Microsoft, Apple и Google засилват кампанията за премахване на пароли • Регистърът

Анализ Microsoft, Apple и Google, всички дългогодишни защитници на премахването на пароли за целите на удостоверяване, поддържат стандарти, разработени от FIDO Alliance и World Wide Web Consortium (W3C), които биха могли да премахнат напълно паролите.

Някъде тази година или началото на 2023 г., трите американски гиганта ще въведат тези стандарти, така че хората да могат да влизат в онлайн услуги и приложения, използвайки познати методи за удостоверяване без парола, като ПИН на устройството, пръстов отпечатък или сканиране на лице, които използват за отключване на своите устройства, FIDO, кратко за Fast Identity Online, съобщи Алиансът в четвъртък.

Очаква се това да осигури последователно и лесно за управление междуплатформено удостоверяване за софтуер и уебсайтове, което не включва запомняне на пароли.

Microsoft, Apple и Google са сред стотиците технологични компании и доставчици на услуги, които са работили с FIDO и W3C за разработването на тези стандарти за влизане без пароли. Подкрепата от тези високопрофилни технологични компании и обещанието за въвеждане на тези новоразработени възможности се очаква да ускорят тяхното приемане, според Андрю Шикиар, главен изпълнителен директор и CMO на FIDO Alliance.

„Тази нова възможност ще въведе нова вълна от внедряване на FIDO с ниско триене, съчетано с продължаващото и нарастващо използване на ключове за сигурност, предоставяйки на доставчиците на услуги пълен набор от опции за прилагане на модерна, устойчива на фишинг автентификация“, каза Шикиар.

Паролите са продължаващ проблем със сигурността, особено след пандемията от COVID-19 и произтичащото от това преминаване към съзвездие от отдалечени услуги, както и хибридни работни графици. Microsoft смята, че има 579 атаки, включващи пароли всяка секунда, или около 18 милиарда годишно, и много от тях са успешни, главно защото хората са склонни да избират лоши пароли или да ги използват повторно в множество акаунти.

В доклад от началото на март изследователи от доставчика на киберсигурност SpyCloud установиха, че потребителите продължават да използват едни и същи пароли за множество акаунти, както и слаби или често срещани пароли. Докладът на SpyCloud установи, че 64 процента от потребителите повтарят пароли за повече от един акаунт и 70 процента от паролите, които са били компрометирани в миналото, все още се използват.

Костите на ФИДО

FIDO стимулира приемането на методи без пароли в продължение на десет години чрез технологии като USB хардуерни ключове и, с W3C, спецификацията за сигурност WebAuthn. През март двете групи представиха друга версия на WebAuthn.

И сега ни казват, че хората, които стоят зад Office и Azure, iPhones и iCloud, и Chrome и Gmail, ще внедрят функции, наскоро стандартизирани от FIDO и W3C, които трябва да улеснят използването на методи за влизане без парола, независимо от операционната система и платформа.. включително възможността потребителите да имат автоматичен достъп до своите идентификационни данни за влизане във FIDO, известни също като „пароли“, на своите устройства, без да се налага да регистрират повторно всеки акаунт. Освен това хората трябва да могат да използват FIDO удостоверяване на своите мобилни устройства, за да влязат в уебсайт или приложение на компютър наблизо, използвайки каквато и операционна система или браузър, които използват.

„Пълното преминаване към свят без пароли ще започне, когато потребителите го превърнат в естествена част от живота си“, каза Алекс Симонс, корпоративен вицепрезидент по управление на програми за самоличност в Microsoft, за най-новите възможности, поддържани от FIDO и W3C. „Всяко жизнеспособно решение трябва да бъде по-сигурно, по-лесно и по-бързо от паролите и наследените многофакторни методи за удостоверяване, които се използват днес.“

Използването на пароли не се подобрява много, каза Крейг Лури, съосновател и технически директор на фирмата за киберсигурност Keeper Security. Регистрирам Доверието на бизнеса и потребителите в паролите нараства по-бързо, което се дължи до голяма степен на преминаването към отдалечена работа и използването на облачни услуги, каза той. Освен това Лури отбеляза, че въпреки цялата си работа, FIDO „не се занимава с необходимостта от криптиране на потребителски данни в среда с нулево знание и нулево доверие“.

Microsoft проявява особено гласност към премахването на пароли, като през септември 2021 г. заяви, че потребителите могат да премахват пароли от своите акаунти в Microsoft с помощта на приложението Microsoft Authenticator, Windows Hello, ключ за сигурност или код за потвърждение, изпратен им до мобилния ви телефон. Или имейл.

Марк Ришър, старши директор на продуктовия мениджмънт в Google, каза, че работата на доставчиците с FIDO и W3C „е доказателство за съвместната работа, която се извършва в цялата индустрия за повишаване на защитата и премахване на остарялата автентификация, базирана на пароли“.

играе дългата игра

Ключът към нарастващото приемане на техники без пароли започва с устройството, където Microsoft, Apple и Google доминират и вече са въвели механизми за удостоверяване, каза Гарет Граек, главен изпълнителен директор на фирмата за киберсигурност YouAttest. Регистрирам.

„Така че тежестта е върху осигуряването на тези фактори в трите големи и след това върху осигуряването и прилагането на SSO от тези устройства към разчитащите страни: други уеб, мобилни и локални приложения“, каза Grajek. „Като се имат предвид проблемите, които имаме с атаките на веригата за доставки и други атаки, не е непредвидимо, че в това пространство ще има повече атаки.“

Еднофакторното влизане без парола има твърде много функционални, логистични и проблеми със сигурността, за да се превърне в норма за една нощ.

Лури от Keeper Security каза, че ще предприеме поредица от стъпки, от доставчиците да изграждат технологии като многофакторна автентификация в техните уебсайтове и приложения и потребителите не само да са наясно и да се доверят на технологията, но и да се доверят на своите устройства, телефони, преди приемането да се ускори. .

„Ще продължим да използваме пароли поне още десетилетие“, каза той. „Еднофакторното влизане без парола има твърде много функционални, логистични и проблеми със сигурността, за да се превърне в норма за една нощ.“

Джон Гън, главен изпълнителен директор на доставчика на удостоверяване Token, каза Регистрирам че “Световният ден на паролата е подобен на Националния ден за бягане с ножици. И двете дейности по своята същност са несигурни, като последната е значително по-сигурна въз основа на статистически анализ.”

„Сигурността с пароли или липсата на такава е напреднала само незначително през 61 години, откакто са били внедрени за първи път. Време е колективно да се ангажираме да премахнем напълно паролите.“ ®

Add Comment