Key takeaways
- FIDO-alliansen har publisert en whitepaper som analyserer manglene som forhindrer den passordløse autentiseringsstandarden i å bli mainstream.
- Passordløse autentiseringsmekanismer har ikke klart å erstatte passord fordi de er upraktiske, foreslår hvitboken.
-
Det foreslår bruk av smarttelefoner som roaming-sikkerhetsnøkler.
Sterke passord er upraktiske å opprette og administrere, men å legge til ekstra trinn og enheter i autentiseringsprosessen er en enda større hodepine.
Det er konklusjonen på en whitepaper fra Fast ID Online Alliance (FIDO), som legger skylden på brukervennlighetsproblemer for å hindre passordløse autentiseringsmekanismer i å bli mainstream. Alliansen har imidlertid kommet opp med en løsning for å løse problemet en gang for alle og gjøre FIDO-autentiseringsstandarden like allestedsnærværende som passord.
"FIDO har overgått alle innledende forventninger," sa Bill Leddy, VP of Product at LoginID, til Lifewire over e-post etter å ha lest hvitboken. "[Det] er veldig nært å løse alle autentiseringsproblemer, men trenger litt mer."
Avbryte passord
Leddy mener at passord har overlevd bruken. Han gir sikkerhetsindustrien skylden for å svikte folk ved å presse på svake alternativer alt for lenge.
"Passord er nå 60 år gamle, men er fortsatt det primære autentiserings alternativet for de fleste kontoer. Forbrukere har mange forskjellige kontoer og forventes å huske et unikt passord for hver konto. Det er ikke en praktisk løsning, " hevdet Leddy. Han la til at i dagens internett, hvor nettsteder enkelt kan klones, er sikkerhetsindustriens jobb å utstyre folk med de riktige verktøyene for å forhindre kontobrudd.
FIDO Alliance, en åpen bransjeforening, opprettet for å redusere avhengigheten av passord, har jobbet med problemet i omtrent et tiår nå. Den har laget FIDO-autentiseringsstandarden, som ikke har vært i stand til å få gjennomslag. I hvitboken mener alliansen at de endelig har identifisert den manglende brikken i puslespillet og også skissert en strategi for å overvinne den.
I følge alliansen har FIDOs nåværende passordfrie autentiseringsmekanisme iboende brukervennlighetsproblemer som har hindret den i å oppnå bred bruk.
"[Vi] har observert begrenset bruk [i forbrukerområdet], på grunn av den opplevde ulempen med fysiske sikkerhetsnøkler (kjøp, registrering, bæring, gjenoppretting), og utfordringene forbrukere står overfor med plattformautentisering (f.eks.å måtte registrere hver ny enhet på nytt; ingen enkle måter å komme seg etter tapte eller stjålne enheter) som en annen faktor,» bemerket avisen.
For å overvinne problemene oppfordrer hvitboken til å bruke smarttelefonene våre som roaming-autentisering eller bærbare sikkerhetsnøkler.
"En brukers enhet som roaming-autentisering er en flott brukeropplevelse og mye sikrere enn passord på en semi-klarert enhet hvis de gjøres riktig. Siden nye smarttelefoner støtter FIDO og forbrukere sjelden er langt fra telefonene sine, er det er et godt alternativ," sa Leddy.
Veien videre
Hvitboken antyder imidlertid at for at smarttelefoner skal lykkes som bærbare sikkerhetsnøkler, må FIDO utarbeide en smidig prosess for folk å legge til eller bytte mellom sine mobile enheter.
Det argumenterer for at hvis prosessen for viktige oppgaver, som å sette opp en ny telefon eller bytte til en ny, ikke er enkel, vil folk sannsynligvis avfeie hele ideen som upraktisk. For å unngå dette foreslår avisen å introdusere en ny teknikk de kaller FIDO-legitimasjon for flere enheter, eller "passnøkler."
"Multi-enhets "passkey"-legitimasjon tar opp et langvarig spørsmål rundt FIDO. Spørsmålet har vært hvordan jeg flytter til en ny enhet hvis jeg registrerte 50 domenespesifikke legitimasjonene på min gamle enhet og deretter fikk en ny enhet. Ingen ønsker å gå gjennom kontogjenoppretting for 50 forskjellige tjenester for å binde ny FIDO-legitimasjon på nytt," forklarte Leddy.
FIDO hevder at passord vil bidra til å unngå denne situasjonen helt ved å sikre at når vi bytter fra en enhet til en annen, er FIDO-legitimasjonen vår allerede der og venter på oss. Papiret er selvfølgelig konseptuelt, og Leddy mener en slik mekanisme er lettere å foreslå enn å implementere.
"Det ville være uheldig hvis passordløsningene var leverandørspesifikke, slik at en forbruker ikke kan bytte mellom enhetsprodusenter eller til og med et heterogent (MacBook og Android-telefon) sett med enheter," advarte Leddy.
Men han er sikker på at FIDO-alliansen, som teller tungvektere som Apple, Meta, Google, PayPal, Wells Fargo, American Express og Bank of America, blant sine medlemmer, vil komme opp med løsninger som ikke bare universell, men også grundig undersøkt mot angrep.
FIDO tror FIDO-legitimasjonen for flere enheter vil bli den siste spikeren i kisten for passord. "Ved å introdusere disse nye funksjonene håper vi å gi nettsteder og apper mulighet til å tilby et ende-til-ende virkelig passordløst alternativ; ingen passord eller engangskoder (OTP) kreves," sa alliansen.
