Jūsų telefonas netrukus gali pakeisti daugelį jūsų slaptažodžių – Krebs on Security

Apple, Google ir Microsoft Šią savaitę paskelbė, kad netrukus palaikys autentifikavimo metodą, kuris visiškai vengia slaptažodžių, o vietoj to reikalauja, kad vartotojai tik atrakintų savo išmaniuosius telefonus, kad prisijungtų prie svetainių ar internetinių paslaugų. Ekspertai teigia, kad pakeitimai turėtų padėti nugalėti daugelio rūšių sukčiavimo atakas ir palengvinti bendrą interneto vartotojų slaptažodžių naštą, tačiau perspėjame, kad daugumai svetainių tikroji beslaptažodžio ateitis gali būti po metų.

Vaizdas: Blog.google

Technologijų gigantai yra dalis pramonės vadovaujamų pastangų pakeisti slaptažodžius, kurie lengvai pamirštami, dažnai pavagiami dėl kenkėjiškų programų ir sukčiavimo schemų arba nutekinami ir parduodami internete po įmonių duomenų pažeidimų.

„Apple“, „Google“ ir „Microsoft“ yra vieni iš aktyvesnių prisijungimo be slaptažodžių standarto, sukurto FIDO („Fast Identity Online“) aljanso ir World Wide Web konsorciumas (W3C), grupės, kurios per pastarąjį dešimtmetį bendradarbiavo su šimtais technologijų kompanijų, siekdamos sukurti naują prisijungimo standartą, kuris veiktų vienodai keliose naršyklėse ir operacinėse sistemose.

Remiantis FIDO aljansu, vartotojai galės prisijungti prie svetainių atlikdami tuos pačius veiksmus, kuriuos atlieka kelis kartus per dieną, kad atrakintų savo įrenginius, įskaitant įrenginio PIN kodą arba biometrinius duomenis, pvz., pirštų atspaudų ar veido nuskaitymą.

„Šis naujas metodas apsaugo nuo sukčiavimo, o prisijungimas bus žymiai saugesnis, palyginti su slaptažodžiais ir senomis kelių veiksnių technologijomis, tokiomis kaip vienkartiniai slaptažodžiai, siunčiami SMS žinutėmis“, – rašė aljansas gegužės 5 d.

Sampath Srinivas„Google“ saugos autentifikavimo direktorius ir FIDO aljanso prezidentas, sakė, kad pagal naują sistemą jūsų telefone bus saugomi FIDO kredencialai, vadinami „slaptažodžiu“, kuris naudojamas jūsų internetinei paskyrai atrakinti.

„Slaptažodžio raktas daro prisijungimą daug saugesnį, nes jis pagrįstas viešojo rakto kriptografija ir rodomas tik jūsų internetinei paskyrai, kai atrakinate telefoną“, – rašė Srinivas. „Norėdami prisijungti prie svetainės kompiuteryje, jums tereikia netoliese esančio telefono ir būsite paraginti jį atrakinti, kad galėtumėte pasiekti. Kai tai padarysite, jums nebereikės telefono ir galėsite prisijungti tiesiog atrakinę kompiuterį.

Kaip ZDNet Pastabos, „Apple“, „Google“ ir „Microsoft“ jau palaiko šiuos beslaptažodžio standartus (pvz., „Prisijungti naudojant Google“), tačiau vartotojai turi prisijungti prie kiekvienos svetainės, kad galėtų naudotis beslaptažodžio funkcija. Pagal šią naują sistemą vartotojai galės automatiškai pasiekti savo prieigos kodą daugelyje savo įrenginių – nereikės iš naujo registruoti kiekvienos paskyros – ir naudoti savo mobilųjį įrenginį, kad prisijungtų prie programos ar svetainės netoliese esančiame įrenginyje.

Johanesas Ullrichastyrimų dekanas SANS technologijų institutasšį pranešimą pavadino „daug žadančiomis pastangomis išspręsti autentifikavimo iššūkį“.

„Svarbiausia šio standarto dalis yra ta, kad naudotojams nereikės pirkti naujo įrenginio, o vietoj to jie gali naudoti įrenginius, kuriuos jau turi ir žinoti, kaip juos naudoti kaip autentifikavimo priemones“, – sakė Ullrichas.

Steve’as Bellovinaskompiuterių mokslų profesorius Kolumbijos universitete ir ankstyvas internetas tyrinėtojas ir pradininkaspastangas be slaptažodžio pavadino „didžiuliu pažanga“ autentifikavimo srityje, tačiau teigė, kad prireiks labai daug laiko, kol daugelis svetainių pasivys.

