Hamarosan telefonja lecserélheti számos jelszavát – Krebs on Security

almaÉs A Google És Microsoft A héten bejelentették, hogy hamarosan támogatni fogják azt a hitelesítési megközelítést, amely teljesen elkerüli a jelszavakat, és ehelyett megköveteli a felhasználóktól, hogy csak feloldják okostelefonjuk zárolását, hogy bejelentkezzenek webhelyekre vagy online szolgáltatásokra. Szakértők szerint a változtatásoknak segíteniük kell sokféle adathalász támadás leküzdésében, és könnyíteniük kell az internetezőkre nehezedő jelszóterhelést, de arra figyelmeztetnek, hogy a valódi jövő jelszó nélkül még mindig távol állhat a legtöbb webhelytől.

A technológiai óriáscégek részei annak az iparág által irányított erőfeszítésnek, hogy lecseréljék a jelszavakat, amelyeket könnyen elfelejtenek, gyakran ellopnak rosszindulatú programok és adathalász programok, vagy kiszivárogtatják és értékesítik az interneten a vállalati adatszivárgás nyomán.

Az Apple, a Google és a Microsoft a FIDO („Fast Identity Online”) szövetség által létrehozott jelszó nélküli bejelentkezési szabvány egyik legaktívabb közreműködője. World Wide Web Consortium (W3C), azok a csoportok, amelyek technológiai vállalatokkal dolgoztak együtt az elmúlt évtizedben egy új bejelentkezési szabvány kifejlesztésén, amely ugyanúgy működik több böngészőben és operációs rendszerben.

A FIDO Alliance szerint a felhasználók ugyanazzal az eljárással jelentkezhetnek be a webhelyekre, amelyeket naponta többször is megtesznek eszközük feloldásához – beleértve az eszköz PIN-kódját vagy a biometrikus adatokat, például az ujjlenyomat- vagy arcszkennelést.

„Ez az új megközelítés védelmet nyújt az adathalászat ellen, és a bejelentkezést radikálisan biztonságosabbá teszi a régi többtényezős jelszavakhoz és technológiákhoz, például az SMS-ben küldött egyszeri jelszavakhoz képest” – írta a koalíció május 5-én.

Sampath SrinivasAz új rendszerben a telefon egy „jelszónak” nevezett FIDO-hitelesítési adatot fog tárolni, amelyet a fiók online megnyitására használnak – mondta a Google biztonsági hitelesítési igazgatója és a FIDO Szövetség elnöke.

„A jelszó biztonságosabbá teszi a bejelentkezést, mivel nyilvános kulcsú titkosításon alapul, és csak az online fiókja számára látható, amikor feloldja a telefon zárolását” – írta Srinivas. „Ahhoz, hogy bejelentkezzen egy webhelyre a számítógépén, csak a közelben kell lennie a telefonnak, és egyszerűen fel kell oldania a zárolást, hogy hozzáférjen. Ha ezt megtette, többé nem lesz szüksége a telefonjára, és a zárolás feloldása után bejelentkezhet. a számítógéped.”

Mint ZDNet MegjegyzésekAz Apple, a Google és a Microsoft már támogatja ezeket a jelszó nélküli szabványokat (mint például a „Bejelentkezés Google-lal”), de a felhasználóknak minden webhelyen be kell jelentkezniük a jelszó nélküli funkció használatához. Az új rendszer értelmében a felhasználók automatikusan hozzáférhetnek a jelszóhoz számos eszközükön – anélkül, hogy minden egyes fiókot újra kellene regisztrálniuk –, és mobileszközükkel bejelentkezhetnek egy alkalmazásba vagy webhelyre egy közeli eszközön.

Johannes UlrichDean keres Sans Institute of TechnologyA közlemény szerint „messze a legígéretesebb erőfeszítés a hitelesítési kihívás megoldására”.

„A szabvány legfontosabb része az, hogy a felhasználóknak nem kell új eszközt vásárolniuk, hanem használhatják a már birtokukban lévő eszközöket, és tudják, hogyan kell használni hitelesítőként” – mondta Ulrich.

Steve Bellovina Columbia Egyetem és a korai Internet számítástechnika professzora Kutató és úttörőúgy jellemezte a jelszó nélküli erőfeszítést, mint „hatalmas előrelépést” a hitelesítés terén, de azt mondta, túl sokáig tart, míg sok webhely utoléri.

