Önemli Bilgiler
- FIDO Alliance, parolasız kimlik doğrulama standardının ana akım haline gelmesini engelleyen eksiklikleri analiz eden bir teknik inceleme yayınladı.
- Teknik incelemeye göre Parolasız kimlik doğrulama mekanizmaları, elverişsiz oldukları için parolaları değiştiremedi.
-
Akıllı telefonların dolaşım güvenlik anahtarları olarak kullanılmasını önerir.
Güçlü şifreler oluşturmak ve yönetmek için elverişsizdir, ancak kimlik doğrulama sürecine fazladan adımlar ve cihazlar eklemek daha da büyük bir baş ağrısıdır.
Bu, Fast ID Online Alliance (FIDO) tarafından, parolasız kimlik doğrulama mekanizmalarının ana akım haline gelmesini önlemek için kullanılabilirlik sorunlarını suçlayan bir teknik raporun sonucudur. Ancak ittifak, sorunu bir kez ve herkes için çözmek ve FIDO kimlik doğrulama standardını şifreler kadar yaygın hale getirmek için bir çözüm buldu.
LoginID Ürün Başkan Yardımcısı Bill Leddy, teknik incelemeyi inceledikten sonra e-posta üzerinden Lifewire'a verdiği demeçte, "FIDO başlangıçtaki tüm beklentileri aştı" dedi. "[Bu], tüm kimlik doğrulama [sorunlarını] çözmeye gerçekten yakın, ancak biraz daha fazlasına ihtiyacı var."
Şifreleri İptal Etme
Leddy, parolaların kullanım sürelerini aştığına inanıyor. Zayıf seçenekleri çok uzun süre zorlayarak insanları başarısızlığa uğratmakla güvenlik endüstrisini suçluyor.
"Şifreler artık 60 yaşında ancak çoğu hesap için birincil kimlik doğrulama seçeneği olmaya devam ediyor. Tüketicilerin birçok farklı hesabı var ve her biri için benzersiz bir parola hatırlamaları bekleniyor. Bu pratik bir çözüm değil, " dedi Leddy. Web sitelerinin kolayca klonlanabildiği günümüz internetinde güvenlik sektörünün görevinin insanları hesap ihlallerini önlemek için doğru araçlarla donatmak olduğunu da sözlerine ekledi.
Şifrelere olan bağımlılığı az altmak için oluşturulan bir açık endüstri birliği olan FIDO Alliance, yaklaşık on yıldır bu konu üzerinde çalışıyor. Çekiş elde edemeyen FIDO kimlik doğrulama standardını yarattı. Teknik incelemede, ittifak sonunda bulmacanın eksik parçasını tespit ettiğini düşünüyor ve bunun üstesinden gelmek için bir strateji belirledi.
İttifaka göre, FIDO'nun mevcut parolasız kimlik doğrulama mekanizması, geniş çapta benimsenmesini engelleyen doğal kullanılabilirlik sorunlarına sahiptir.
"[Biz] fiziksel güvenlik anahtarlarının algılanan uygunsuzluğu (satın alma, kaydetme, taşıma, kurtarma) ve tüketicilerin platform kimlik doğrulayıcılarıyla (ör.g., her yeni cihazı yeniden kaydetme zorunluluğu; kayıp veya çalınan cihazlardan kurtarmanın kolay bir yolu yok) ikinci bir faktör olarak, " notunu aldı.
Sorunların üstesinden gelmek için teknik inceleme, akıllı telefonlarımızı dolaşım doğrulayıcıları veya taşınabilir güvenlik anahtarları olarak kullanmayı gerektiriyor.
"Bir kullanıcının cihazı gezici kimlik doğrulayıcı olarak harika bir kullanıcı deneyimidir ve doğru yapıldığında yarı güvenilir bir cihazdaki şifrelerden çok daha güvenlidir. Yeni akıllı telefonlar doğal olarak FIDO'yu desteklediğinden ve tüketiciler telefonlarından nadiren uzakta olduklarından, iyi bir seçenek," diye onayladı Leddy.
İleriye Giden Yol
Ancak, teknik inceleme, akıllı telefonların taşınabilir güvenlik anahtarları olarak başarılı olabilmesi için FIDO'nun insanların mobil cihazlarına ekleme yapması veya bunlar arasında geçiş yapması için sorunsuz bir süreç tasarlaması gerektiğini öne sürüyor.
Yeni bir telefon kurmak veya yeni bir telefona geçmek gibi temel görevler için süreç basit değilse, insanların büyük olasılıkla tüm fikri uygunsuz bularak reddedeceklerini savunuyor. Bunu önlemek için, makale, çok cihazlı FIDO kimlik bilgileri veya "geçiş anahtarları" olarak adlandırdıkları yeni bir tekniğin tanıtılmasını önermektedir.
"Çoklu cihaz 'geçiş anahtarı' kimlik bilgileri, FIDO ile ilgili uzun süredir devam eden bir soruyu ele alıyor. Soru, eski cihazıma 50 alana özel kimlik bilgisi kaydettiğimde ve ardından yeni bir tane aldığımda yeni bir cihaza nasıl taşınacağımdı. Kimse yeni FIDO kimlik bilgilerini yeniden bağlamak için 50 farklı hizmet için hesap kurtarma işleminden geçmek istemiyor, " diye açıkladı Leddy.
FIDO, bir cihazdan diğerine geçtiğimizde, FIDO kimlik bilgilerimizin zaten orada bizi beklediğinden emin olarak geçiş anahtarlarının bu durumdan tamamen kaçınmaya yardımcı olacağını iddia ediyor. Tabii ki, makale kavramsaldır ve Leddy böyle bir mekanizma önermenin uygulamaktan daha kolay olduğunu düşünüyor.
"Geçiş anahtarı çözümlerinin satıcıya özel olması talihsiz bir durum olurdu, böylece bir tüketici cihaz üreticileri veya hatta heterojen (MacBook ve Android telefon) cihazlar arasında geçiş yapamazdı," diye uyardı Leddy.
Ancak, üyeleri arasında Apple, Meta, Google, PayPal, Wells Fargo, American Express ve Bank of America gibi ağır topları sayan FIDO ittifakının, 'olmayan çözümler bulacağından' emin. t yalnızca evrenseldir, aynı zamanda saldırılara karşı kapsamlı bir şekilde denetlenmiştir.
FIDO, çok cihazlı FIDO kimlik bilgilerinin şifreler için tabuttaki son çivi olacağına inanıyor. İttifak, "Bu yeni yetenekleri tanıtarak, web sitelerini ve uygulamaları uçtan uca gerçekten parolasız bir seçenek sunacak şekilde güçlendirmeyi umuyoruz; parola veya tek seferlik parola (OTP) gerekmez," dedi ittifak.