Il tuo telefono potrebbe presto cambiare molte delle tue password – Cripps on Security

Mela, Google E Microsoft Ha annunciato questa settimana che presto supporterà un approccio di autenticazione che elimina del tutto le password, richiedendo invece agli utenti di aprire i propri smartphone per accedere a siti Web o servizi online. Gli esperti affermano che queste modifiche aiuteranno a sconfiggere molti tipi di attacchi di phishing e alleggeriranno il carico complessivo di password per gli utenti di Internet, ma avvertono che il futuro senza password reali durerà ancora molti anni per la maggior parte dei siti Web.

I giganti della tecnologia fanno parte di uno sforzo guidato dal settore per modificare le password che possono essere facilmente dimenticate, rubate frequentemente da malware e phishing o divulgate online a seguito di violazioni dei dati aziendali.

Apple, Google e Microsoft hanno stretto una partnership con FIDO (“Fast Identity Online”) e The Federazione del World Wide Web (W3C), team che hanno collaborato con centinaia di aziende tecnologiche negli ultimi dieci anni per sviluppare un nuovo standard di accesso che funzioni in modo uniforme su più browser e sistemi operativi.

Secondo la FIDO Alliance, gli utenti possono accedere ai siti Web attraverso lo stesso processo che richiede più volte al giorno per sbloccare i propri dispositivi, incluso il PIN del dispositivo o dati biometrici come l’impronta digitale o la scansione del viso.

“Questo nuovo approccio protegge dal phishing e rende l’accesso più sicuro rispetto alle tradizionali tecnologie multifattoriali come password e password monouso inviate tramite SMS”, ha scritto Coalition il 5 maggio.

Sampath SrinivaIl direttore dell’autorizzazione alla sicurezza di Google e capo della FIDO Alliance ha affermato che con il nuovo sistema, il tuo telefono memorizzerà il certificato FIDO chiamato “basco” che può essere utilizzato per aprire il tuo account online.

“Basato sulla crittografia a chiave pubblica, rende molto sicuro l’accesso con una password, poiché verrà visualizzata sul tuo account online solo quando apri il telefono cellulare”, ha scritto Srinivas. “Avrai bisogno del tuo telefono nelle vicinanze per accedere al sito Web sul tuo computer. Ti verrà chiesto di aprirlo per l’accesso. Una volta fatto ciò, non sarà più necessario riavviare il telefono e potrai accedere sbloccando il computer.

Come ZDNet Appunti, Apple, Google e Microsoft supportano già questi standard senza password (ad es. “Accedi con Google”), ma gli utenti devono accedere a ogni sito Web per utilizzare la funzionalità senza password. Con questo nuovo sistema, gli utenti potranno accedere automaticamente alle proprie password su più dispositivi, senza dover registrare nuovamente ciascun account, per utilizzare il proprio dispositivo mobile per accedere a un’applicazione o a un sito Web su un dispositivo vicino.

Johannes UlrichPreside della ricerca Società tecnologica SANSL’annuncio è stato definito “il tentativo più promettente di risolvere la sfida dell’accreditamento”.

“La parte più importante di questo standard è che gli utenti non devono acquistare un nuovo dispositivo, ma possono invece utilizzare i dispositivi che già hanno e sapere come usarli come autenticatori”, ha affermato Ulrich.

Di Steve BellowProfessore di Informatica e Early Internet alla Columbia University Ricercatore e pioniereHa definito il “miglioramento più grande” nel riconoscere l’iniziativa senza password, ma ha affermato che molti siti Web impiegherebbero troppo tempo per recuperare.

Bellow e altri affermano che in una situazione difficile con questo nuovo programma di autenticazione senza password, se qualcuno perde il proprio dispositivo mobile o il telefono si arresta in modo anomalo, non sarà in grado di recuperare la password di iCloud.

“Mi preoccupo per le persone che non possono permettersi un dispositivo extra o possono facilmente sostituire un dispositivo rotto o rubato”, ha detto Bellowin. “Sono preoccupato per il recupero della password per gli account cloud.”

Google Dice Anche se perdi il cellulare, “le tue password verranno sincronizzate in modo sicuro con il tuo nuovo cellulare dal backup cloud, consentendoti di recuperare il tuo vecchio dispositivo dal parcheggio”.

Apple e Microsoft dispongono di soluzioni di backup su cloud che i clienti che utilizzano tali siti possono utilizzare per recuperare da un dispositivo mobile smarrito. Ma secondo Bellow, dipende dalla sicurezza con cui vengono gestiti tali sistemi cloud.

“Quanto è facile aggiungere una chiave pubblica a un altro dispositivo senza autenticazione?” Bello fu sorpreso. “Penso che la loro etica lo renda impossibile, ma altri non sono d’accordo”.

Nicholas WeaverDocente nel campo dell’informatica Università della California, BerkeleyHa affermato che i siti Web dovrebbero ancora avere un meccanismo di ripristino nel caso in cui “hai perso telefono e password”, che ha descritto come “un problema molto difficile da risolvere in modo sicuro e già uno dei maggiori punti deboli nel nostro sistema attuale”.

“Se riesci a dimenticare la password, perdere il telefono e recuperarlo, ora questo è un grande obiettivo per gli aggressori”, ha detto Weaver in un’e-mail. “Se dimentichi la password e perdi il cellulare, ora perderai il token di autenticazione utilizzato per accedere. Deve essere quest’ultimo. Apple ha l’infrastruttura per supportarlo (portachiavi iCloud), ma non è chiaro se Google lo farà.

Tuttavia, ha affermato che l’approccio FIDO generale è uno strumento eccellente per migliorare la sicurezza e l’usabilità.

“È un buon passo e sono felice di vederlo”, ha detto Weaver. “È molto utile utilizzare l’autenticazione forte del proprietario del telefono (se si dispone di un passcode decente). E almeno per l’iPhone, anche i compromessi telefonici possono renderlo forte, perché è un’enclave sicura che lo gestisce e non si fida di un sistema operativo host dell’enclave sicuro.

Le leggende della tecnologia affermano che le nuove funzionalità senza password saranno implementate “nel prossimo anno” sui sistemi operativi Apple, Google e Microsoft. Ma gli esperti affermano che ci vorranno ancora molti anni prima che i piccoli siti Internet adottino la tecnologia e si liberino completamente delle password.

Ricerche recenti mostrano che molte più persone riutilizzano o riciclano le password (modificando leggermente la stessa password), il che rappresenta un rischio di acquisizione di account quando tali credenziali vengono esposte in una violazione dei dati. UN Rapporto Marcia da Cyber ​​Security SpyCloud Il 64% degli utenti ritiene di riutilizzare le password per più account e il 70% delle credenziali compromesse in precedenti violazioni sono ancora in uso.

È disponibile il Libro bianco di marzo 2022 sull’approccio FIDO Qui (PDF). Ha una FAQ Qui.