Hur Apple, Google och Microsoft kommer att döda lösenord och nätfiske i ett slag

Hur Apple, Google och Microsoft kommer att döda lösenord och nätfiske i ett slag

Getty bilder

I mer än ett decennium har vi blivit lovade att en värld utan lösenord är precis runt hörnet, och ändå år efter år visar sig detta säkerhetsnirvana vara utom räckhåll. Nu, för första gången, är en fungerande form av lösenordslös autentisering på väg att bli tillgänglig för massorna i form av en standard antagen av Apple, Google och Microsoft som tillåter plattformsoberoende och gränsöverskridande lösenord.

Lösenordsdödande system som drivits tidigare led av en mängd problem. En viktig brist var avsaknaden av en genomförbar återställningsmekanism när någon tappade kontrollen över telefonnummer eller fysiska tokens och telefoner kopplade till ett konto. En annan begränsning var att de flesta lösningar till slut inte var riktigt lösenordslösa. Istället gav de användarna alternativ att logga in med en ansiktsskanning eller fingeravtryck, men dessa system föll till slut tillbaka på ett lösenord, och det innebar att nätfiske, återanvändning av lösenord och glömda lösenord – alla anledningarna till att vi hatade lösenord till att börja med – gjorde det. gå inte bort.

Ett nytt tillvägagångssätt

Vad som är annorlunda den här gången är att Apple, Google och Microsoft alla verkar vara med på samma väldefinierade lösning. Inte bara det, utan lösningen är enklare än någonsin för användare, och det är mindre kostsamt för stora tjänster som Github och Facebook att rulla ut. Den har också noggrant utarbetats och granskats av experter inom autentisering och säkerhet.

En modell av hur lösenordslös autentisering kommer att se ut.
Förstora / En modell av hur lösenordslös autentisering kommer att se ut.

FIDO Alliance

De nuvarande metoderna för multifaktorautentisering (MFA) har gjort viktiga framsteg under de senaste fem åren. Google låter mig till exempel ladda ner en iOS- eller Android-app som jag använder som en andra faktor när jag loggar in på mitt Google-konto från en ny enhet. Baserat på CTAP – förkortning för klient till autentiseringsprotokoll— Det här systemet använder Bluetooth för att säkerställa att telefonen är i närheten av den nya enheten och att den nya enheten faktiskt är ansluten till Google och inte en webbplats som maskerar sig som Google. Det betyder att det inte går att nätfiska. Standarden säkerställer att den kryptografiska hemligheten som lagras på telefonen inte kan extraheras.

Google tillhandahåller också en Avancerat skyddsprogram som kräver fysiska nycklar i form av fristående donglar eller slutanvändartelefoner för att autentisera inloggningar från nya enheter.

Den stora begränsningen just nu är att MFA och lösenordslös autentisering rullas ut olika – om alls – av varje tjänsteleverantör. Vissa leverantörer, som de flesta banker och finansiella tjänster, skickar fortfarande engångslösenord via SMS eller e-post. Eftersom de inser att det inte är säkra sätt att transportera säkerhetskänsliga hemligheter har många tjänster gått vidare till en metod som kallas TOTP – förkortning av tidsbaserat engångslösenord—för att tillåta tillägg av en andra faktor, som effektivt utökar lösenordet med faktorn “något jag har”.

Fysiska säkerhetsnycklar, TOTP:er och i mindre utsträckning tvåfaktorsautentisering via SMS och e-post utgör ett viktigt steg framåt, men det återstår tre nyckelbegränsningar. Först, TOTP:er genererade genom autentiseringsappar och skickade via sms eller e-post är nätfiskebara, på samma sätt som vanliga lösenord är. För det andra har varje tjänst sin egen stängda MFA-plattform. Det betyder att även när man använder icke-nätfiskebara former av MFA – som fristående fysiska nycklar eller telefonbaserade nycklar – behöver en användare en separat nyckel för Google, Microsoft och alla andra Internetegendomar. För att göra saken värre har varje OS-plattform olika mekanismer för att implementera MFA.

Dessa problem ger vika för ett tredje: den rena oanvändbarheten för de flesta slutanvändare och den obetydliga kostnaden och komplexiteten varje tjänst står inför när de försöker erbjuda MFA.

#Hur #Apple #Google #och #Microsoft #kommer #att #döda #lösenord #och #nätfiske #ett #slag

Leave a Comment

Your email address will not be published.