elmaVe Google Ve Microsoft Bu hafta, yakında parolalardan tamamen kaçınan ve bunun yerine kullanıcıların web sitelerinde veya çevrimiçi hizmetlerde oturum açmak için akıllı telefonlarının kilidini açmasını gerektiren bir kimlik doğrulama yaklaşımını destekleyeceklerini duyurdular. Uzmanlar, değişikliklerin birçok türde kimlik avı saldırısının üstesinden gelinmesine ve İnternet kullanıcılarının üzerindeki genel parola yükünün hafifletilmesine yardımcı olacağını söylüyorlar, ancak parolasız gerçek geleceğin hala çoğu web sitesinden uzak olabileceği konusunda uyarıyorlar.
Teknoloji devleri, kolayca unutulan, kötü amaçlı yazılımlar ve kimlik avı programları tarafından sıklıkla çalınan veya kurumsal veri ihlallerinin ardından çevrimiçi olarak sızdırılan ve satılan parolaları değiştirmeye yönelik endüstri liderliğindeki bir çabanın parçasıdır.
Apple, Google ve Microsoft, FIDO (“Fast Identity Online”) ittifakı tarafından oluşturulan şifresiz giriş standardına en aktif katkıda bulunanlardan bazılarıdır ve World Wide Web Konsorsiyumu (W3C), son on yılda yüzlerce teknoloji şirketi ile birden fazla tarayıcı ve işletim sisteminde aynı şekilde çalışan yeni bir oturum açma standardı geliştirmek için çalışan gruplar.
FIDO Alliance’a göre, kullanıcılar, cihazlarının kilidini açmak için her gün birden çok kez yaptıkları aynı prosedürle web sitelerine giriş yapabilecekler – bir cihaz PIN’i veya parmak izi veya yüz taraması gibi biyometri dahil.
Koalisyon, 5 Mayıs’ta “Bu yeni yaklaşım kimlik avına karşı koruma sağlıyor ve oturum açmayı eski çok faktörlü parolalara ve SMS yoluyla gönderilen tek seferlik parolalar gibi teknolojilere kıyasla radikal biçimde daha güvenli hale getirecek” dedi.
Sampath SrinivasGoogle’ın güvenlik doğrulama direktörü ve FIDO Alliance başkanı, yeni sistemde, telefonunuzun hesabınızı çevrimiçi açmak için kullanılan “geçiş anahtarı” adı verilen bir FIDO kimlik bilgilerini depolayacağını söyledi.
Srinivas, “Parola, oturum açmayı daha güvenli hale getiriyor, çünkü genel anahtar şifrelemesine dayanıyor ve yalnızca telefonunuzun kilidini açtığınızda çevrimiçi hesabınızda görülebiliyor” dedi. “Bilgisayarınızda bir web sitesine giriş yapmak için, yalnızca yanınızda telefonunuza ihtiyacınız olacak ve erişmek için kilidini açmanız yeterli olacak. Bunu yaptığınızda, telefonunuza bir daha ihtiyacınız olmayacak ve kilidi açtıktan sonra giriş yapabilirsiniz. senin bilgisayarın.”
Beğenmek ZDNet notlarApple, Google ve Microsoft bu parolasız standartları zaten desteklemektedir (“Google ile oturum aç” gibi), ancak kullanıcıların parolasız işlevi kullanmak için her web sitesinde oturum açması gerekir. Bu yeni sistem kapsamında kullanıcılar, her bir hesabı yeniden kaydettirmek zorunda kalmadan birçok cihazındaki geçiş anahtarlarına otomatik olarak erişebilecek ve yakındaki bir cihazdaki bir uygulamaya veya web sitesine giriş yapmak için mobil cihazlarını kullanabilecek.
Johannes Ulrichdekan aranıyor Sans Teknoloji EnstitüsüDuyuru, “kimlik doğrulama sorununu çözmek için açık ara en umut verici çaba” olarak adlandırıldı.
Ulrich, “Bu standardın en önemli kısmı, kullanıcıların yeni bir cihaz satın almasını gerektirmemesi, bunun yerine zaten sahip oldukları ve kimlik doğrulayıcı olarak nasıl kullanacaklarını bildikleri cihazları kullanabilmesidir” dedi.
Steve BellovinColumbia Üniversitesi’nde Bilgisayar Bilimleri Profesörü ve erken İnternet Araştırmacı ve öncüşifresiz çalışmayı kimlik doğrulamada “muazzam bir ilerleme” olarak nitelendirdi, ancak birçok web sitesinin yetişmesinin çok uzun süreceğini söyledi.