Bellovinas ir kiti teigia, kad vienas potencialiai sudėtingas scenarijus šioje naujoje autentifikavimo be slaptažodžio schemoje yra tai, kas atsitinka, kai kas nors pameta mobilųjį įrenginį arba sugenda telefonas ir jis negali prisiminti savo „iCloud“ slaptažodžio.

„Aš nerimauju dėl žmonių, kurie negali sau leisti įsigyti papildomo įrenginio arba negali lengvai pakeisti sugedusio ar pavogto įrenginio“, – sakė Bellovin. “Aš nerimauju dėl pamiršto slaptažodžio atkūrimo debesies paskyroms.”

Google sako kad net jei pamestumėte telefoną, „slaptažodžiai bus saugiai sinchronizuojami su naujuoju telefonu iš debesies atsarginės kopijos, todėl galėsite tęsti ten, kur baigėsi senasis įrenginys“.

„Apple“ ir „Microsoft“ taip pat turi debesų atsarginių kopijų kūrimo sprendimus, kuriuos klientai, naudojantys šias platformas, galėtų naudoti norėdami atkurti prarastą mobilųjį įrenginį. Tačiau Bellovinas sakė, kad daug kas priklauso nuo to, kaip saugiai administruojamos tokios debesų sistemos.

„Ar lengva pridėti kito įrenginio viešąjį raktą prie paskyros be leidimo? – susimąstė Bellovinas. „Manau, kad dėl jų protokolų tai neįmanoma, bet kiti nesutinka.

Nikolajus Weaverisinformatikos katedros dėstytojas adresu Kalifornijos universitetas, Berklissakė, kad svetainėse vis dar turi būti tam tikras atkūrimo mechanizmas, skirtas scenarijui „pametėte telefoną ir slaptažodį“, kurį jis apibūdino kaip „labai sudėtingą problemą, kurią reikia atlikti saugiai, ir jau yra viena didžiausių dabartinės sistemos trūkumų“.

„Jei pamiršite slaptažodį, pametite telefoną ir galėsite jį atkurti, dabar tai yra didžiulis užpuolikų taikinys“, – elektroniniame laiške sakė Weaveris. „Jei pamiršote slaptažodį, pametate telefoną ir NEGALITE, dabar pametėte prieigos raktą, kuris naudojamas prisijungimui. Tai turės būti pastaroji. „Apple“ turi infrastruktūrą, kuri ją palaiko („iCloud“ raktų pakabukas), bet neaišku, ar „Google“ tai daro.

Nepaisant to, jis sakė, kad bendras FIDO metodas buvo puiki priemonė saugumui ir patogumui gerinti.

„Tai tikrai labai geras žingsnis į priekį, ir man malonu tai matyti“, – sakė Weaveris. „Pasinaudoti stipriu telefono savininko autentifikavimu (jei turite tinkamą kodą) yra gana malonu. Ir bent jau „iPhone“ galite padaryti tai tvirtą net ir esant telefono kompromisui, nes tai yra saugus anklavas, kuris tai tvarkys, o saugus anklavas nepasitiki pagrindine operacine sistema.

Technologijų milžinai teigė, kad naujos beslaptažodžio galimybės bus įjungtos „Apple“, „Google“ ir „Microsoft“ platformose „per ateinančius metus“. Tačiau ekspertai teigė, kad greičiausiai prireiks dar kelerių metų, kol mažesnės interneto svetainės pritaikys šią technologiją ir visiškai atsisakys slaptažodžių.

Naujausi tyrimai rodo, kad per daug žmonių vis dar pakartotinai naudoja arba perdirba slaptažodžius (šiek tiek pakeičia tą patį slaptažodį), o tai kelia paskyros perėmimo riziką, kai tie kredencialai galiausiai tampa atskleisti pažeidžiant duomenis. A ataskaita kovo mėnesį iš kibernetinio saugumo įmonės SpyCloud nustatė, kad 64 procentai vartotojų pakartotinai naudoja kelių paskyrų slaptažodžius ir kad 70 procentų kredencialų, kuriems buvo pakenkta dėl ankstesnių pažeidimų, vis dar naudojami.

Yra 2022 m. kovo mėn. balta knyga apie FIDO metodą čia (PDF). DUK apie tai čia.

Leave a Comment