Eine passwortlose Zukunft kann erfordern, dass unsere Telefone Sicherheitsschlüssel sind

Inhaltsverzeichnis:

Eine passwortlose Zukunft kann erfordern, dass unsere Telefone Sicherheitsschlüssel sind
Eine passwortlose Zukunft kann erfordern, dass unsere Telefone Sicherheitsschlüssel sind
Anonim

Key Takeaways

  • Die FIDO Alliance hat ein Whitepaper veröffentlicht, in dem die Mängel analysiert werden, die verhindern, dass sich ihr passwortloser Authentifizierungsstandard durchsetzt.
  • Passwortlose Authentifizierungsmechanismen konnten Passwörter nicht ersetzen, weil sie unbequem sind, schlägt das Whitepaper vor.
  • Es schlägt die Verwendung von Smartphones als Roaming-Sicherheitsschlüssel vor.

Image
Image

Starke Passwörter sind umständlich zu erstellen und zu verw alten, aber das Hinzufügen zusätzlicher Schritte und Geräte zum Authentifizierungsprozess bereitet noch größere Kopfschmerzen.

Das ist die Schlussfolgerung eines Whitepapers der Fast ID Online Alliance (FIDO), die Usability-Probleme dafür verantwortlich macht, dass passwortlose Authentifizierungsmechanismen nicht zum Mainstream werden. Die Allianz hat jedoch eine Lösung gefunden, um das Problem ein für alle Mal zu lösen und den FIDO-Authentifizierungsstandard so allgegenwärtig wie Passwörter zu machen.

"FIDO hat alle ursprünglichen Erwartungen übertroffen", sagte Bill Leddy, VP of Product bei LoginID, per E-Mail zu Lifewire, nachdem er das Whitepaper gelesen hatte. "[Es] ist wirklich nah dran, alle Authentifizierungsprobleme zu lösen, aber es braucht noch ein bisschen mehr."

Passwörter löschen

Leddy glaubt, dass Passwörter ihre Verwendung überdauert haben. Er beschuldigt die Sicherheitsindustrie, Menschen im Stich gelassen zu haben, indem sie schwache Optionen viel zu lange vorangetrieben hat.

"Passwörter sind jetzt 60 Jahre alt, bleiben aber für die meisten Konten die primäre Authentifizierungsoption. Verbraucher haben viele verschiedene Konten und es wird erwartet, dass sie sich für jedes ein eindeutiges Passwort merken. Das ist keine praktische Lösung", behauptete Leddy. Er fügte hinzu, dass es im heutigen Internet, wo Websites leicht geklont werden können, die Aufgabe der Sicherheitsindustrie sei, Menschen mit den richtigen Tools auszustatten, um Kontoverletzungen zu verhindern.

Die FIDO Alliance, ein offener Branchenverband, der gegründet wurde, um die Abhängigkeit von Passwörtern zu verringern, arbeitet seit etwa einem Jahrzehnt an diesem Problem. Es hat den FIDO-Authentifizierungsstandard geschaffen, der sich nicht durchsetzen konnte. In dem Whitepaper glaubt die Allianz, das fehlende Puzzleteil endlich identifiziert und auch eine Strategie zu seiner Überwindung skizziert zu haben.

Laut der Allianz hat der aktuelle passwortlose Authentifizierungsmechanismus von FIDO inhärente Benutzerfreundlichkeitsprobleme, die ihn daran gehindert haben, eine breite Akzeptanz zu erreichen.

"[Wir] haben eine begrenzte Akzeptanz [im Verbraucherbereich] aufgrund der wahrgenommenen Unbequemlichkeit von physischen Sicherheitsschlüsseln (Kauf, Registrierung, Mitführen, Wiederherstellen) und der Herausforderungen, denen Verbraucher mit Plattformauthentifikatoren gegenüberstehen (z. B. jedes neue Gerät neu registrieren zu müssen; keine einfachen Möglichkeiten, sich von verlorenen oder gestohlenen Geräten zu erholen) als zweiten Faktor“, stellte das Papier fest.

Um die Probleme zu lösen, fordert das Whitepaper die Verwendung unserer Smartphones als Roaming-Authentifikatoren oder tragbare Sicherheitsschlüssel.

"Das Gerät eines Benutzers als Roaming-Authentifikator ist eine großartige Benutzererfahrung und viel sicherer als Passwörter auf einem halb vertrauenswürdigen Gerät, wenn es richtig gemacht wird. Da neue Smartphones FIDO nativ unterstützen und die Verbraucher selten weit von ihren Telefonen entfernt sind, ist es ist eine gute Option", stimmte Leddy zu.

Der Weg nach vorn

Das Whitepaper schlägt jedoch vor, dass FIDO, damit Smartphones als tragbare Sicherheitsschlüssel erfolgreich werden, einen reibungslosen Prozess entwickeln muss, damit Benutzer ihre Mobilgeräte hinzufügen oder zwischen ihnen wechseln können.

Es argumentiert, dass, wenn der Prozess für wesentliche Aufgaben, wie das Einrichten eines neuen Telefons oder der Wechsel zu einem neuen, nicht einfach ist, die Leute die ganze Idee wahrscheinlich als unbequem abtun werden. Um dies zu vermeiden, schlägt das Papier die Einführung einer neuen Technik vor, die sie Multi-Device FIDO Credentials oder „Passkeys“nennen.

"Multi-Device 'Passkey' Credentials adressieren eine seit langem bestehende Frage rund um FIDO. Die Frage war, wie ich zu einem neuen Gerät wechseln kann, wenn ich 50 domänenspezifische Anmeldeinformationen auf meinem alten Gerät registriert habe und dann ein neues bekommen habe Gerät. Niemand möchte eine Kontowiederherstellung für 50 verschiedene Dienste durchlaufen, um neue FIDO-Anmeldeinformationen erneut zu binden ", erklärte Leddy.

Image
Image

FIDO behauptet, dass Passkeys dazu beitragen werden, diese Situation vollständig zu vermeiden, indem sichergestellt wird, dass unsere FIDO-Anmeldeinformationen bereits auf uns warten, wenn wir von einem Gerät zu einem anderen wechseln. Natürlich ist das Papier konzeptionell, und Leddy denkt, dass ein solcher Mechanismus einfacher vorzuschlagen als zu implementieren ist.

"Es wäre bedauerlich, wenn die Passkey-Lösungen herstellerspezifisch wären, sodass ein Verbraucher nicht zwischen Geräteherstellern oder sogar einer heterogenen (MacBook- und Android-Telefone) Gruppe von Geräten wechseln kann", warnte Leddy.

Er ist jedoch zuversichtlich, dass die FIDO-Allianz, die Schwergewichte wie Apple, Meta, Google, PayPal, Wells Fargo, American Express und Bank of America zu ihren Mitgliedern zählt, Lösungen finden wird, die nicht nur universell, sondern auch gründlich gegen Angriffe geprüft.

FIDO glaubt, dass die FIDO-Zugangsdaten für mehrere Geräte der letzte Sargnagel für Passwörter sein werden. „Durch die Einführung dieser neuen Funktionen hoffen wir, Websites und Apps in die Lage zu versetzen, eine wirklich passwortlose End-to-End-Option anzubieten; keine Passwörter oder Einmalpasswörter (OTP) erforderlich“, sagte die Allianz.

Empfohlen: