Анализ Microsoft, Apple и Google – всички дългогодишни привърженици на премахването на пароли за целите на удостоверяване – подкрепят стандартите, разработени от FIDO Alliance и World Wide Web Consortium (W3C), които биха могли напълно да премахнат паролите, тайните фрази.
Някъде тази година или началото на 2023 г. се очаква Големите 3 да внедрят тези стандарти, така че хората да могат да влизат в онлайн услуги и приложения, използвайки познати методи за удостоверяване без парола, като ПИН кода на устройството или пръстови отпечатъци или сканиране на лица, които използват за отключване на устройствата си, FIDO – съкратено от Fast Identity Online – Алиансът обяви в четвъртък.
Надяваме се, че това ще доведе до последователно, лесно за управление междуплатформено удостоверяване за софтуер и уебсайтове, което не включва запомняне на пароли.
Microsoft, Apple и Google са сред стотиците технологични компании и доставчици на услуги, които са работили с FIDO и W3C за разработването на тези стандарти за влизане без пароли. Според Андрю Шикиар, изпълнителен директор и CMO на FIDO Alliance, подкрепата на тези водещи технологични компании и обещанието за въвеждане на тези новоразработени възможности ще ускорят тяхното приемане.
„Тази нова способност трябва да въведе нова вълна от внедряване на FIDO с ниско триене, наред с продължаващото и нарастващо използване на ключове за сигурност, предоставяйки на доставчиците на услуги пълен набор от опции за внедряване на модерна, устойчива на фишинг автентификация“, каза Шикиар.
Паролите са постоянен проблем със сигурността, особено след пандемията от COVID-19 и произтичащото от това преминаване към съзвездие от отдалечени услуги, както и хибридни работни графици. Microsoft изчислява, че има 579 атаки, включващи пароли всяка секунда, или около 18 милиарда годишно, и много от тях са успешни, главно защото хората са склонни да избират лоши пароли или да ги използват повторно в множество акаунти.
В доклад, публикуван в началото на март, изследователи от доставчика на киберсигурност SpyCloud установиха, че потребителите продължават да използват едни и същи пароли за множество акаунти, както и слаби или често срещани пароли. Докладът на SpyCloud установи, че 64% от потребителите повтарят пароли за повече от един акаунт, а 70% от паролите, които са били компрометирани в миналото, все още се използват.
Костите на FIDO
FIDO настоява за приемането на методи без пароли от десетилетие чрез технологии като USB хардуерни ключове и – заедно с W3C – спецификацията за сигурност WebAuthn. През март двете групи представиха друга версия на WebAuthn.
И сега ни е казано, че хората, които стоят зад Office и Azure, iPhones и iCloud, и Chrome и Gmail, ще внедрят нови стандартизирани функции от FIDO и W3C, които трябва да улеснят използването на методи за влизане без парола, независимо от операционната система и платформа, включително възможността потребителите да имат автоматичен достъп до своите идентификационни данни за вход във FIDO – известни още като „пароли“ – на своите устройства, без да се налага да регистрират повторно всеки акаунт. Освен това хората трябва да могат да използват FIDO удостоверяване на своите мобилни устройства, за да влязат в уебсайт или приложение на близък компютър, използвайки каквато и операционна система или браузър, които използват.
„Пълното преминаване към свят без пароли ще започне с това, че потребителите ще го превърнат в естествена част от живота си“, каза Алекс Симонс, корпоративен вицепрезидент за управление на програми за самоличност в Microsoft, относно най-новите функции, поддържани от FIDO и W3C. „Всяко жизнеспособно решение трябва да бъде по-сигурно, по-просто и по-бързо от паролите и старите многофакторни методи за удостоверяване, използвани днес.“
Използването на пароли не се подобрява много, каза Крейг Лури, съосновател и главен технически директор на фирмата за киберсигурност Keeper Security. Регистърът Разчитането на паролите на бизнеса и потребителите нараства по-бързо, до голяма степен поради преминаването към отдалечена работа и използването на облачни услуги, каза той. Освен това Лури отбеляза, че при цялата си работа FIDO „не отговаря на необходимостта от криптиране на потребителски данни в среда с нулево знание и нулево доверие“.
Microsoft беше особено настоятелно за премахване на пароли и през септември 2021 г. заяви, че потребителите могат да премахнат пароли от своите акаунти в Microsoft, като използват приложението Microsoft Authenticator, Windows Hello, ключ за сигурност или код за потвърждение, изпратен до мобилния им телефон. или имейл.
Марк Ришър, старши директор по управление на продуктите в Google, каза, че работата на доставчиците с FIDO и W3C „е доказателство за съвместната работа, която се извършва в цялата индустрия за укрепване на защитата и премахване на остарялата автентификация, базирана на пароли.
Играйте дългата игра
Ключът към нарастващото приемане на техники без пароли започва с устройството, където Microsoft, Apple и Google доминират и вече имат въведени механизми за удостоверяване, каза Гарет Граек, главен изпълнителен директор на фирмата за киберсигурност YouAttest. . Регистърът.
„След това се пада на сигурността на тези фактори върху голямата тройка, а след това на сигурността и прилагането на SSO от тези устройства към разчитащите страни – други уеб, мобилни и локални приложения“, каза Grajek. „Като се имат предвид проблемите, които имаме с хакове на веригата за доставки и други хакове, не е непредсказуемо, че в това пространство ще се случат повече хакове.“
Еднофакторното влизане без парола създава твърде много функционални, логистични и предизвикателства за сигурност, за да се превърне в норма за една нощ
Лури от Keeper Security каза, че ще предприеме редица стъпки – като доставчиците изграждат технологии като многофакторна автентификация в своите уебсайтове и приложения и потребителите не само са запознати и се доверяват на технологията, но и разчитат на своите мобилни устройства – преди приемането да се ускори . .
„Все още ще използваме пароли поне още десетилетие“, каза той. „Еднофакторното влизане без парола създава твърде много функционални, логистични и защитни предизвикателства, за да се превърне в норма за една нощ.“
Джон Гън, главен изпълнителен директор на доставчика на удостоверяване Token, каза Регистърът че „Световният ден на паролата е подобен на Националния ден на състезанието с ножици. И двете дейности са по своята същност опасни, като последната е значително по-безопасна въз основа на статистически анализ.
„Сигурността на паролата или липсата на такава е напреднала съвсем незначително през 61 години от прилагането й. Време е да се ангажираме колективно… да премахнем напълно паролите.“ ®
