Το τηλέφωνό σας μπορεί σύντομα να αντικαταστήσει πολλούς από τους κωδικούς πρόσβασής σας – Krebs on Security

Το τηλέφωνό σας μπορεί σύντομα να αντικαταστήσει πολλούς από τους κωδικούς πρόσβασής σας – Krebs on Security

μήλοΚαι Η Google Και Microsoft Ανακοίνωσαν αυτήν την εβδομάδα ότι θα υποστηρίξουν σύντομα μια προσέγγιση ελέγχου ταυτότητας που αποφεύγει εντελώς τους κωδικούς πρόσβασης και αντ ‘αυτού απαιτεί από τους χρήστες να ξεκλειδώνουν απλώς τα smartphone τους για να συνδεθούν σε ιστότοπους ή διαδικτυακές υπηρεσίες. Οι ειδικοί λένε ότι οι αλλαγές θα βοηθήσουν στην εξάλειψη πολλών τύπων επιθέσεων phishing και θα μειώσουν τη συνολική επιβάρυνση με κωδικό πρόσβασης στους χρήστες του Διαδικτύου, αλλά προειδοποιούν ότι το πραγματικό μέλλον χωρίς κωδικό πρόσβασης μπορεί να απέχει ακόμα από τους περισσότερους ιστότοπους.

Φωτογραφία: Blog.google

Οι τεχνολογικοί γίγαντες αποτελούν μέρος μιας προσπάθειας που καθοδηγείται από τη βιομηχανία για την αντικατάσταση κωδικών πρόσβασης, οι οποίοι ξεχνιούνται εύκολα, συχνά κλέβονται από κακόβουλο λογισμικό και συστήματα ηλεκτρονικού ψαρέματος ή διαρρέουν και πωλούνται στο διαδίκτυο μετά από παραβιάσεις εταιρικών δεδομένων.

Η Apple, η Google και η Microsoft είναι μερικοί από τους πιο ενεργούς συνεισφέροντες στο πρότυπο σύνδεσης χωρίς κωδικό πρόσβασης που καθιερώθηκε από τη συμμαχία FIDO (“Fast Identity Online”) και Κοινοπραξία World Wide Web (W3C), οι ομάδες που έχουν συνεργαστεί με εκατοντάδες εταιρείες τεχνολογίας την τελευταία δεκαετία για να αναπτύξουν ένα νέο πρότυπο σύνδεσης που λειτουργεί το ίδιο σε πολλά προγράμματα περιήγησης και λειτουργικά συστήματα.

Σύμφωνα με τη Συμμαχία FIDO, οι χρήστες θα μπορούν να συνδέονται σε ιστότοπους μέσω της ίδιας διαδικασίας που κάνουν πολλές φορές κάθε μέρα για να ξεκλειδώσουν τη συσκευή τους – συμπεριλαμβανομένου ενός PIN συσκευής ή βιομετρικών στοιχείων όπως δακτυλικό αποτύπωμα ή σάρωση προσώπου.

«Αυτή η νέα προσέγγιση προστατεύει από το ηλεκτρονικό ψάρεμα και θα κάνει τη σύνδεση ριζικά πιο ασφαλή σε σύγκριση με κληρονομικούς κωδικούς πρόσβασης πολλαπλών παραγόντων και τεχνολογίες, όπως κωδικούς πρόσβασης μίας χρήσης που αποστέλλονται μέσω SMS», έγραψε ο συνασπισμός στις 5 Μαΐου.

Σαμπάθ ΣρινίβαςΣύμφωνα με το νέο σύστημα, το τηλέφωνό σας θα αποθηκεύει ένα διαπιστευτήριο FIDO που ονομάζεται “passkey” το οποίο χρησιμοποιείται για το άνοιγμα του λογαριασμού σας στο διαδίκτυο, δήλωσε ο διευθυντής ελέγχου ταυτότητας ασφαλείας της Google και πρόεδρος της FIDO Alliance.

READ  Το Assure Lock 2 του Yale έχει πέσει σε ιστορικό χαμηλό

«Το κλειδί πρόσβασης κάνει τη σύνδεση πιο ασφαλή, επειδή βασίζεται σε κρυπτογραφία δημόσιου κλειδιού και είναι ορατός μόνο στον διαδικτυακό λογαριασμό σας όταν ξεκλειδώνετε το τηλέφωνό σας», έγραψε ο Σρινίβας. “Για να συνδεθείτε σε έναν ιστότοπο στον υπολογιστή σας, θα χρειαστείτε μόνο το τηλέφωνό σας κοντά σας και απλά θα σας ζητηθεί να το ξεκλειδώσετε για να αποκτήσετε πρόσβαση. Μόλις το κάνετε, δεν θα χρειαστείτε ξανά το τηλέφωνό σας και μπορείτε να συνδεθείτε μόλις ξεκλειδώσετε τον υπολογιστή σας.”

