آینده بدون گذرواژه ممکن است به تلفن های ما نیاز داشته باشد که کلید امنیتی باشند

2024 نویسنده: Abigail Brown | [email protected]. آخرین اصلاح شده: 2023-12-17 06:46

موارد مهم

• اتحاد FIDO کاغذ سفیدی منتشر کرده است که در آن کاستی هایی را که مانع از تبدیل شدن استاندارد احراز هویت بدون رمز عبور به جریان اصلی می شود، تجزیه و تحلیل می کند.
• مکانیسم‌های احراز هویت بدون رمز عبور نتوانسته‌اند پسوردها را جایگزین کنند، زیرا آنها ناخوشایند هستند، کاغذ سفید پیشنهاد می‌کند.

• استفاده از تلفن های هوشمند را به عنوان کلیدهای امنیتی رومینگ پیشنهاد می کند.

پسوردهای قوی برای ایجاد و مدیریت ناخوشایند هستند، اما افزودن مراحل و دستگاه‌های اضافی به فرآیند احراز هویت یک سردرد حتی بزرگ‌تر است.

این نتیجه‌گیری مقاله سفید Fast ID Online Alliance (FIDO) است که مشکلات قابلیت استفاده را برای جلوگیری از تبدیل شدن مکانیزم‌های احراز هویت بدون رمز عبور به جریان اصلی می‌داند. با این حال، اتحاد راه حلی برای حل مشکل یک بار برای همیشه ارائه کرده است و استاندارد احراز هویت FIDO را به اندازه رمزهای عبور فراگیر می کند.

بیل لدی، معاون محصول در LoginID، پس از مطالعه وایت پیپر، از طریق ایمیل به Lifewire گفت: "FIDO از تمام انتظارات اولیه فراتر رفته است." "[این] واقعاً به حل همه [مشکلات] احراز هویت نزدیک است، اما به کمی بیشتر نیاز دارد."

لغو رمزهای عبور

لدی بر این باور است که گذرواژه‌ها بیشتر از مدت‌ها استفاده می‌شوند. او صنعت امنیت را برای شکست دادن افراد با فشار دادن گزینه های ضعیف برای مدت طولانی سرزنش می کند.

گذرواژه ها اکنون 60 سال از عمرشان می گذرد، اما گزینه اصلی احراز هویت برای اکثر حساب ها باقی مانده است. مصرف کنندگان حساب های مختلفی دارند و انتظار می رود برای هر یک رمز عبور منحصر به فرد را به خاطر بسپارند.لدی اظهار داشت که این یک راه حل عملی نیست. او افزود که در اینترنت امروزی، که وب سایت ها را می توان به راحتی شبیه سازی کرد، وظیفه صنعت امنیت تجهیز افراد به ابزارهای مناسب برای جلوگیری از نفوذ به حساب است.

اتحاد FIDO، یک انجمن صنعتی باز، که برای کاهش اتکا به رمزهای عبور ایجاد شده است، حدود یک دهه است که روی این موضوع کار می کند. این استاندارد احراز هویت FIDO را ایجاد کرده است که نتوانسته است جذب شود. در وایت پیپر، اتحاد فکر می‌کند که بالاخره قطعه گمشده پازل را شناسایی کرده و همچنین یک استراتژی برای غلبه بر آن ترسیم کرده است.

طبق این اتحاد، مکانیسم فعلی احراز هویت بدون رمز عبور FIDO دارای مشکلات ذاتی قابلیت استفاده است که مانع از پذیرش گسترده آن شده است.

"[ما] پذیرش محدودی [در فضای مصرف‌کننده] مشاهده کرده‌ایم، به دلیل ناراحتی درک شده کلیدهای امنیتی فیزیکی (خرید، ثبت، حمل، بازیابی)، و چالش‌هایی که مصرف‌کنندگان با تأییدکنندگان پلتفرم با آن مواجه هستند (مثلاً.g.، مجبور به ثبت نام مجدد هر دستگاه جدید؛ این مقاله خاطرنشان کرد: هیچ راه آسانی برای بازیابی از دستگاه های گم شده یا دزدیده شده) به عنوان عامل دوم وجود ندارد.

برای غلبه بر مشکلات، کاغذ سفید خواستار استفاده از تلفن های هوشمند ما به عنوان احراز هویت رومینگ یا کلیدهای امنیتی قابل حمل است.

دستگاه کاربر به عنوان یک احراز هویت رومینگ یک تجربه کاربری عالی است و اگر به درستی انجام شود، بسیار امن تر از رمزهای عبور در یک دستگاه نیمه مطمئن است. از آنجایی که تلفن های هوشمند جدید به طور بومی از FIDO پشتیبانی می کنند و مصرف کنندگان به ندرت از تلفن خود دور می شوند، لدی موافقت کرد، گزینه خوبی است.

راه رو به جلو

با این حال، وایت پیپر پیشنهاد می کند که برای موفقیت گوشی های هوشمند به عنوان کلیدهای امنیتی قابل حمل، FIDO باید فرآیندی روان برای افزودن یا جابجایی بین دستگاه های تلفن همراه خود ایجاد کند.

استدلال می کند که اگر فرآیند کارهای ضروری، مانند راه اندازی یک تلفن جدید یا تغییر به تلفن جدید، ساده نباشد، مردم احتمالاً کل این ایده را ناخوشایند رد می کنند.برای جلوگیری از این امر، مقاله پیشنهاد می کند تکنیک جدیدی معرفی شود که آن را اعتبار FIDO چند دستگاهی یا "کلیدهای عبور" می نامند.

"مورد "کلید عبور" اعتبار چند دستگاهی به یک سوال قدیمی در مورد FIDO پاسخ می دهد. این سوال این است که اگر 50 اعتبار دامنه خاص را در دستگاه قدیمی خود ثبت کنم و سپس یک دستگاه جدید دریافت کنم، چگونه به یک دستگاه جدید منتقل شوم. لدی توضیح داد.

FIDO ادعا می کند که کلیدهای عبور با اطمینان از اینکه وقتی از یک دستگاه به دستگاه دیگر سوئیچ می کنیم، اعتبار FIDO ما از قبل در آنجا منتظر ما باشد، به جلوگیری از این وضعیت کمک می کند. البته، مقاله مفهومی است، و لدی فکر می‌کند چنین مکانیزمی آسان‌تر از اجرای آن است.

"مایه تاسف خواهد بود اگر راه حل های کلید عبور مختص فروشنده باشد به طوری که مصرف کننده نتواند بین سازندگان دستگاه یا حتی مجموعه ای ناهمگن (مک بوک و تلفن اندروید) از دستگاه ها جابجا شود."

با این حال، او مطمئن است که اتحاد FIDO، که اعضای سنگین وزنی مانند اپل، متا، گوگل، پی پال، ولز فارگو، امریکن اکسپرس، و بانک آمریکا را در میان اعضای خود به حساب می‌آورد، راه‌حل‌هایی ارائه خواهد کرد که چنین نیست. فقط جهانی است، بلکه به طور کامل در برابر حملات بررسی شده است.

FIDO معتقد است اعتبار FIDO چند دستگاهی به آخرین میخ در تابوت برای رمزهای عبور تبدیل خواهد شد. اتحاد گفت: «با معرفی این قابلیت‌های جدید، امیدواریم به وب‌سایت‌ها و برنامه‌ها قدرت دهیم تا گزینه‌ای کاملاً بدون رمز عبور را ارائه دهند؛ هیچ رمز عبور یا رمز عبور یک‌بار مصرف (OTP) مورد نیاز نیست.»