Belovin ve diğerleri, yeni şifresiz kimlik doğrulama sistemindeki potansiyel olarak zor bir senaryo, birisi mobil cihazını kaybettiğinde veya telefonu bozulduğunda ve iCloud şifresini hatırlayamadığında ne olduğudur.
Belovin, “Ekstra bir cihaz satın alamayan veya bozuk veya çalınan bir cihazı kolayca değiştiremeyen insanlar için endişeleniyorum” dedi. “Bulut hesapları için unutulan şifreyi kurtarma konusunda endişeliyim.”
Google o diyor Telefonunuzu kaybetseniz bile, “geçiş anahtarlarınız bulut yedeklemenizden yeni telefonunuzla güvenli bir şekilde senkronize edilerek eski cihazınızın kaldığı yerden devam etmenizi sağlar.”
Apple ve Microsoft ayrıca, bu platformları kullanan müşterilerin kayıp bir mobil cihazdan kurtarmak için kullanabilecekleri bulut yedekleme çözümlerine sahiptir. Ancak Belovin, birçok şeyin bu bulut sistemlerinin ne kadar güvenli bir şekilde yönetildiğine bağlı olduğunu söyledi.
“Başka bir cihazın ortak anahtarını bir hesaba izinsiz eklemek ne kadar kolay?” diye sordu Belovin. “Protokollerinin bunu imkansız kıldığını düşünüyorum, ancak diğerleri buna katılmıyor.”
Nicholas DokumacıBilgisayar Bilimleri Bölümü Öğretim Üyesi Kaliforniya Üniversitesi, BerkeleyWeb sitelerinin “Telefonunuzu ve şifrenizi kaybettiniz” senaryosu için hala bazı kurtarma mekanizmalarına sahip olması gerektiğini söyledi ve “güvenli bir şekilde yapılması gerçekten zor bir konu ve bu gerçekten mevcut sistemimizdeki en büyük zayıflıklardan biri” olarak nitelendirdi.
Weaver bir e-postada “Şifrenizi unutup telefonunuzu kaybederseniz ve geri almayı başarırsanız, bu saldırganlar için büyük bir hedef” dedi. “Şifrenizi unutursanız ve telefonunuzu kaybederseniz ve yapamıyorsanız, şimdi oturum açmak için kullanılan yetkilendirme kodunu kaybettiniz. Bu son olmalı. Apple’ın bunu destekleyecek altyapısı var (iCloud anahtarlık), ancak bu Google’ın yapıp yapmadığı belli değil.”
Ancak, FIDO’nun genel yaklaşımının hem güvenliği hem de kullanılabilirliği geliştirmek için harika bir araç olduğunu söyledi.
Weaver, “Bu gerçekten ileriye doğru iyi bir adım ve bunu gördüğüme sevindim.” Dedi. “Telefon sahibinin güçlü telefon kimlik doğrulamasından yararlanmak (uygun bir parolanız varsa) oldukça havalı. Ve en azından iPhone için, bunu bir telefondan ödün vermek için bile sağlam hale getirebilirsiniz, çünkü bunu yapacak olan cep kasası ve güvenli cep, ana bilgisayar işletim sistemine güvenmiyor. “
Teknoloji devleri, yeni şifresiz yeteneklerin “gelecek yıl boyunca” Apple, Google ve Microsoft platformlarında etkinleştirileceğini söyledi. Ancak uzmanlar, daha küçük web destinasyonlarının teknolojiyi benimsemesinin ve şifrelerden tamamen vazgeçmesinin muhtemelen birkaç yıl daha süreceğini söyledi.
Son araştırmalar, çok fazla kişinin parolaları (aynı parolayı hafifçe değiştirerek) yeniden kullandığını veya yeniden kullandığını ve bu kimlik bilgileri sonunda bir veri ihlaliyle açığa çıktığında hesabın ele geçirilmesi riskini ortaya çıkardığını gösteriyor. a Rapor Mart ayında bir siber güvenlik şirketinin SpyCloud Kullanıcıların yüzde 64’ünün birden fazla hesap için parolaları yeniden kullandığını ve önceki ihlallerde ele geçirilen kimlik bilgilerinin yüzde 70’inin hala kullanımda olduğunu buldu.
FIDO’nun yaklaşımı hakkında Mart 2022’de mevcut olan beyaz belge Burada (PDF). Sorular ve cevaplar var Burada.
More Stories
Visions Of Mana, iki kat daha uzun sürebilen 30 saatlik bir RPG’dir
Sızıntılar, iddia edilen PS5 Pro cihazının adını ve tasarımını ortaya koyuyor
iPhone 17 Pro Max, iPhone 17 Pro ve diğer modellere göre daha fazla rastgele bellek ve daha iyi bir soğutma sistemiyle gelecek.