Key Takeaway
- Perikatan FIDO telah menerbitkan kertas putih yang menganalisis kelemahan yang menghalang piawaian pengesahan tanpa kata laluan daripada menjadi arus perdana.
- Mekanisme pengesahan tanpa kata laluan telah gagal menggantikan kata laluan kerana ia menyusahkan, kertas putih mencadangkan.
-
Ia mencadangkan penggunaan telefon pintar sebagai kunci keselamatan perayauan.
Kata laluan yang kukuh menyusahkan untuk dibuat dan diurus, tetapi menambahkan langkah dan peranti tambahan pada proses pengesahan adalah lebih menyusahkan.
Itulah kesimpulan kertas putih oleh Fast ID Online Alliance (FIDO), yang menyalahkan isu kebolehgunaan kerana menghalang mekanisme pengesahan tanpa kata laluan daripada menjadi arus perdana. Walau bagaimanapun, pakatan telah menghasilkan penyelesaian untuk menyelesaikan masalah itu sekali dan untuk semua dan menjadikan piawaian pengesahan FIDO sama seperti kata laluan di mana-mana.
"FIDO telah melebihi semua jangkaan awal, " Bill Leddy, VP Produk di LoginID, memberitahu Lifewire melalui e-mel selepas meneliti kertas putih. "[Ia] hampir menyelesaikan semua [isu] pengesahan, tetapi memerlukan sedikit lagi."
Membatalkan Kata Laluan
Leddy percaya bahawa kata laluan telah lama digunakan. Dia menyalahkan industri keselamatan kerana mengecewakan orang dengan menolak pilihan yang lemah terlalu lama.
"Kata laluan kini berusia 60 tahun tetapi kekal sebagai pilihan pengesahan utama untuk kebanyakan akaun. Pengguna mempunyai banyak akaun yang berbeza dan dijangka mengingati kata laluan unik untuk setiap akaun. Itu bukan penyelesaian yang praktikal, "tegas Leddy. Dia menambah bahawa dalam internet hari ini, di mana laman web boleh diklon dengan mudah, tugas industri keselamatan adalah untuk melengkapkan orang ramai dengan alat yang betul untuk mencegah pelanggaran akaun.
FIDO Alliance, sebuah persatuan industri terbuka, yang diwujudkan untuk mengurangkan pergantungan pada kata laluan, telah mengusahakan isu ini selama kira-kira sedekad sekarang. Ia telah mencipta piawaian pengesahan FIDO, yang tidak dapat menarik perhatian. Dalam kertas putih itu, pakatan berpendapat ia akhirnya telah mengenal pasti bahagian teka-teki yang hilang dan turut menggariskan strategi untuk mengatasinya.
Menurut pakatan, mekanisme pengesahan tanpa kata laluan semasa FIDO mempunyai isu kebolehgunaan yang wujud yang menghalangnya daripada mencapai penerimaan meluas.
"[Kami] telah melihat penggunaan terhad [dalam ruang pengguna], kerana ketidakselesaan yang dirasakan terhadap kunci keselamatan fizikal (membeli, mendaftar, membawa, memulihkan) dan cabaran yang dihadapi pengguna dengan pengesah platform (cth.g., perlu mendaftar semula setiap peranti baharu; tiada cara mudah untuk memulihkan daripada peranti yang hilang atau dicuri) sebagai faktor kedua, " kata kertas itu.
Untuk mengatasi isu tersebut, kertas putih memerlukan penggunaan telefon pintar kami sebagai pengesah perayauan atau kunci keselamatan mudah alih.
"Peranti pengguna sebagai pengesah perayauan ialah pengalaman pengguna yang hebat dan lebih selamat daripada kata laluan pada peranti separa dipercayai jika dilakukan dengan betul. Memandangkan telefon pintar baharu secara asli menyokong FIDO dan pengguna jarang berada jauh dari telefon mereka, ia ialah pilihan yang baik, " bersetuju Leddy.
Jalan Ke Hadapan
Walau bagaimanapun, kertas putih mencadangkan agar telefon pintar berjaya sebagai kunci keselamatan mudah alih, FIDO mesti merangka proses yang lancar untuk orang ramai menambah atau bertukar antara peranti mudah alih mereka.
Ia berpendapat bahawa jika proses untuk tugas penting, seperti menyediakan telefon baharu atau bertukar kepada telefon baharu, tidak mudah, maka orang ramai mungkin akan mengetepikan keseluruhan idea itu sebagai menyusahkan. Untuk mengelakkan perkara ini, makalah itu mencadangkan memperkenalkan teknik baharu yang mereka panggil bukti kelayakan FIDO berbilang peranti, atau "kunci laluan."
"Kelayakan 'kunci laluan' berbilang peranti menangani soalan lama mengenai FIDO. Persoalannya ialah bagaimana untuk beralih ke peranti baharu jika saya mendaftarkan 50 bukti kelayakan khusus domain pada peranti lama saya dan kemudian mendapat yang baharu peranti. Tiada siapa yang mahu melalui pemulihan akaun untuk 50 perkhidmatan berbeza untuk mengikat semula bukti kelayakan FIDO baharu, " jelas Leddy.
FIDO menegaskan bahawa kunci laluan akan membantu mengelakkan situasi ini sama sekali dengan memastikan bahawa apabila kami bertukar dari satu peranti ke peranti lain, bukti kelayakan FIDO kami sudah sedia menunggu kami. Sudah tentu, kertas itu berkonsepkan, dan Leddy berpendapat mekanisme sedemikian lebih mudah untuk dicadangkan daripada dilaksanakan.
"Adalah malang jika penyelesaian kunci laluan adalah khusus vendor supaya pengguna tidak boleh bertukar antara pengeluar peranti atau pun set peranti heterogen (MacBook dan telefon Android), " amaran Leddy.
Walau bagaimanapun, beliau yakin bahawa pakatan FIDO, yang mengira saham berwajaran tinggi seperti Apple, Meta, Google, PayPal, Wells Fargo, American Express dan Bank of America, dalam kalangan ahlinya, akan menghasilkan penyelesaian yang ' t hanya universal tetapi juga disemak secara menyeluruh terhadap serangan.
FIDO percaya bukti kelayakan FIDO berbilang peranti akan menjadi paku terakhir dalam keranda untuk kata laluan. "Dengan memperkenalkan keupayaan baharu ini, kami berharap dapat memperkasakan tapak web dan apl untuk menawarkan pilihan yang benar-benar tanpa kata laluan hujung ke hujung; tiada kata laluan atau kod laluan sekali sahaja (OTP) diperlukan," kata perikatan itu.
