Il tuo telefono potrebbe presto sostituire molte delle tue password Krebs on Security

Mela:, Google: և: Microsoft: Hanno annunciato questa settimana che presto supporteranno un approccio di autenticazione che evita del tutto le password, richiedendo invece agli utenti di aprire semplicemente i propri smartphone per accedere a siti Web o servizi online. Gli esperti affermano che le modifiche dovrebbero aiutare a contrastare molti tipi di attacchi di phishing, alleggerendo il carico complessivo delle password sugli utenti di Internet, ma avvertono che il vero futuro senza una password potrebbe essere ancora anni per la maggior parte dei siti Web.

Immagine: Blog.google

I giganti della tecnologia fanno parte di uno sforzo di sostituzione di password leader del settore che viene facilmente dimenticato, spesso ruba malware, phishing o perdite e viene venduto online per violazioni dei dati aziendali.

Apple, Google e Microsoft sono tra gli investitori più attivi nello standard di accesso senza password sviluppato dalla FIDO (Fast Identity Online) Alliance, il World Wide Web Consortium (W3C), un gruppo che lavora con centinaia di tecnologie. Nell’ultimo decennio, le aziende hanno sviluppato un nuovo standard di accesso che funziona allo stesso modo su molti browser e sistemi operativi.

Secondo la FIDO Alliance, gli utenti potranno accedere ai siti Web attraverso le stesse operazioni che eseguono più volte al giorno per sbloccare i propri dispositivi, inclusi il PIN del dispositivo o dati biometrici come impronte digitali o scansione facciale.

“Questo nuovo approccio anti-phishing per l’accesso sarà radicalmente più sicuro rispetto alle password ereditate dalle tecnologie multifattoriali come le password monouso inviate tramite SMS”, ha scritto il blocco il 5 maggio.

Sampat SrinivasDirettore dell’identificazione di sicurezza di Google նախագահ Il presidente di FIDO Alliance ha affermato che con il nuovo sistema, il tuo telefono conterrà una credenziale FIDO chiamata passkey, che viene utilizzata per sbloccare il tuo account online.

“La password rende l’accesso molto più sicuro perché si basa sulla crittografia a chiave pubblica և viene visualizzata solo sul tuo account online quando sblocchi il telefono”, ha scritto Srinivas. “Per accedere a un sito Web con il tuo computer, hai solo bisogno del tuo telefono nelle vicinanze, ti verrà solo chiesto di sbloccarlo per accedervi. Dopo aver fatto ciò, il tuo telefono non avrà più bisogno, puoi accedere semplicemente sbloccando il tuo computer. ”

come Rete ZD: Nota che Apple, Google e Microsoft supportano già questi standard senza password (ad esempio “Accedi con Google”), ma gli utenti devono accedere a ciascun sito per utilizzare la funzione senza password. Con questo nuovo sistema, gli utenti potranno inserire automaticamente la propria password su molti dei propri dispositivi senza dover registrare nuovamente tutti i propri account, և utilizzare il proprio dispositivo mobile per accedere all’app o al sito web del dispositivo più vicino.

Johannes UlrichIl direttore della ricerca del SANS Institute of Technology ha definito l’annuncio “lo sforzo più promettente per affrontare la sfida dell’identificazione finora”.

“La parte più importante di questo standard è che non richiede agli utenti di acquistare un nuovo dispositivo, ma possono utilizzare dispositivi che già hanno, sanno come utilizzare come identificatori”, ha affermato Ulrich.

A Steve BelovIl professore di informatica della Columbia University, uno dei primi ricercatori su Internet e pioniere, ha definito gli sforzi di autenticazione senza password una “grande svolta”, ma ha affermato che molti siti Web richiederebbero troppo tempo per essere raggiunti.

Belovin և altri affermano che lo scenario potenzialmente complicato di questo nuovo schema senza l’autenticazione della password è ciò che accade quando qualcuno perde il proprio dispositivo mobile o si rompe il telefono և non riesce a ricordare la propria password iCloud.

“Sono preoccupato per le persone che non possono permettersi un dispositivo aggiuntivo o non possono sostituire facilmente un dispositivo rotto o rubato”, ha affermato Belovin. “Sono preoccupato per il recupero di una password dell’account cloud dimenticata.”

Google afferma che anche se perdi il telefono, “le tue password verranno sincronizzate in modo sicuro con il tuo nuovo telefono tramite l’archiviazione cloud, consentendoti di iniziare da dove si è fermato il tuo vecchio dispositivo”.

Apple և Microsoft offre anche soluzioni di archiviazione cloud che i clienti che utilizzano tali piattaforme possono utilizzare per recuperare i dati persi da un dispositivo mobile perso. Ma Belovin ha detto che molto dipende dalla sicurezza di gestione di tali sistemi cloud.

“Quanto è facile aggiungere una chiave pubblica a un altro dispositivo al tuo account senza autorizzazione?” Belovin fu sorpreso. “Penso che i loro protocolli lo rendano impossibile, ma altri non sono d’accordo”.

Nicholas WeaverDocente presso il Dipartimento di Informatica Università della California, Berkeley“I siti Web devono ancora disporre di una sorta di meccanismo di ripristino. Lo scenario ‘hai perso il telefono և password’, che ha descritto come ‘un compito davvero difficile da proteggere և è già uno dei maggiori punti deboli del nostro sistema attuale.’

“Se dimentichi la password, perdi il telefono, puoi recuperarlo, ora è un enorme obiettivo per gli aggressori”, ha detto Weaver in una e-mail. “Se dimentichi la password և perdi il telefono և NON PUOI, ora hai perso il tuo login utilizzato per accedere. Dovrebbe essere l’ultimo. Apple ha un’infrastruttura di supporto (portachiavi iCloud), ma non è chiaro se Google ce l’abbia.

Tuttavia, ha affermato che l’approccio FIDO generale è stato un ottimo strumento per migliorare sia la sicurezza che l’usabilità.

“È davvero un ottimo passo avanti, sono felice di vederlo”, ha detto Weaver. “È molto divertente utilizzare un’identificazione forte del proprietario del telefono (se hai la password giusta). E almeno per l’iPhone, puoi accendere questa alimentazione anche se il telefono compromette, perché è l’enclave sicura che può risolvere questo problema, և l’enclave sicura non si fida del sistema operativo host.

I giganti della tecnologia affermano che le nuove funzionalità senza password saranno disponibili sulle piattaforme Apple, Google e Microsoft “nel prossimo anno”. Ma gli esperti affermano che probabilmente ci vorranno diversi anni prima che i siti Web più piccoli adottino la tecnologia ed eliminino del tutto le password.

Ricerche recenti mostrano che troppe persone usano o riciclano ancora le password (modificando leggermente la stessa password), il che le mette a rischio di essere prese in considerazione quando tali credenziali finiscono per essere compromesse. Rapporto di marzo della Cyber ​​Security Company SpyCloud: È stato riscontrato che il 64% degli utenti riutilizza le password per più account e il 70% delle credenziali compromesse durante precedenti violazioni sono ancora in uso.

Il Libro bianco di marzo 2022 sull’approccio FIDO è disponibile qui (PDF). Le FAQ su questo sono qui.

Leave a Comment

Your email address will not be published.