Az Apple, a Google és a Microsoft a jelszót a „Passkey” szabvánnyal szeretné lezárni

Úgy tűnik, május első csütörtökje a „Jelszók Világnapja”, és ünnepeljük meg almaÉs A GoogleA Microsoft elindulközös erőfeszítés„Megölni a jelszót. A fő operációs rendszer gyártók” szeretnék kiterjeszteni a FIDO Alliance és a World Wide Web Consortium által létrehozott előfizetői jelszó nélküli bejelentkezési szabvány támogatását. „

A szabványt vagy „FIDO többeszközös hitelesítő adatoknak” vagy csak „jelszónak” nevezik. Hosszú karaktersorozat helyett ez az új rendszer azt az alkalmazást vagy webhelyet fogja tartalmazni, amelyre bejelentkezett, és hitelesítési kérelmet küldhet telefonjára. Innentől kezdve fel kell oldania a telefon zárolását, hitelesítenie kell magát valamilyen PIN-kóddal vagy biometrikus adatokkal, és már indulhat is. Ez ismerős rendszernek tűnik mindenki számára, aki telefonos kétfaktoros hitelesítéssel rendelkezik, de ez inkább jelszócsere, semmint extra tényező.

Felhasználói interakciós grafika mellékelt:

Néhány 2FA fizetési rendszer működik online, de az új FIDO rendszer Bluetooth-on keresztül működik. Ahogy a tanulmány kifejti: „A Bluetooth technológia fizikai közelséget igényel, ami azt jelenti, hogy immár adathalászat-ellenálló módszerrel tudjuk kihasználni a felhasználó telefonját a hitelesítés során.” A Bluetooth-nak rossz a hírneve a kompatibilitás terén, és nem vagyok benne biztos, hogy a „biztonság” valaha is komoly aggodalomra ad okot, de a FIDO Szövetség megjegyzi, hogy a Bluetooth csak „fizikai közelség-ellenőrzésre” szolgál, és hogy a tényleges bejelentkezési folyamat „nem függ A Bluetooth biztonsági tulajdonságai Természetesen ez azt jelenti, hogy mindkét eszközön szükség lesz a Bluetooth-ra, ami a legtöbb okostelefonnál és laptopnál adott, de a régebbi asztali számítógépeknél komoly igény lehet.

Hasonlóan ahhoz, ahogy a jelszókezelő egyetlen jelszóval egyesítheti a bejelentkezési adatait, a jelszavairól biztonsági másolatot készíthet néhány nagy platformtulajdonos, például az Apple vagy a Google. Ezzel könnyedén átviheti hitelesítő adatait egy új eszközre, megelőzheti azok elvesztését, és megkönnyíti a jelszavak szinkronizálását az eszközök között. Ha elveszíti eszközét, továbbra is visszaállíthatja fiókjait, ha bejelentkezik (uh – jelszóval?) a nagy platform tulajdonosi fiókjába. Az is jó ötlet lehet, ha egynél több eszközt állít be hitelesítőként.

A cégek évek óta próbálnak „jelszó nélkül” működni, de nehéz volt eljutni oda. A Google-nek van teljes menetrend Egy 2008-tól kezdődő blogbejegyzésben. A jelszavak jól működnek, ha hosszúak, véletlenszerűek, bizalmasak és egyediek, de a jelszavak emberi eleme mindig probléma. Nem vagyunk jók a hosszú, véletlenszerű karaktersorozatok memorizálásában. Csábító a jelszavak begépelése vagy újrafelhasználása, és az adathalász sémák megpróbálják rávenni, hogy a jelszavát harmadik félnek adja át. Biztonsági incidens esetén a felhasználónév és jelszó párok könnyen megoszthatók, és hatalmas adatbázisok állnak rendelkezésre a feltört hitelesítő adatokról.

„Ezek az új képességek várhatóan a következő év folyamán válnak elérhetővé az Apple, a Google és a Microsoft platformokon” – áll a FIDO blogbejegyzésében. Az Apple, amely a jelek szerint elindította a teljes „jelszó” trendet, már rendelkezik iOS 15 és macOS Monterey rendszerben működő rendszerrel, de nem kompatibilis Eddig más platformokkal. A Google már támogatja a jelszót észrevették Az Android Play-szolgáltatásaiban található, így a régebbi Android-eszközök gyorsan támogatni fogják, amint készen állnak.

A lista képe a FIDO Szövetségtől