25 мая, 2022

zhukvesti

Находите все последние статьи и смотрите телешоу, репортажи и подкасты, связанные с Россией.

Ваш телефон скоро может заменить многие ваши пароли — Krebs on Security

яблокоИ Google И Майкрософт На этой неделе они объявили, что скоро будут поддерживать подход к аутентификации, который полностью избегает паролей и вместо этого требует, чтобы пользователи просто разблокировали свои смартфоны для входа на веб-сайты или в онлайн-сервисы. Эксперты говорят, что изменения должны помочь противостоять многим типам фишинговых атак и облегчить общее бремя паролей для пользователей Интернета, но они предупреждают, что истинное будущее без пароля может быть еще далеко от большинства веб-сайтов.

Фото: Blog.google

Технологические гиганты являются частью отраслевых усилий по замене паролей, которые легко забываются, часто крадут с помощью вредоносных программ и фишинговых схем или просачиваются и продаются в Интернете после утечки корпоративных данных.

Apple, Google и Microsoft являются одними из самых активных участников стандарта входа без пароля, установленного альянсом FIDO («Fast Identity Online»). Консорциум всемирной паутины (W3C), группы, которые за последнее десятилетие работали с сотнями технологических компаний над разработкой нового стандарта входа в систему, который работает одинаково во многих браузерах и операционных системах.

По данным FIDO Alliance, пользователи смогут входить на веб-сайты с помощью той же процедуры, которую они делают несколько раз в день, чтобы разблокировать свое устройство, включая PIN-код устройства или биометрические данные, такие как отпечаток пальца или сканирование лица.

«Этот новый подход защищает от фишинга и делает вход в систему намного более безопасным по сравнению с устаревшими многофакторными паролями и такими технологиями, как одноразовые коды доступа, отправляемые по SMS», — написала коалиция 5 мая.

Сампат ШринивасВ соответствии с новой системой ваш телефон будет хранить учетные данные FIDO, называемые «ключом доступа», который используется для открытия вашей учетной записи в Интернете, сказал директор Google по аутентификации безопасности и президент FIDO Alliance.

READ  Мой iPhone спас мне жизнь — всем нужно научиться трюку «Пять кликов»

«Ключ делает вход в систему более безопасным, потому что он основан на криптографии с открытым ключом и виден только вашей онлайн-учетной записи, когда вы разблокируете свой телефон», — написал Шринивас. «Чтобы войти на веб-сайт на вашем компьютере, вам понадобится только ваш телефон рядом с вами, и вам просто потребуется разблокировать его, чтобы получить к нему доступ. Как только вы это сделаете, вам больше не понадобится ваш телефон, и вы сможете войти в систему после разблокировки. ваш компьютер».

Нравиться ZDNet ПримечанияApple, Google и Microsoft уже поддерживают эти стандарты без пароля (например, «Войти через Google»), но пользователям необходимо входить в систему на каждом веб-сайте, чтобы использовать функцию без пароля. В рамках этой новой системы пользователи смогут автоматически получать доступ к своим паролям на многих своих устройствах — без необходимости повторной регистрации каждой учетной записи — и использовать свое мобильное устройство для входа в приложение или веб-сайт на соседнем устройстве.

Йоханнес УльрихДин ищет Технологический институт СансаОбъявление названо «безусловно, наиболее многообещающей попыткой решить проблему аутентификации».

«Самая важная часть этого стандарта заключается в том, что он не требует от пользователей покупки нового устройства, а вместо этого может использовать устройства, которые у них уже есть и которые они знают, как использовать в качестве аутентификаторов», — сказал Ульрих.

Стив Белловинпрофессор компьютерных наук Колумбийского университета и раннего Интернета. Исследователь и пионерописал усилия без пароля как «огромный прогресс» в аутентификации, но сказал, что многим веб-сайтам потребуется слишком много времени, чтобы наверстать упущенное.

Один потенциально сложный сценарий в новой системе аутентификации без пароля — это то, что происходит, когда кто-то теряет свое мобильное устройство или его телефон ломается и не может вспомнить свой пароль iCloud, говорят Беловин и другие.

READ  Пылесос iRobot Roomba j7 Plus обнаруживает стул и в настоящее время стоит 250 долларов.

«Я беспокоюсь о людях, которые не могут купить дополнительное устройство или не могут легко заменить сломанное или украденное устройство», — сказал Беловин. «Меня беспокоит возможность восстановления забытого пароля для облачных учетных записей».

Google Говорит Что даже если вы потеряете свой телефон, «ваши пароли будут надежно синхронизированы с вашим новым телефоном из облачной резервной копии, что позволит вам продолжить с того места, где остановилось ваше старое устройство».

У Apple и Microsoft также есть решения для облачного резервного копирования, которые клиенты, использующие эти платформы, могут использовать для восстановления с потерянного мобильного устройства. Но Беловин сказал, что многое зависит от того, насколько безопасно управляются эти облачные системы.

«Насколько легко добавить открытый ключ другого устройства к учетной записи без разрешения?» — спросил Беловин. «Я думаю, что их протоколы делают это невозможным, но другие с этим не согласны».

Николас Уиверпреподаватель кафедры компьютерных наук Калифорнийский университет, БерклиОн сказал, что веб-сайты все еще должны иметь некоторые механизмы восстановления для сценария «Вы потеряли свой телефон и свой пароль», который он назвал «действительно сложной проблемой для безопасного решения, и это действительно одна из самых больших слабых сторон в нашей текущей системе».

«Если вы забудете свой пароль, потеряете телефон и сумеете вернуть его, это станет серьезной целью для злоумышленников», — сказал Уивер в электронном письме. «Если вы забыли свой пароль и потеряли телефон и не можете этого сделать, значит, вы потеряли код авторизации, который использовался для входа в систему. Он должен быть последним. У Apple есть инфраструктура для его поддержки (связка ключей iCloud), но это неясно, делает ли это Google».

READ  iPad Air с кремнием M1 доказывает, что у Samsung есть проблемы с планшетами среднего класса

Однако, по его словам, общий подход FIDO был отличным инструментом для повышения как безопасности, так и удобства использования.

«Это действительно хороший шаг вперед, и я рад это видеть», — сказал Уивер. «Использование надежной аутентификации телефона владельца телефона (если у вас есть достойный код доступа) довольно круто. И, по крайней мере, для iPhone вы можете сделать это надежным даже для компрометации телефона, поскольку это карманный сейф, который справится с этим, и безопасный pocket не доверяет ОС хоста».

Технологические гиганты заявили, что новые возможности без пароля будут включены на платформах Apple, Google и Microsoft «в течение следующего года». Но эксперты говорят, что, вероятно, потребуется еще несколько лет, чтобы небольшие веб-сайты приняли эту технологию и полностью отказались от паролей.

Недавние исследования показывают, что слишком много людей по-прежнему повторно или повторно используют пароли (незначительно изменяя один и тот же пароль), что создает риск захвата учетной записи, когда эти учетные данные в конечном итоге раскрываются в результате утечки данных. а Отчет В марте компании по кибербезопасности SpyCloud Было обнаружено, что 64 процента пользователей повторно используют пароли для нескольких учетных записей, а 70 процентов учетных данных, которые были скомпрометированы в ходе предыдущих взломов, все еще используются.

Белый документ доступен в марте 2022 года по подходу FIDO здесь (PDF). Есть вопросы и ответы на него здесь.