Il tuo telefono potrebbe presto sostituire molte delle tue password – Krebs on Security

MelaE Il Google E Microsoft Hanno annunciato questa settimana che presto supporteranno un approccio di autenticazione che evita completamente le password e richiede invece agli utenti di sbloccare semplicemente i propri smartphone per accedere a siti Web o servizi online. Gli esperti affermano che le modifiche dovrebbero aiutare a sconfiggere molti tipi di attacchi di phishing e alleggerire il carico complessivo di password per gli utenti di Internet, ma avvertono che il vero futuro senza una password potrebbe essere ancora lontano dalla maggior parte dei siti Web.

I giganti della tecnologia fanno parte di uno sforzo guidato dal settore per sostituire le password, che vengono facilmente dimenticate, spesso rubate da malware e schemi di phishing o divulgate e vendute online a seguito di violazioni dei dati aziendali.

Apple, Google e Microsoft sono alcuni dei contributori più attivi allo standard di accesso senza password stabilito dall’alleanza FIDO (“Fast Identity Online”) e World Wide Web Consortium (W3C), i gruppi che hanno collaborato con centinaia di aziende tecnologiche negli ultimi dieci anni per sviluppare un nuovo standard di accesso che funzioni allo stesso modo su più browser e sistemi operativi.

Secondo la FIDO Alliance, gli utenti saranno in grado di accedere ai siti Web attraverso la stessa procedura che eseguono più volte al giorno per sbloccare il proprio dispositivo, incluso un PIN del dispositivo o dati biometrici come un’impronta digitale o una scansione facciale.

“Questo nuovo approccio protegge dal phishing e renderà l’accesso radicalmente più sicuro rispetto alle password multifattoriali e alle tecnologie legacy come i passcode monouso inviati tramite SMS”, ha scritto la coalizione il 5 maggio.

Sampath SrinivaCon il nuovo sistema, il tuo telefono memorizzerà una credenziale FIDO chiamata “passkey” che viene utilizzata per aprire il tuo account online, ha affermato il direttore dell’autenticazione della sicurezza di Google e capo della FIDO Alliance.

“La passkey rende l’accesso più sicuro, perché si basa sulla crittografia a chiave pubblica ed è visibile sul tuo account online solo quando sblocchi il telefono”, ha scritto Srinivas. “Per accedere a un sito Web sul tuo PC, avrai solo bisogno del tuo telefono vicino a te e ti verrà semplicemente richiesto di sbloccarlo per accedervi. Una volta fatto, non avrai più bisogno del tuo telefono e potrai accedere una volta sbloccato il tuo PC.”

Piace ZDNet AppuntiApple, Google e Microsoft supportano già questi standard senza password (come “Accedi con Google”), ma gli utenti devono accedere a ciascun sito Web per utilizzare la funzionalità senza password. Con questo nuovo sistema, gli utenti potranno accedere automaticamente alle proprie passkey su molti dei loro dispositivi, senza dover registrare nuovamente ogni account, e utilizzare il proprio dispositivo mobile per accedere a un’app o a un sito Web su un dispositivo vicino.

Johannes UlrichDean cerca Senza Istituto di TecnologiaL’annuncio ha definito “lo sforzo di gran lunga più promettente per risolvere la sfida dell’autenticazione”.

“La parte più importante di questo standard è che non richiederà agli utenti di acquistare un nuovo dispositivo, ma potrebbero invece utilizzare dispositivi che già possiedono e sanno come utilizzare come autenticatori”, ha affermato Ulrich.

Steve BellovinProfessore di Informatica alla Columbia University e Early Internet Ricercatore e pioniereha descritto lo sforzo senza password come un “enorme progresso” nell’autenticazione, ma ha affermato che ci sarebbe voluto troppo tempo per recuperare il ritardo di molti siti web.

Uno scenario potenzialmente complicato nel nuovo sistema di autenticazione senza password è ciò che accade quando qualcuno perde il proprio dispositivo mobile o il telefono si rompe e non riesce a ricordare la propria password iCloud, affermano Belovin e altri.

“Mi preoccupo per le persone che non possono acquistare un dispositivo aggiuntivo o non possono sostituire facilmente un dispositivo rotto o rubato”, ha detto Belovin. “Sono preoccupato per il recupero della password dimenticata per gli account cloud.”

Il Google Dice Che anche se perdi il telefono, “le tue passkey verranno sincronizzate in modo sicuro con il tuo nuovo telefono dal backup su cloud, consentendoti di riprendere da dove si era interrotto il vecchio dispositivo”.

Apple e Microsoft hanno anche soluzioni di backup su cloud che i clienti che utilizzano queste piattaforme possono utilizzare per recuperare da un dispositivo mobile perso. Ma Belovin ha detto che molto dipende dalla sicurezza di questi sistemi cloud gestiti.

“Quanto è facile aggiungere la chiave pubblica di un altro dispositivo a un account senza autorizzazione?” chiese Belovin. “Penso che i loro protocolli lo rendano impossibile, ma altri non sono d’accordo”.

Nicholas WeaverDocente presso il Dipartimento di Informatica presso Università della California, BerkeleyHa affermato che i siti Web dovrebbero ancora avere alcuni meccanismi di ripristino per lo scenario “Hai perso il telefono e la password”, che ha descritto come “un problema davvero difficile da risolvere in sicurezza ed è davvero uno dei maggiori punti deboli nel nostro sistema attuale”.

“Se dimentichi la password e perdi il telefono e riesci a recuperarlo, questo è un grosso obiettivo per gli aggressori”, ha detto Weaver in un’e-mail. “Se dimentichi la password e perdi il telefono e non puoi, beh ora hai perso il codice di autorizzazione utilizzato per accedere. Dovrebbe essere l’ultimo. Apple ha l’infrastruttura per supportarlo (portachiavi iCloud), ma è non è chiaro se lo fa Google”.

Tuttavia, ha affermato, l’approccio generale di FIDO è stato un ottimo strumento per migliorare sia la sicurezza che l’usabilità.

“È davvero un buon passo avanti e sono felice di vederlo”, ha detto Weaver. “Sfruttare la forte autenticazione del telefono del proprietario del telefono (se si dispone di un passcode decente) è piuttosto interessante. E almeno per l’iPhone, puoi renderlo robusto anche per un compromesso del telefono, poiché è la cassaforte tascabile che gestirà questo e il sicuro pocket non si fida del sistema operativo host. “

I giganti della tecnologia hanno affermato che le nuove funzionalità senza password saranno abilitate su piattaforme Apple, Google e Microsoft “nel corso del prossimo anno”. Ma gli esperti hanno affermato che probabilmente ci vorranno molti altri anni prima che le destinazioni Web più piccole adottino la tecnologia e rinuncino completamente alle password.

Ricerche recenti mostrano che troppe persone stanno ancora riutilizzando o riutilizzando le password (modificando leggermente la stessa password), presentando il rischio di acquisizione dell’account quando tali credenziali vengono eventualmente esposte in una violazione dei dati. un Rapporto A marzo di una società di sicurezza informatica SpyCloud Ha rilevato che il 64% degli utenti riutilizza le password per più account e il 70% delle credenziali che sono state compromesse in precedenti violazioni sono ancora in uso.

Un documento bianco disponibile a marzo 2022 sull’approccio FIDO qui (PDF). Ci sono domande e risposte qui.