מזונות חשובים
- ברית FIDO פרסמה ספר לבן המנתח את החסרונות המונעים את תקן האימות ללא סיסמה שלה להפוך למיינסטרים.
- מנגנוני אימות ללא סיסמה לא הצליחו להחליף סיסמאות מכיוון שהן לא נוחות, עולה מהספר הלבן.
-
זה מציע שימוש בסמארטפונים כמפתחות אבטחה נודדים.
סיסמאות חזקות לא נוחות ליצירה ולניהול, אבל הוספת שלבים והתקנים נוספים לתהליך האימות היא כאב ראש גדול עוד יותר.
זו המסקנה של ספר לבן מאת Fast ID Online Alliance (FIDO), המאשים בעיות שמישות במניעת הפיכת מנגנוני אימות ללא סיסמה למיינסטרים. עם זאת, הברית המציאה פתרון לפתור את הבעיה אחת ולתמיד ולהפוך את תקן האימות של FIDO לכל מקום כמו סיסמאות.
"FIDO עלתה על כל הציפיות הראשוניות", אמר ביל Leddy, סמנכ"ל מוצר ב-LoginID, ל-Lifewire באימייל לאחר עיון בנייר הלבן. "[זה] ממש קרוב לפתרון כל [בעיות האימות], אבל צריך עוד קצת."
ביטול סיסמאות
Leddy מאמין שהסיסמאות האריכו את השימוש בהן. הוא מאשים את תעשיית האבטחה בכישלון אנשים על ידי דחיפה של אפשרויות חלשות במשך זמן רב מדי.
"הסיסמאות הן כעת בנות 60 שנים, אך הן נשארות אפשרות האימות העיקרית עבור רוב החשבונות. לצרכנים יש חשבונות רבים ושונים והם צפויים לזכור סיסמה ייחודית לכל אחד מהם.זה לא פתרון מעשי", טען לדי. הוא הוסיף שבאינטרנט של היום, שבו ניתן לשכפל אתרים בקלות, תפקידה של תעשיית האבטחה הוא לצייד אנשים בכלים הנכונים כדי למנוע הפרות חשבונות.
The FIDO Alliance, איגוד תעשיות פתוח, שנוצר כדי להפחית את ההסתמכות על סיסמאות, עובד על הנושא כבר כעשור. הוא יצר את תקן האימות של FIDO, שלא הצליח להשיג אחיזה. בספר הלבן, הברית חושבת שהיא סוף סוף זיהתה את החלק החסר בפאזל וגם התוותה אסטרטגיה להתגבר עליה.
לפי הברית, למנגנון האימות ללא סיסמה הנוכחי של FIDO יש בעיות שימושיות מובנות שמנעו ממנו להשיג אימוץ רחב.
"[צפינו] באימוץ מוגבל [בתחום הצרכנים], בגלל אי הנוחות הנתפסת של מפתחות אבטחה פיזיים (קנייה, רישום, נשיאה, שחזור), והאתגרים שצרכנים מתמודדים עם מאמתי פלטפורמה (למשל.ז., צורך לרשום מחדש כל מכשיר חדש; אין דרכים קלות להתאושש ממכשירים שאבדו או נגנבו) כגורם שני", ציין העיתון.
כדי להתגבר על הבעיות, הספר הלבן קורא להשתמש בסמארטפונים שלנו כמאמתים נודדים או כמפתחות אבטחה ניידים.
"התקן של משתמש כמאמת נדידה הוא חווית משתמש נהדרת ובטוחה הרבה יותר מסיסמאות במכשיר מהימן למחצה אם עושים זאת בצורה נכונה. מכיוון שסמארטפונים חדשים תומכים באופן טבעי ב-FIDO והצרכנים נמצאים רק לעתים רחוקות רחוק מהטלפונים שלהם, זה היא אפשרות טובה", הסכימה לדי.
הדרך קדימה
עם זאת, הספר הלבן מציע שכדי שסמארטפונים יצליחו כמפתחות אבטחה ניידים, FIDO חייבת לתכנן תהליך חלק עבור אנשים להוסיף או לעבור בין המכשירים הניידים שלהם.
היא טוענת שאם התהליך של משימות חיוניות, כמו הקמת טלפון חדש או מעבר לטלפון חדש, אינו פשוט, סביר להניח שאנשים יפסלו את כל הרעיון כבלתי נוח.כדי להימנע מכך, העיתון מציע להציג טכניקה חדשה שהם מכנים אישורי FIDO מרובי-מכשירים, או "מפתחות סיסמה".
"אישורי 'סיסמה' מרובים מכשירים עונים על שאלה ארוכת שנים סביב FIDO. השאלה הייתה כיצד לעבור למכשיר חדש אם רשמתי 50 אישורים ספציפיים לדומיין במכשיר הישן שלי ואז קיבלתי חדש אף אחד לא רוצה לעבור שחזור חשבון עבור 50 שירותים שונים כדי לאגד מחדש אישורי FIDO חדשים", הסביר Leddy.
FIDO טוענת שמפתחות סיסמה יעזרו להימנע לגמרי מהמצב הזה על ידי הבטחת שכאשר אנו עוברים ממכשיר אחד לאחר, אישורי ה-FIDO שלנו כבר ממתינים לנו. כמובן, המאמר הוא מושגי, ולדי חושב שקל יותר להציע מנגנון כזה מאשר ליישם.
"זה יהיה מצער אם פתרונות המפתח יהיו ספציפיים לספקים, כך שצרכן לא יכול לעבור בין יצרני מכשירים או אפילו קבוצה הטרוגנית (טלפון MacBook ו-Android) של מכשירים", הזהירה Leddy.
עם זאת, הוא סמוך ובטוח שברית FIDO, שמונה בין חבריה חברות כבדות משקל כמו אפל, מטה, גוגל, פייפאל, וולס פארגו, אמריקן אקספרס ובנק אוף אמריקה, תמציא פתרונות שהם לא לא רק אוניברסלי אלא גם נבדק ביסודיות נגד התקפות.
FIDO מאמין שהאישורים של FIDO מרובי-המכשיר יהפכו למסמר האחרון בארון הקבורה של סיסמאות. "על ידי הצגת היכולות החדשות הללו, אנו מקווים להעצים אתרים ואפליקציות להציע אפשרות ללא סיסמה מקצה לקצה; אין צורך בסיסמאות או קוד גישה חד פעמי (OTP)", אמר הברית.
