Sleutel wegneemetes
- Die FIDO-alliansie het 'n witskrif gepubliseer wat die tekortkominge ontleed wat verhoed dat sy wagwoordlose stawingstandaard hoofstroom word.
- Wagwoordlose stawingmeganismes kon nie wagwoorde vervang nie omdat dit ongerieflik is, stel die witskrif voor.
-
Dit stel die gebruik van slimfone as swerfsekuriteitsleutels voor.
Sterk wagwoorde is ongerieflik om te skep en te bestuur, maar om ekstra stappe en toestelle by die stawingsproses by te voeg, is 'n selfs groter kopseer.
Dit is die gevolgtrekking van 'n witskrif deur die Fast ID Online Alliance (FIDO), wat bruikbaarheidskwessies blameer vir die voorkoming van wagwoordlose verifikasiemeganismes om hoofstroom te word. Die alliansie het egter met 'n oplossing vorendag gekom om die probleem eens en vir altyd op te los en die FIDO-verifikasiestandaard so alomteenwoordig soos wagwoorde te maak.
"FIDO het alle aanvanklike verwagtinge oortref," het Bill Leddy, VP van produk by LoginID, per e-pos aan Lifewire gesê nadat hy die witskrif gelees het. "[Dit] is regtig naby aan die oplossing van alle stawing [kwessies], maar het 'n bietjie meer nodig."
Kanselleer wagwoorde
Leddy glo dat wagwoorde hul gebruik oorleef het. Hy blameer die sekuriteitsbedryf daarvoor dat hulle mense in die steek gelaat het deur swak opsies vir veels te lank te druk.
"Wagwoorde is nou 60 jaar oud, maar bly die primêre verifikasie-opsie vir die meeste rekeninge. Verbruikers het baie verskillende rekeninge en daar word verwag om 'n unieke wagwoord vir elkeen te onthou. Dit is nie 'n praktiese oplossing nie," het Leddy gesê. Hy het bygevoeg dat in vandag se internet, waar webwerwe maklik gekloon kan word, die sekuriteitsbedryf se taak is om mense toe te rus met die regte gereedskap om rekeningoortredings te voorkom.
Die FIDO-alliansie, 'n oop bedryfsvereniging, wat geskep is om die afhanklikheid van wagwoorde te verminder, werk nou al sowat 'n dekade aan die kwessie. Dit het die FIDO-verifikasiestandaard geskep, wat nie traksie kon kry nie. In die witskrif dink die alliansie hy het uiteindelik die ontbrekende stuk van die legkaart geïdentifiseer en het ook 'n strategie uiteengesit om dit te oorkom.
Volgens die alliansie het FIDO se huidige wagwoordlose verifikasiemeganisme inherente bruikbaarheidskwessies wat dit verhoed het om wye aanneming te bereik.
"[Ons] het beperkte aanvaarding waargeneem [in die verbruikersruimte], as gevolg van die vermeende ongerief van fisiese sekuriteitsleutels (koop, registrasie, dra, herwinning), en die uitdagings wat verbruikers met platform-bekragtigings in die gesig staar (bv.bv. om elke nuwe toestel weer in te skryf; geen maklike maniere om van verlore of gesteelde toestelle te herstel nie) as 'n tweede faktor," het die koerant opgemerk.
Om die kwessies te oorkom, vra die witskrif dat ons slimfone as swerfbekragters of draagbare sekuriteitsleutels gebruik word.
"'n Gebruiker se toestel as 'n swerfbekragtiger is 'n wonderlike gebruikerservaring en baie veiliger as wagwoorde op 'n semi-vertroude toestel indien dit korrek gedoen word. Aangesien nuwe slimfone FIDO inheems ondersteun en verbruikers selde ver van hul fone is, is dit is 'n goeie opsie," het Leddy ingestem.
Die pad vorentoe
Die witskrif stel egter voor dat vir slimfone om suksesvol te word as draagbare sekuriteitsleutels, FIDO 'n gladde proses moet ontwerp vir mense om hul mobiele toestelle by te voeg of te wissel.
Dit voer aan dat as die proses vir noodsaaklike take, soos die opstel van 'n nuwe foon of oorskakeling na 'n nuwe een, nie eenvoudig is nie, mense waarskynlik die hele idee as ongerieflik sal afmaak. Om dit te vermy, stel die koerant voor om 'n nuwe tegniek bekend te stel wat hulle multi-toestel FIDO geloofsbriewe, of "wagsleutels" noem.
"Multi-toestel-'wagsleutel'-eiebewyse spreek 'n langdurige vraag rondom FIDO aan. Die vraag was hoe om na 'n nuwe toestel te skuif as ek 50 domeinspesifieke geloofsbriewe op my ou toestel ingeskryf het en dan 'n nuwe toestel. Niemand wil deur rekeningherwinning gaan vir 50 verskillende dienste om nuwe FIDO-geloofsbriewe te herbind nie," het Leddy verduidelik.
FIDO beweer dat wagwoordsleutels sal help om hierdie situasie heeltemal te vermy deur te verseker dat wanneer ons van een toestel na 'n ander oorskakel, ons FIDO-bewyse reeds daar vir ons wag. Natuurlik is die vraestel konseptueel, en Leddy dink so 'n meganisme is makliker om voor te stel as om te implementeer.
"Dit sal jammer wees as die wagwoordsleuteloplossings verskafferspesifiek is sodat 'n verbruiker nie kan wissel tussen toestelvervaardigers of selfs 'n heterogene (MacBook en Android-foon) stel toestelle nie," het Leddy gewaarsku.
Hy is egter vol vertroue dat die FIDO-alliansie, wat swaargewigte soos Apple, Meta, Google, PayPal, Wells Fargo, American Express en Bank of America onder sy lede tel, met oplossings vorendag sal kom wat nie net universeel nie, maar ook deeglik getoets teen aanvalle.
FIDO glo die multi-toestel FIDO geloofsbriewe sal die laaste spyker in die kis vir wagwoorde word. "Deur hierdie nuwe vermoëns bekend te stel, hoop ons om webwerwe en toepassings te bemagtig om 'n end-tot-end werklik wagwoordlose opsie te bied; geen wagwoorde of eenmalige wagkodes (OTP) word vereis nie," het die alliansie gesê.