Αρέσει ZDNet ΣημειώσειςΗ Apple, η Google και η Microsoft υποστηρίζουν ήδη αυτά τα πρότυπα χωρίς κωδικό πρόσβασης (όπως “Σύνδεση με Google”), αλλά οι χρήστες πρέπει να συνδέονται σε κάθε ιστότοπο για να χρησιμοποιούν τη λειτουργία χωρίς κωδικό πρόσβασης. Σύμφωνα με αυτό το νέο σύστημα, οι χρήστες θα μπορούν να έχουν αυτόματα πρόσβαση στους κωδικούς πρόσβασης σε πολλές από τις συσκευές τους – χωρίς να χρειάζεται να εγγράφουν εκ νέου κάθε λογαριασμό – και να χρησιμοποιούν την κινητή συσκευή τους για να συνδεθούν σε μια εφαρμογή ή ιστότοπο σε μια κοντινή συσκευή.

Johannes UlrichΚοσμήτορας αναζήτηση για Sans Institute of TechnologyΗ ανακοίνωση αποκαλούσε «μακράν την πιο πολλά υποσχόμενη προσπάθεια για την επίλυση της πρόκλησης ελέγχου ταυτότητας».

“Το πιο σημαντικό μέρος αυτού του προτύπου είναι ότι δεν απαιτεί από τους χρήστες να αγοράσουν μια νέα συσκευή, αλλά αντίθετα μπορούν να χρησιμοποιούν συσκευές που ήδη κατέχουν και γνωρίζουν πώς να χρησιμοποιούν ως πιστοποιητές ταυτότητας”, δήλωσε ο Ulrich.

Steve BellovinΚαθηγητής Επιστήμης Υπολογιστών στο Πανεπιστήμιο Κολούμπια και πρώιμο Διαδίκτυο Ερευνητής και πρωτοπόροςπεριέγραψε την προσπάθεια χωρίς κωδικό πρόσβασης ως “τεράστια πρόοδο” στον έλεγχο ταυτότητας, αλλά είπε ότι θα χρειαστεί πολύς χρόνος για να καλύψουν τη διαφορά πολλών ιστοσελίδων.

Ένα δυνητικά δύσκολο σενάριο στο νέο σύστημα ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης είναι αυτό που συμβαίνει όταν κάποιος χάσει την κινητή συσκευή του ή το τηλέφωνό του σπάσει και δεν μπορεί να θυμηθεί τον κωδικό πρόσβασής του στο iCloud, λένε ο Belovin και άλλοι.

READ  Shuntaro Furukawa: Ο διάδοχος του Switch θα χρησιμοποιήσει το σύστημα λογαριασμού Nintendo

«Ανησυχώ για τους ανθρώπους που δεν μπορούν να αγοράσουν μια επιπλέον συσκευή ή δεν μπορούν εύκολα να αντικαταστήσουν μια σπασμένη ή κλεμμένη συσκευή», είπε ο Belovin. “Ανησυχώ για την ανάκτηση του ξεχασμένου κωδικού πρόσβασης για λογαριασμούς cloud.”

Η Google λέει Ότι ακόμα κι αν χάσετε το τηλέφωνό σας, «οι κωδικοί πρόσβασης θα συγχρονιστούν με ασφάλεια με το νέο σας τηλέφωνο από το αντίγραφο ασφαλείας του cloud, επιτρέποντάς σας να συνεχίσετε από εκεί που σταμάτησε η παλιά σας συσκευή».

Η Apple και η Microsoft διαθέτουν επίσης λύσεις δημιουργίας αντιγράφων ασφαλείας cloud που μπορούν να χρησιμοποιήσουν οι πελάτες που χρησιμοποιούν αυτές τις πλατφόρμες για να ανακτήσουν από μια χαμένη κινητή συσκευή. Αλλά ο Belovin είπε ότι πολλά εξαρτώνται από το πόσο ασφαλή διαχειρίζονται αυτά τα συστήματα cloud.

“Πόσο εύκολο είναι να προσθέσετε το δημόσιο κλειδί μιας άλλης συσκευής σε έναν λογαριασμό χωρίς άδεια;” ρώτησε ο Μπέλοβιν. «Νομίζω ότι τα πρωτόκολλά τους το καθιστούν αδύνατο, αλλά άλλοι διαφωνούν με αυτό».

