Bagaimana Apple, Google dan Microsoft akan membunuh kata laluan dan pancingan data dalam satu pukulan

Imej Getty

Selama lebih sedekad, kami telah dijanjikan bahawa dunia tanpa kata laluan hampir tiba, namun tahun demi tahun, nirvana keselamatan ini terbukti tidak dapat dicapai. Kini, buat pertama kalinya, satu bentuk pengesahan tanpa kata laluan yang boleh dilaksanakan akan tersedia kepada orang ramai dalam bentuk standard yang diterima pakai oleh Apple, Google dan Microsoft yang membenarkan kunci laluan silang platform dan silang perkhidmatan.

Skim pembunuh kata laluan yang didorong pada masa lalu mengalami pelbagai masalah. Kelemahan utama ialah kekurangan mekanisme pemulihan yang berdaya maju apabila seseorang kehilangan kawalan ke atas nombor telefon atau token fizikal dan telefon yang terikat pada akaun. Satu lagi had ialah kebanyakan penyelesaian akhirnya gagal, sebenarnya, benar-benar tanpa kata laluan. Sebaliknya, mereka memberi pilihan kepada pengguna untuk log masuk dengan imbasan muka atau cap jari, tetapi sistem ini akhirnya kembali menggunakan kata laluan, dan ini bermakna pancingan data, penggunaan semula kata laluan dan kod laluan terlupa—semua sebab kami membenci kata laluan sejak awal—tidak. jangan pergi.

Satu pendekatan baru

Apa yang berbeza kali ini ialah Apple, Google dan Microsoft semuanya kelihatan menggunakan penyelesaian yang sama dengan jelas. Bukan itu sahaja, malah penyelesaiannya lebih mudah berbanding sebelum ini untuk pengguna, dan ia lebih murah untuk perkhidmatan besar seperti Github dan Facebook untuk dilancarkan. Ia juga telah direka dan disemak secara bersungguh-sungguh oleh pakar dalam pengesahan dan keselamatan.

Tiruan tentang rupa pengesahan tanpa kata laluan.
Besarkan / Tiruan tentang rupa pengesahan tanpa kata laluan.

Perikatan FIDO

Kaedah pengesahan pelbagai faktor (MFA) semasa telah mencapai kemajuan penting dalam tempoh lima tahun yang lalu. Google, contohnya, membenarkan saya memuat turun apl iOS atau Android yang saya gunakan sebagai faktor kedua semasa log masuk ke akaun Google saya daripada peranti baharu. Berdasarkan CTAP—singkatan daripada klien kepada protokol pengesah—sistem ini menggunakan Bluetooth untuk memastikan telefon berada berdekatan dengan peranti baharu dan peranti baharu itu, sebenarnya, disambungkan kepada Google dan bukannya tapak yang menyamar sebagai Google. Ini bermakna ia tidak boleh dipancing. Piawaian memastikan bahawa rahsia kriptografi yang disimpan pada telefon tidak boleh diekstrak.

Google juga menyediakan Program Perlindungan Lanjutan yang memerlukan kunci fizikal dalam bentuk dongle kendiri atau telefon pengguna akhir untuk mengesahkan log masuk daripada peranti baharu.

Had besar sekarang ialah pengesahan MFA dan tanpa kata laluan dilancarkan secara berbeza—jika ada—oleh setiap pembekal perkhidmatan. Sesetengah pembekal, seperti kebanyakan bank dan perkhidmatan kewangan, masih menghantar kata laluan sekali sahaja melalui SMS atau e-mel. Menyedari bahawa ia bukan cara selamat untuk mengangkut rahsia sensitif keselamatan, banyak perkhidmatan telah beralih kepada kaedah yang dikenali sebagai TOTP—singkatan dari kata laluan satu masa berasaskan masa—untuk membenarkan penambahan faktor kedua, yang secara berkesan menambah kata laluan dengan faktor “sesuatu yang saya ada”.

Kunci keselamatan fizikal, TOTP, dan sedikit sebanyak pengesahan dua faktor melalui SMS dan e-mel mewakili satu langkah penting ke hadapan, tetapi masih terdapat tiga had utama. Pertama, TOTP dijana melalui apl pengesah dan dihantar melalui teks atau e-mel boleh pancingan data, sama seperti kata laluan biasa. Kedua, setiap perkhidmatan mempunyai platform MFA tertutup sendiri. Ini bermakna walaupun semasa menggunakan bentuk MFA yang tidak boleh pancingan—seperti kunci fizikal kendiri atau kunci berasaskan telefon—pengguna memerlukan kunci berasingan untuk Google, Microsoft dan setiap harta Internet yang lain. Lebih memburukkan lagi keadaan, setiap platform OS mempunyai mekanisme yang berbeza untuk melaksanakan MFA.

Masalah ini memberi laluan kepada masalah ketiga: ketidakbolehgunaan semata-mata untuk kebanyakan pengguna akhir dan kos dan kerumitan bukan remeh yang dihadapi setiap perkhidmatan apabila cuba menawarkan MFA.

We wish to give thanks to the author of this short article for this amazing web content

Bagaimana Apple, Google dan Microsoft akan membunuh kata laluan dan pancingan data dalam satu pukulan


You can view our social media profiles here as well as other related pages herehttps://paw6.info/related-pages/