Az új, jelszó nélküli hitelesítési rendszer egyik potenciálisan trükkös forgatókönyve az, hogy mi történik akkor, ha valaki elveszíti mobileszközét, vagy elromlik a telefonja, és nem emlékszik az iCloud-jelszavára – mondják Belovin és mások.

„Aggódom az emberek miatt, akik nem tudnak extra eszközt vásárolni, vagy nem tudják könnyen kicserélni a törött vagy ellopott készüléket” – mondta Belovin. „Aggódok a felhőalapú fiókok elfelejtett jelszavának helyreállítása miatt.”

A Google Azt mondja Még ha elveszíti is telefonját, „jelszói kulcsai biztonságosan szinkronizálva lesznek az új telefonnal a felhőalapú biztonsági mentésből, így onnan folytathatja, ahol a régi eszköze abbahagyta”.

Az Apple és a Microsoft felhőalapú biztonsági mentési megoldásokkal is rendelkezik, amelyek segítségével az ezeket a platformokat használó ügyfelek helyreállíthatják az elveszett mobileszközt. De Belovin szerint sok múlik azon, hogy mennyire biztonságosan kezelik ezeket a felhőrendszereket.

„Mennyire egyszerű egy másik eszköz nyilvános kulcsát engedély nélkül hozzáadni egy fiókhoz?” – kérdezte Belovin. „Szerintem a protokolljaik ezt lehetetlenné teszik, de mások nem értenek egyet vele.”

Nicholas WeaverA Számítástechnika Tanszék oktatója a Kaliforniai Egyetem, BerkeleyElmondta, hogy a webhelyeknek továbbra is rendelkezniük kell bizonyos helyreállítási mechanizmusokkal az „Elveszett a telefonja és a jelszava” forgatókönyv esetére, amely szerinte „nagyon nehéz, biztonságosan megoldható probléma, és ez a jelenlegi rendszerünk egyik legnagyobb gyengesége”.

„Ha elfelejti jelszavát, elveszíti telefonját, és sikerül visszaszereznie, az nagy célpont a támadók számára” – mondta Weaver egy e-mailben. „Ha elfelejti a jelszavát, elveszíti a telefonját, és nem tud, akkor most elvesztette a bejelentkezéshez használt engedélyezési kódot. Ez legyen az utolsó. Az Apple-nek megvan a támogatásához szükséges infrastruktúra (iCloud kulcstartó), de ez nem világos, hogy a Google igen.”

Ugyanakkor elmondta, hogy a FIDO általános megközelítése nagyszerű eszköz a biztonság és a használhatóság javítására.

„Ez valóban jó előrelépés, és ezt örömmel látom” – mondta Weaver. „A telefontulajdonos erős telefonhitelesítésének kihasználása (ha van egy tisztességes jelkódja) nagyon klassz. És legalább az iPhone esetében ezt robusztussá teheti akár telefon kompromisszum miatt is, mivel ezt a zsebszéf kezeli és a biztonságos zseb nem bízik a gazdagép operációs rendszerében.”

A technológiai óriáscégek azt mondták, hogy az új jelszó nélküli lehetőségeket az Apple, a Google és a Microsoft platformokon engedélyezni fogják „a következő év folyamán”. A szakértők szerint azonban valószínűleg még több évnek kell eltelnie ahhoz, hogy a kisebb internetes célpontok átvegyék a technológiát, és teljesen feladják a jelszavakat.

A legújabb kutatások azt mutatják, hogy még mindig túl sok ember használja fel vagy használja újra a jelszavakat (enyhén módosítva ugyanazt a jelszót), ami a fiókok átvételének kockázatát jelenti, ha ezek a hitelesítő adatok végül nyilvánosságra kerülnek egy adatvédelmi incidens során. a Jelentés Egy kiberbiztonsági cég márciusában SpyCloud Azt találta, hogy a felhasználók 64 százaléka több fiókhoz használja újra a jelszavakat, és a korábbi jogsértések során feltört hitelesítő adatok 70 százaléka még mindig használatban van.

2022 márciusában elérhető fehér dokumentum a FIDO megközelítéséről itt (PDF). Vannak rá kérdések és válaszok itt.