Apple, Google и Microsoft се обединяват, за да поддържат влизания без пароли FIDO


На 5 май – Световния ден на паролата – може би сме стигнали една крачка по-близо до това, че паролите са нещо от миналото.

В съвместни усилия технологични гиганти AppleGoogle и Microsoft обявиха в четвъртък сутринта че са се ангажирали да изградят поддръжка за влизане без парола във всички мобилни, настолни и браузърни платформи, които контролират през следващата година. На практика това означава, че удостоверяване без парола ще се появи на всички основни платформи на устройства в не много далечно бъдеще: мобилни операционни системи Android и iOS; браузъри Chrome, Edge и Safari; и работните среди на Windows и macOS.

„Точно както проектираме нашите продукти да бъдат интуитивни и способни, ние също ги проектираме да бъдат частни и сигурни“, каза Кърт Найт, старши директор на маркетинга на платформени продукти в Apple. „Работата с индустрията за създаване на нови, по-сигурни методи за влизане, които предлагат по-добра защита и премахват уязвимостите на паролите, е от основно значение за нашия ангажимент за изграждане на продукти, които предлагат максимална сигурност и прозрачно потребителско изживяване – всичко това с цел да задържи потребителите „безопасна лична информация.”

Представяне на влизане без парола
изображение: FIDO Alliance

Процесът на влизане без парола ще позволи на потребителите да избират своите телефони като основно устройство за удостоверяване на приложения, уебсайтове и други цифрови услуги, както Google описва подробно в блог пост публикувано в четвъртък. Отключването на телефона с каквото е зададено като действие по подразбиране – въвеждане на ПИН, начертаване на шаблон или използване на отключване с пръстов отпечатък – ще бъде достатъчно за влизане в уеб услуги, без да е необходимо изобщо да въвеждате парола, което става възможно чрез използването на уникален криптографски токен, наречен ключ за достъп, който се споделя между телефона и уебсайта.

Като правим влизанията в зависимост от физическо устройство, идеята е потребителите едновременно да се възползват от простотата и сигурността. Без парола няма да има задължение да запомняте данните за влизане в различни услуги или да компрометирате сигурността чрез повторно използване на същата парола на множество места. По същия начин системата без парола ще направи много по-трудно за хакерите да компрометират данните за влизане от разстояние, тъй като влизането изисква достъп до физическо устройство; и, теоретично, фишинг атаките, при които потребителите са насочени към фалшив уебсайт за улавяне на парола, ще бъдат много по-трудни за монтиране.

Васу Джакал, вицепрезидент на Microsoft за сигурност, съответствие, идентичност и поверителност, подчерта степента на съвместимост между платформите. „С ключовете за достъп на мобилното си устройство можете да влезете в приложение или услуга на почти всяко устройство, независимо от платформата или браузъра, на който устройството работи“, каза Джакал в изявление по имейл. „Например потребителите могат да влязат в браузър Google Chrome, който работи на Microsoft Windows – като използват ключ за достъп на устройство на Apple.“

Кросплатформената функционалност става възможна от a стандарт, наречен FIDO, който използва принципите на криптографията с публичен ключ, за да даде възможност за удостоверяване без парола и многофакторно удостоверяване в редица контексти. Телефонът на потребителя може да съхранява уникален FIDO-съвместим ключ за достъп и ще го сподели с уебсайт за удостоверяване само когато телефонът е отключен. Според публикацията на Google, ключовете за достъп могат лесно да се синхронизират с ново устройство от архивиране в облак в случай, че телефон бъде загубен.

Въпреки че вече има много популярни приложения включена поддръжка за FIDO удостоверяванепървоначалното влизане изисква използването на парола, преди FIDO да може да бъде конфигуриран – което означава, че потребителите все още са били уязвими към фишинг атаки, които виждат пароли, прихванати или откраднати по пътя.

Но новите процедури ще премахнат първоначалното изискване за парола, както Сампат Шринивас, директор по управление на продуктите за сигурно удостоверяване в Google и президент на FIDO Alliance, каза в изявление по имейл, изпратено до На ръба.

„Тази разширена поддръжка на FIDO, която беше обявена днес, ще даде възможност на уебсайтовете да внедрят за първи път изживяване без пароли от край до край с устойчива на фишинг сигурност“, каза Шринивас. „Това включва както първото влизане в уебсайт, така и повторното влизане. Когато поддръжката на ключове за достъп стане достъпна в цялата индустрия през 2022 и 2023 г., най-накрая ще имаме интернет платформата за едно наистина бъдеще без пароли.

Досега Apple, Google и Microsoft заявиха, че очакват новите възможности за влизане да станат достъпни за всички платформи през следващата година, въпреки че не е обявена по-конкретна пътна карта. въпреки че заговор да убие паролата е в ход от години, има признаци, че този път може би най-накрая е успял.