející na katedře informatiky na Kalifornská univerzita, BerkeleyŘekl, že webové stránky by stále měly mít nějaké mechanismy obnovy pro scénář „Ztratili jste telefon a heslo“, což popsal jako „skutečně náročný problém, který lze bezpečně provést, a je to skutečně jedna z největších slabin našeho současného systému.“
„Pokud zapomenete heslo a ztratíte telefon a podaří se vám jej získat zpět, je to pro útočníky velký cíl,“ uvedl Weaver v e-mailu. „Pokud zapomenete heslo a ztratíte telefon a nemůžete, nyní jste ztratili autorizační kód používaný k přihlášení. Měl by být poslední. Apple má infrastrukturu, která to podporuje (iCloud klíčenka), ale není jasné, jestli to dělá Google.“
Řekl však, že obecný přístup FIDO je skvělým nástrojem pro zlepšení bezpečnosti i použitelnosti.
„Je to opravdu dobrý krok vpřed a jsem rád, že to vidím,“ řekl Weaver. „Využití silné autentizace majitele telefonu (pokud máte slušný přístupový kód) je docela fajn. A alespoň pro iPhone to můžete udělat robustní i pro kompromis s telefonem, protože je to kapesní trezor, který to zvládne a bezpečný pocket nedůvěřuje operačnímu systému hostitele.“
Techničtí giganti uvedli, že nové funkce bez hesla budou povoleny na platformách Apple, Google a Microsoft „v průběhu příštího roku“. Odborníci však uvedli, že bude pravděpodobně trvat několik dalších let, než menší webové destinace přijmou technologii a úplně se vzdají hesel.
Nedávný výzkum ukazuje, že příliš mnoho lidí stále znovu používá nebo znovu používá hesla (mírně upravuje stejné heslo), což představuje riziko převzetí účtu, když jsou tyto přihlašovací údaje nakonec odhaleny při úniku dat. A Zpráva V březnu kybernetické bezpečnostní společnosti SpyCloud Zjistilo se, že 64 procent uživatelů opakovaně používá hesla pro více účtů a 70 procent přihlašovacích údajů, které byly kompromitovány při předchozích porušeních, se stále používá.
Bílý dokument k dispozici v březnu 2022 o přístupu FIDO tady (PDF). Jsou na to otázky a odpovědi tady.
„Unapologetický analytik. Rozzuřeně skromný kávový evangelista. Hráč. Nelze psát s boxerskými rukavicemi. Student. Podnikatel.“