Apple, Google и Microsoft се обединяват, за да направят безпарола по-лесна

Управление на достъпа, Дигитална идентичност, Управление на измами и киберпрестъпления

Най-добрите доставчици на технологии поддържат стандарта за влизане без парола на FIDO Alliance

Майкъл Новинсън (Майкъл Новинсън) •
7 май 2022 г


Apple, Google и Microsoft обединяват усилията си, за да поддържат стандарт, който ще позволи на уебсайтове и приложения да предлагат влизане без пароли на всички устройства и платформи.

Вижте също: Уебинар на живо | Отдалечените служители и голямата оставка: Как се справяте с вътрешни заплахи?


Трите гиганта на операционната система и браузъра хвърлиха тежестта си зад общ стандарт за влизане без парола, създаден от FIDO Alliance, който предотвратява отдалечените противници да извършват фишинг или атаки „човек в средата“, каза Андрю Шикиар, изпълнителен директор на FIDO Alliance . Медийна група за сигурност. Новият подход означава, че потребителите вече не трябва да регистрират всяко от своите устройства поотделно (вижте: Актуализация на FIDO Alliance: нови насоки, подобрени стандарти).


„Те не го правят от алтруизъм“, казва Шикиар. „Те наистина правят това, защото разбират, че това не е проблем, който една компания може да реши. Това наистина трябва да бъде индустриално решение, проектирано от индустрията за индустрията, за да ни даде колективно възможност да обърнем продължаващите нарушения на данните и атаки за превземане на акаунти, които продължават да порази и застраши целостта на нашата цифрова икономика.”


Ако всеки доставчик използва собствен подход за влизане без парола, би било от малка полза, тъй като много потребители използват операционни системи и браузъри от различни производители на софтуер, казва Джеръми Грант, главен изпълнителен директор на Venable и сътрудник на ISMG. Фактът, че трите компании, които контролират цялата операционна система и пазара на браузъри, въвеждат единен подход към пазара, значително ще насърчи приемането.


„Не е лесно да се направи в индустрия, в която често тези компании са в гърлото една на друга по отношение на съперничество и конкуренти“, каза Грант пред ISMG. “В повечето случаи искате да видите компании, които се конкурират една срещу друга, но мисля, че това е област, в която пазарната обратна връзка е много ясна. Тук трябва да видим по-силно сътрудничество.”


Никога не губете ключовете си


Алтернативите на паролата исторически обвързват частните ключове с конкретно устройство и изискват различен ключ да се използва за всеки екземпляр за влизане при сърфиране в мрежата, казва Грант. Но Shikiar казва, че е представлявал предизвикателства, когато потребителите са загубили притежание на удостоверител или са получили ново устройство, което накара FIDO Alliance да излезе с нов модел, който променя начина, по който се осъществява достъп до частните ключове.


Исторически погледнато, доставчиците на удостоверяване не са искали да клонират и експортират частни ключове, защото това е било разглеждано като потенциална уязвимост, казва Грант. Но през последните 18 месеца индустрията осъзна, че това предположение трябва да се преосмисли, защото би било почти невъзможно да се постигне масово внедряване или устойчива на фишинг автентификация без да се експортират ключовете в облака, където те могат да бъдат адекватно защитени.


„Чрез сигурно съхраняване на частни ключове в облака и след това синхронизирането им между устройства, това прави идеята за удостоверяване без пароли експоненциално по-използваема за потребителите и бизнеса“, казва Грант. „По принцип приемате най-голямото предизвикателство, което е възпрепятствало внедряването през годините, и го елиминирате, като го управлявате по-лесно за потребителите.“


Потребителите на Google Chrome понастоящем могат да влизат без парола в някои уебсайтове като eBay, а гигантът на търсачката все още позволява повторни влизания, без да изисква парола, според Сам Шринивас, PM директор на Google за сигурност на удостоверяването и президент на FIDO Alliance. Но Google все още изисква парола днес, когато потребителят се опитва да влезе за първи път на устройство, казва той.


Шринивас казва, че Google е свършил 70% от работата, така че клиентите да могат да използват FIDO удостоверяване на мобилно устройство наблизо, за да потвърдят самоличността си при първото си влизане, а не при парола. Очаква се нови функции, позволяващи по-прозрачни и сигурни влизания без пароли, да бъдат налични в Apple, Google и Microsoft през следващата година, съобщи FIDO Alliance.


Ако потребител изпусне телефона си в тоалетната и трябва да купи нов, Шринивас казва, че Android може безпроблемно да възстанови ключовете за достъп от защитено архивиране в интернет.


„Докато можете да стартирате телефона си, винаги сте готови“, казва Шринивас. “Можете просто да вземете оттам и да продължите напред. Никога няма да загубите ключовете си, защото облакът има вашите ключове.”


Донасяне на масите без парола


Големите компании като eBay, Best Buy и Wayfair имат техническата инфраструктура за поддръжка на удостоверяване без парола, но по-малките или по-малко сложни онлайн търговци на дребно нямат инфраструктура за сигурност или разширено удостоверяване и следователно се налага да използват паролите по подразбиране. . Той казва, че доставчиците на услуги ще могат да разчитат изцяло на производителите на устройства за удостоверяване.


„Те не инвестират много в удостоверяване, инфраструктура днес“, казва Шринивас. „Това е много по-добър начин за тях да удостоверяват своите потребители, като се възползват от доказаните възможности за сигурност на тези платформи. От гледна точка на потребителя, потребителското изживяване ще бъде много по-елегантно. По същество това ще бъде мениджър на пароли като този, но издаване FIDO двойки ключове, а не пароли.”


Само 22% от предприятията в момента имат многофакторна автентификация и Шринивас казва, че приемането на стандарта FIDO Alliance от Apple, Google и Microsoft трябва да улесни потребителите да приемат силно удостоверяване. Според Шринивас, CISO в организации, ориентирани към потребителите, ще приветстват ангажимента на основните доставчици на операционни системи, тъй като това ще направи многофакторната автентификация по-достъпна за повече хора.


„Говорих с CISO през цялото време за организации, които искаха да внедрят FIDO, но имаха проблеми с използваемостта, проблеми с мащаба и проблеми с възстановяването“, казва Сринивас. — Това отговаря на всички тези въпроси.

.

Add Comment