Din telefon kan snart ersätta många av dina lösenord – Krebs om säkerhet

Din telefon kan snart ersätta många av dina lösenord – Krebs om säkerhet

Äpple, Google och Microsoft tillkännagav denna vecka att de snart kommer att stödja en metod för autentisering som helt undviker lösenord och istället kräver att användarna bara låser upp sina smartphones för att logga in på webbplatser eller onlinetjänster. Experter säger att ändringarna borde hjälpa till att besegra många typer av nätfiskeattacker och lätta på den övergripande lösenordsbördan för Internetanvändare, men varnar för att en sann lösenordslös framtid fortfarande kan vara år borta för de flesta webbplatser.

Bild: Blog.google

Teknikjättarna är en del av en branschledd satsning för att ersätta lösenord, som lätt glöms bort, ofta stjäls av skadlig programvara och nätfiske, eller läcker och säljs online i kölvattnet av företagens dataintrång.

Apple, Google och Microsoft är några av de mer aktiva bidragsgivarna till en lösenordslös inloggningsstandard skapad av FIDO (“Fast Identity Online”) Alliance och World Wide Web Consortium (W3C), grupper som har arbetat med hundratals teknikföretag under det senaste decenniet för att utveckla en ny inloggningsstandard som fungerar på samma sätt i flera webbläsare och operativsystem.

Enligt FIDO Alliance kommer användare att kunna logga in på webbplatser genom samma åtgärd som de gör flera gånger varje dag för att låsa upp sina enheter – inklusive en enhets-PIN eller en biometrisk som fingeravtryck eller ansiktsskanning.

“Det här nya tillvägagångssättet skyddar mot nätfiske och inloggning kommer att vara radikalt säkrare jämfört med lösenord och äldre multifaktorteknologier som engångslösenkoder skickade via SMS”, skrev alliansen den 5 maj.

Sampath Srinivaschef för säkerhetsautentisering på Google och president för FIDO Alliance, sa att under det nya systemet kommer din telefon att lagra en FIDO-referens som kallas en “lösenordsnyckel” som används för att låsa upp ditt onlinekonto.

“Lösennyckeln gör inloggningen mycket säkrare, eftersom den är baserad på kryptografi med publik nyckel och endast visas på ditt onlinekonto när du låser upp din telefon”, skrev Srinivas. “För att logga in på en webbplats på din dator behöver du bara din telefon i närheten och du blir helt enkelt ombedd att låsa upp den för åtkomst. När du har gjort detta behöver du inte din telefon igen och du kan logga in genom att bara låsa upp din dator.”

Som ZDNet anteckningar, Apple, Google och Microsoft stöder redan dessa lösenordslösa standarder (t.ex. “Logga in med Google”), men användare måste logga in på varje webbplats för att använda den lösenordslösa funktionen. Under detta nya system kommer användare att automatiskt kunna komma åt sin lösenordsnyckel på många av sina enheter – utan att behöva registrera varje konto på nytt – och använda sin mobila enhet för att logga in på en app eller webbplats på en enhet i närheten.

Johannes Ullrichdekanus för forskning för SANS Technology Institutekallade tillkännagivandet “det överlägset mest lovande försöket att lösa autentiseringsutmaningen.”

“Den viktigaste delen av den här standarden är att den inte kommer att kräva att användare köper en ny enhet, utan istället kan de använda enheter som de redan äger och vet hur de ska använda som autentiseringsanordningar,” sa Ullrich.

Steve Bellovinen datavetenskapsprofessor vid Columbia University och ett tidigt internet forskare och pionjärkallade den lösenordslösa ansträngningen ett “stort framsteg” i autentisering, men sa att det kommer att ta mycket lång tid för många webbplatser att komma ikapp.

Bellovin och andra säger att ett potentiellt knepigt scenario i detta nya lösenordslösa autentiseringssystem är vad som händer när någon tappar bort sin mobila enhet, eller deras telefon går sönder och de inte kan komma ihåg sitt iCloud-lösenord.

“Jag oroar mig för människor som inte har råd med en extra enhet, eller som inte enkelt kan ersätta en trasig eller stulen enhet,” sa Bellovin. “Jag oroar mig för återställning av glömt lösenord för molnkonton.”

Google säger att även om du tappar bort din telefon, “synkas dina lösenord säkert till din nya telefon från molnsäkerhetskopiering, så att du kan fortsätta precis där din gamla enhet slutade.”

Apple och Microsoft har också lösningar för säkerhetskopiering i molnet som kunder som använder dessa plattformar kan använda för att återställa från en förlorad mobil enhet. Men Bellovin sa att mycket beror på hur säkert sådana molnsystem administreras.

“Hur lätt är det att lägga till en annan enhets publika nyckel till ett konto utan auktorisering?” undrade Bellovin. “Jag tror att deras protokoll gör det omöjligt, men andra håller inte med.”

Nicholas Weaverlektor vid datavetenskapliga institutionen kl University of California, Berkeleysa att webbplatser fortfarande måste ha någon återställningsmekanism för scenariot “du tappade din telefon och ditt lösenord”, vilket han beskrev som “ett riktigt svårt problem att göra säkert och redan en av de största svagheterna i vårt nuvarande system.”

“Om du glömmer lösenordet och tappar din telefon och kan återställa den, är detta nu ett stort mål för angripare,” sa Weaver i ett mejl. “Om du glömmer lösenordet och tappar din telefon och INTE KAN, ja, nu har du tappat bort din auktoriseringstoken som används för att logga in. Det måste bli det senare. Apple har infrastrukturen på plats för att stödja det (iCloud-nyckelring), men det är oklart om Google gör det.”

Trots det, sa han, har den övergripande FIDO-metoden varit ett utmärkt verktyg för att förbättra både säkerhet och användbarhet.

“Det är ett riktigt, riktigt bra steg framåt, och jag är glad över att se detta,” sa Weaver. ”Att dra nytta av telefonens starka autentisering av telefonägaren (om du har ett anständigt lösenord) är ganska trevligt. Och åtminstone för iPhone kan du göra den här robust även för telefonkomprometteringar, eftersom det är den säkra enklaven som skulle hantera detta och den säkra enklaven inte litar på värdoperativsystemet.”

Teknikjättarna sa att de nya lösenordslösa funktionerna kommer att aktiveras på Apple, Google och Microsofts plattformar “under loppet av det kommande året.” Men experter sa att det sannolikt kommer att ta flera år till för mindre webbdestinationer att ta till sig tekniken och ta bort lösenorden helt och hållet.

Ny forskning visar att alltför många människor fortfarande återanvänder eller återvinner lösenord (ändrar samma lösenord något), vilket innebär en risk för kontoövertagande när dessa uppgifter så småningom avslöjas i ett dataintrång. A Rapportera i mars från cybersäkerhetsföretaget SpyCloud upptäckte att 64 procent av användarna återanvänder lösenord för flera konton, och att 70 procent av referenserna som äventyrats vid tidigare intrång fortfarande används.

En vitbok från mars 2022 om FIDO-metoden finns tillgänglig här (PDF). En FAQ om det är här.

#Din #telefon #kan #snart #ersätta #många #dina #lösenord #Krebs #säkerhet

Leave a Comment

Your email address will not be published.