Νίκολας ΓουίβερΛέκτορας στο Τμήμα Επιστήμης Υπολογιστών στο Πανεπιστήμιο της Καλιφόρνια, ΜπέρκλεϋΕίπε ότι οι ιστότοποι θα πρέπει να έχουν ακόμα κάποιους μηχανισμούς ανάκτησης για το σενάριο “Έχασες το τηλέφωνό σου και τον κωδικό πρόσβασής σου”, το οποίο περιέγραψε ως “ένα πραγματικά δύσκολο ζήτημα που πρέπει να γίνει με ασφάλεια και είναι πραγματικά μια από τις μεγαλύτερες αδυναμίες στο τρέχον σύστημά μας”.

«Αν ξεχάσετε τον κωδικό πρόσβασής σας και χάσετε το τηλέφωνό σας και καταφέρετε να το πάρετε πίσω, αυτός είναι ένας μεγάλος στόχος για τους εισβολείς», είπε ο Weaver σε ένα email. “Εάν ξεχάσετε τον κωδικό πρόσβασής σας και χάσετε το τηλέφωνό σας και δεν μπορείτε, τώρα έχετε χάσει τον κωδικό εξουσιοδότησης που χρησιμοποιήθηκε για τη σύνδεση. Θα πρέπει να είναι ο τελευταίος. Η Apple έχει την υποδομή για να τον υποστηρίξει (iCloud keychain), αλλά είναι δεν είναι ξεκάθαρο αν το κάνει η Google.”

READ  Ο Larian άρχισε να εργάζεται στο Baldur's Gate 3 DLC και στη συνέχεια το ακύρωσε: "The Studio Was Elated"

Ωστόσο, είπε, η γενική προσέγγιση του FIDO ήταν ένα εξαιρετικό εργαλείο για τη βελτίωση τόσο της ασφάλειας όσο και της χρηστικότητας.

«Είναι πραγματικά ένα καλό βήμα προς τα εμπρός, και χαίρομαι που το βλέπω», είπε ο Weaver. “Η αξιοποίηση του ισχυρού ελέγχου ταυτότητας τηλεφώνου του κατόχου του τηλεφώνου (αν έχετε έναν αξιοπρεπή κωδικό πρόσβασης) είναι πολύ ωραία. Και τουλάχιστον για το iPhone, μπορείτε να το κάνετε αυτό ισχυρό ακόμα και για συμβιβασμό τηλεφώνου, καθώς είναι το χρηματοκιβώτιο τσέπης που θα χειριστεί αυτό και το ασφαλές Η τσέπη δεν εμπιστεύεται το λειτουργικό σύστημα τον κεντρικό υπολογιστή.”

Οι τεχνολογικοί γίγαντες δήλωσαν ότι οι νέες δυνατότητες χωρίς κωδικό πρόσβασης θα ενεργοποιηθούν σε όλες τις πλατφόρμες Apple, Google και Microsoft «κατά τη διάρκεια του επόμενου έτους». Ωστόσο, οι ειδικοί είπαν ότι πιθανότατα θα χρειαστούν αρκετά ακόμη χρόνια για να υιοθετήσουν οι μικρότεροι διαδικτυακοί προορισμοί την τεχνολογία και να εγκαταλείψουν εντελώς τους κωδικούς πρόσβασης.

Πρόσφατη έρευνα δείχνει ότι πάρα πολλοί άνθρωποι εξακολουθούν να επαναχρησιμοποιούν ή να επαναχρησιμοποιούν κωδικούς πρόσβασης (τροποποιώντας ελαφρά τον ίδιο κωδικό πρόσβασης), παρουσιάζοντας κίνδυνο εξαγοράς λογαριασμού όταν αυτά τα διαπιστευτήρια εκτίθενται τελικά σε παραβίαση δεδομένων. ένα Κανω ΑΝΑΦΟΡΑ Τον Μάρτιο μιας εταιρείας ασφάλειας στον κυβερνοχώρο SpyCloud Διαπίστωσε ότι το 64 τοις εκατό των χρηστών επαναχρησιμοποιούν κωδικούς πρόσβασης για πολλούς λογαριασμούς και το 70 τοις εκατό των διαπιστευτηρίων που είχαν παραβιαστεί σε προηγούμενες παραβιάσεις εξακολουθούν να χρησιμοποιούνται.

Ένα λευκό έγγραφο διαθέσιμο τον Μάρτιο του 2022 σχετικά με την προσέγγιση FIDO εδώ (PDF). Υπάρχουν ερωτήσεις και απαντήσεις σε αυτό εδώ.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *