Key takeaways
- FIDO Alliance har udgivet en hvidbog, der analyserer de mangler, der forhindrer dens adgangskodeløse autentificeringsstandard i at blive mainstream.
- Autentificeringsmekanismer uden adgangskode har undladt at erstatte adgangskoder, fordi de er ubelejlige, foreslår hvidbogen.
-
Det foreslår brug af smartphones som roaming-sikkerhedsnøgler.
Stærke adgangskoder er ubelejlige at oprette og administrere, men at tilføje ekstra trin og enheder til godkendelsesprocessen er en endnu større hovedpine.
Det er konklusionen på en hvidbog fra Fast ID Online Alliance (FIDO), som giver problemer med brugervenlighed skylden for at forhindre adgangskodeløse autentificeringsmekanismer i at blive mainstream. Alliancen har dog fundet på en løsning til at løse problemet én gang for alle og gøre FIDO-godkendelsesstandarden lige så allestedsnærværende som adgangskoder.
"FIDO har overgået alle indledende forventninger," fort alte Bill Leddy, VP of Product hos LoginID, til Lifewire via e-mail efter at have læst whitepaperet. "[Det] er virkelig tæt på at løse alle autentificeringsproblemer, men har brug for lidt mere."
Annullerer adgangskoder
Leddy mener, at adgangskoder har overlevet deres brug. Han bebrejder sikkerhedsindustrien for at svigte folk ved at presse svage muligheder alt for længe.
"Adgangskoder er nu 60 år gamle, men forbliver den primære godkendelsesmulighed for de fleste konti. Forbrugere har mange forskellige konti og forventes at huske en unik adgangskode for hver. Det er ikke en praktisk løsning," hævdede Leddy. Han tilføjede, at i dagens internet, hvor websteder nemt kan klones, er sikkerhedsindustriens opgave at udstyre folk med de rigtige værktøjer til at forhindre kontobrud.
FIDO Alliance, en åben brancheforening, skabt for at reducere afhængigheden af adgangskoder, har arbejdet på problemet i omkring et årti nu. Det har skabt FIDO-godkendelsesstandarden, som ikke har været i stand til at vinde trækkraft. I hvidbogen mener alliancen, at den endelig har identificeret den manglende brik i puslespillet og også skitseret en strategi for at overvinde den.
Ifølge alliancen har FIDO's nuværende adgangskodefri autentificeringsmekanisme iboende brugervenlighedsproblemer, der har forhindret den i at opnå bred anvendelse.
"[Vi] har observeret begrænset anvendelse [i forbrugerområdet], på grund af den oplevede besvær med fysiske sikkerhedsnøgler (køb, registrering, medbringelse, gendannelse) og de udfordringer, forbrugere står over for med platformautentificering (f.eks.g. at skulle gentilmelde hver ny enhed; ingen nemme måder at komme sig efter tabte eller stjålne enheder) som en anden faktor," bemærkede avisen.
For at overvinde problemerne opfordrer hvidbogen til at bruge vores smartphones som roaming-godkendelse eller bærbare sikkerhedsnøgler.
"En brugers enhed som roaming-godkendelse er en fantastisk brugeroplevelse og meget mere sikker end adgangskoder på en semi-betroet enhed, hvis den gøres korrekt. Da nye smartphones naturligt understøtter FIDO, og forbrugerne sjældent er langt fra deres telefoner, er det er en god mulighed, " sagde Leddy.
Vejen frem
Hvidbogen foreslår imidlertid, at for at smartphones skal blive succesfulde som bærbare sikkerhedsnøgler, skal FIDO udtænke en smidig proces, hvor folk kan tilføje eller skifte mellem deres mobile enheder.
Det hævder, at hvis processen for væsentlige opgaver, såsom at oprette en ny telefon eller skifte til en ny, ikke er ligetil, så vil folk sandsynligvis afvise hele ideen som værende ubelejlig. For at undgå dette foreslår avisen at introducere en ny teknik, de kalder FIDO-legitimationsoplysninger for flere enheder eller "adgangsnøgler".
"Multi-enheds 'passkey'-legitimationsoplysninger adresserer et langvarigt spørgsmål omkring FIDO. Spørgsmålet har været, hvordan man flytter til en ny enhed, hvis jeg tilmeldte 50 domænespecifikke legitimationsoplysninger på min gamle enhed og derefter fik en ny enhed. Ingen ønsker at gennemgå kontogendannelse for 50 forskellige tjenester for at genbinde nye FIDO-legitimationsoplysninger," forklarede Leddy.
FIDO hævder, at adgangsnøgler vil hjælpe med at undgå denne situation helt ved at sikre, at når vi skifter fra en enhed til en anden, er vores FIDO-legitimationsoplysninger allerede der og venter på os. Naturligvis er papiret konceptuelt, og Leddy mener, at en sådan mekanisme er lettere at foreslå end at implementere.
"Det ville være uheldigt, hvis adgangsnøgleløsningerne var leverandørspecifikke, så en forbruger ikke kan skifte mellem enhedsproducenter eller endda et heterogent (MacBook og Android-telefon) sæt enheder," advarede Leddy.
Han er dog overbevist om, at FIDO-alliancen, som tæller sværvægtere som Apple, Meta, Google, PayPal, Wells Fargo, American Express og Bank of America, blandt sine medlemmer, vil komme med løsninger, der ikke kun universel, men også grundigt undersøgt mod angreb.
FIDO mener, at FIDO-legitimationsoplysningerne for flere enheder vil blive det sidste søm i kisten for adgangskoder. "Ved at introducere disse nye muligheder håber vi at give websteder og apps mulighed for at tilbyde en fuldstændig adgangskodefri mulighed; ingen adgangskoder eller engangskoder (OTP) påkrævet," sagde alliancen.