Apple, Google, Microsoft се обединяват, за да улеснят паролата

Управление на достъпа, цифрова идентичност, управление на измами и киберпрестъпления

Основните доставчици на технологии поддържат стандарта за влизане без парола на FIDO Alliance

Майкъл Новисън (miguelnovinson) •
7 май 2022 г


Apple, Google и Microsoft обединяват усилията си, за да поддържат стандарт, който ще позволи на уебсайтове и приложения да предлагат влизане без пароли на различни устройства и платформи.

Вижте също: Уебинар на живо | Отдалечените служители и голямата оставка: Как се справяте с вътрешни заплахи?


Трите ОС и гиганта за сърфиране поставиха тежестта си зад общ стандарт за влизане без пароли, създаден от FIDO Alliance, който не позволява на отдалечени противници да извършват фишинг или атаки “човек в средата”, каза изпълнителният директор на FIDO, Андрю Шикиар, пред Information. Медийна група за сигурност. Новият подход означава, че потребителите вече не трябва да регистрират всяко от своите устройства поотделно (вижте: Актуализация на FIDO Alliance: нови насоки, подобрени стандарти).


„Те не го правят от алтруизъм“, казва Шикиар. „Те наистина го правят, защото разбират, че това не е проблем, който една компания може да реши. Това наистина трябва да бъде индустриално решение, създадено от индустрията за индустрията, което ни позволява колективно да обърнем хода на пробивите в данните.“ и атаки за поглъщане на акаунти, които продължават да тормозят и застрашават целостта на нашата цифрова икономика.”


Ако всеки доставчик възприеме собствен подход за влизане без парола, би било от малка полза, тъй като много потребители използват операционни системи и браузъри от различни доставчици на софтуер, казва Джеръми Грант, главен изпълнителен директор на Venable и сътрудник на ISMG. Наличието на три компании, които контролират цялата операционна система и пазара на браузъри, внасящи единен подход към пазара, ще доведе до драматично възприемане.


„Това не е лесно да се направи в индустрия, където тези компании често са в противоречие помежду си по отношение на това да бъдат съперници и конкуренти“, казва Грант пред ISMG. „В повечето случаи искате да видите компании, които се конкурират помежду си, но мисля, че това е област, в която пазарната обратна връзка е много ясна. Тук трябва да видим по-силно сътрудничество.“


Никога не губете ключовете си


Резервните пароли исторически обвързват частните ключове с конкретно устройство и изискват използването на различен ключ за всеки екземпляр за влизане, докато сърфирате в мрежата, казва Грант. Но Шикиар казва, че това създава предизвикателства, когато потребителите изгубят притежание на удостоверител или получат ново устройство, което накара FIDO Alliance да излезе с нов модел, който променя начина, по който може да се осъществява достъп до частните ключове.


Доставчиците на удостоверяване исторически не са искали да клонират и експортират частни ключове, тъй като това е било разглеждано като потенциална уязвимост, казва Грант. Но през последните 18 месеца индустрията осъзна, че това предположение трябва да бъде преразгледано, тъй като масово внедряване или устойчива на фишинг автентификация биха били почти невъзможно да се постигнат без експортиране на ключове в облака, където те могат да бъдат правилно защитени.


„Чрез сигурно съхраняване на частни ключове в облака и след това синхронизирането им между устройства, това прави идеята за удостоверяване без пароли експоненциално по-полезна за потребителите и бизнеса“, казва Грант. „По същество премахвате най-голямото предизвикателство, което е възпрепятствало внедряването през годините, и го премахвате, като управлявате това за потребителите по-лесно.“


Потребителите на Google Chrome понастоящем могат да влизат без парола на определени уебсайтове като eBay, а гигантът на търсачката винаги позволява повторни влизания, без да изисква парола, според Сам Шринивас, министър-председател по сигурността на удостоверяването на Google и президент на FIDO Alliance. Но днес Google все още изисква парола, когато потребител се опитва да влезе в устройство за първи път, казва той.


Шринивас казва, че Google е свършил 70% от работата, необходима на клиентите, за да могат да използват FIDO удостоверяване на близко мобилно устройство, за да потвърдят самоличността си по време на първото си влизане вместо парола. Очаква се нови възможности, които позволяват по-безпроблемно и сигурно влизане без пароли, да бъдат налични от Apple, Google и Microsoft през следващата година, съобщи FIDO Alliance.


Ако потребител изпусне телефона си в тоалетната и трябва да купи нов, Шринивас казва, че Android може безпроблемно да възстанови ключовете за достъп от защитен онлайн архив.


„Докато можете да накарате телефона си да работи, винаги сте готови“, казва Шринивас. “Можете да продължите оттам и да продължите напред. Никога няма да загубите ключовете си, защото облакът има вашите ключове.”


Предоставяне на парола без парола на масите


Големите компании като eBay, Best Buy и Wayfair разполагат с техническата инфраструктура, за да поддържат самостоятелно удостоверяване без парола, но по-малките или по-малко сложни онлайн търговци на дребно нямат усъвършенствана инфраструктура за сигурност или удостоверяване и следователно се налага да използват пароли по подразбиране . . Той казва, че доставчиците на услуги ще могат напълно да се доверят на производителите на устройства за удостоверяване.


„Днес те не инвестират много в инфраструктура за удостоверяване“, казва Шринивас. “Това е много по-добър начин за тях да удостоверяват своите потребители, като използват доказаните възможности за сигурност на тези платформи. От гледна точка на потребителя, потребителското изживяване ще бъде много по-елегантно. По същество ще бъде изживяване, подобно на браузър. Мениджър на пароли, но издаване на двойки ключове FIDO вместо пароли”.


Понастоящем само 22% от фирмите имат многофакторна автентификация и Шринивас казва, че приемането на стандарта FIDO Alliance от Apple, Google и Microsoft трябва да улесни хората да приемат силно удостоверяване. Сринивас казва, че CISO в организациите, насочени към потребителите, ще бъдат доволни от ангажимента от големите доставчици на ОС, тъй като това ще направи многофакторната автентификация по-достъпна за повече хора.


„Говорих с CISO през цялото време в организации, които искаха да внедрят FIDO, но имаха някои опасения за използваемостта, някои проблеми с мащабирането и някои проблеми с възстановяването“, казва Сринивас. “Това отговаря на всички тези въпроси.”

.

Add Comment