Uw telefoon kan binnenkort veel van uw wachtwoorden vervangen – Krebs on Security

appelEn de Google En Microsoft Ze hebben deze week aangekondigd dat ze binnenkort een authenticatie-aanpak zullen ondersteunen die wachtwoorden volledig vermijdt, en in plaats daarvan vereist dat gebruikers gewoon hun smartphones ontgrendelen om in te loggen op websites of online services. Experts zeggen dat de wijzigingen vele soorten phishing-aanvallen moeten helpen verslaan en de algehele wachtwoordlast voor internetgebruikers moeten verlichten, maar ze waarschuwen dat de echte toekomst zonder wachtwoord nog ver verwijderd kan zijn van de meeste websites.

De techreuzen maken deel uit van een door de industrie geleide poging om wachtwoorden te vervangen, die gemakkelijk worden vergeten, vaak worden gestolen door malware en phishing-schema’s, of zijn gelekt en online worden verkocht in de nasleep van datalekken van bedrijven.

Apple, Google en Microsoft zijn enkele van de meest actieve bijdragers aan de wachtwoordloze inlogstandaard die is vastgesteld door de FIDO (“Fast Identity Online”) alliantie en Wereldwijde web consortium (W3C), de groepen die de afgelopen tien jaar met honderden technologiebedrijven hebben samengewerkt om een ​​nieuwe inlogstandaard te ontwikkelen die hetzelfde werkt voor meerdere browsers en besturingssystemen.

Volgens de FIDO Alliance kunnen gebruikers inloggen op websites via dezelfde procedure die ze meerdere keren per dag doen om hun apparaat te ontgrendelen – inclusief een apparaatpincode of biometrische gegevens zoals een vingerafdruk of gezichtsscan.

“Deze nieuwe aanpak beschermt tegen phishing en maakt inloggen radicaal veiliger in vergelijking met legacy multifactor-wachtwoorden en technologieën zoals eenmalige toegangscodes die via sms worden verzonden”, schreef de coalitie op 5 mei.

Sampath SrinivasOnder het nieuwe systeem slaat je telefoon een FIDO-referentie op, een “wachtwoord” genaamd, die wordt gebruikt om je online account te openen, zei Google’s directeur van beveiligingsauthenticatie en hoofd van de FIDO Alliance.

“Het wachtwoord maakt inloggen veiliger, omdat het is gebaseerd op cryptografie met openbare sleutels en alleen zichtbaar is voor je online account wanneer je je telefoon ontgrendelt”, schreef Srinivas. “Om in te loggen op een website op uw pc, heeft u alleen uw telefoon bij u in de buurt nodig en hoeft u deze alleen maar te ontgrendelen om toegang te krijgen. Als u dat eenmaal doet, heeft u uw telefoon niet meer nodig en kunt u inloggen zodra u ontgrendelt uw pc.”

Leuk vinden ZDNet Opmerkingen:Apple, Google en Microsoft ondersteunen deze wachtwoordloze standaarden al (zoals “Aanmelden met Google”), maar gebruikers moeten op elke website inloggen om de wachtwoordloze functionaliteit te gebruiken. Met dit nieuwe systeem hebben gebruikers automatisch toegang tot hun wachtwoordsleutels op veel van hun apparaten – zonder dat ze elk account opnieuw hoeven te registreren – en kunnen ze hun mobiele apparaat gebruiken om in te loggen op een app of website op een apparaat in de buurt.

Johannes Ulrichdecaan zoeken naar Sans Instituut voor TechnologieDe aankondiging noemde “veruit de meest veelbelovende poging om de authenticatie-uitdaging op te lossen”.

“Het belangrijkste onderdeel van deze standaard is dat gebruikers geen nieuw apparaat hoeven aan te schaffen, maar in plaats daarvan apparaten kunnen gebruiken die ze al bezitten en weten hoe ze als authenticator moeten gebruiken,” zei Ulrich.

Steve BellovinProfessor in computerwetenschappen aan de Columbia University en het vroege internet Onderzoeker en pionierbeschreef de wachtwoordloze inspanning als een “enorme vooruitgang” in authenticatie, maar zei dat het te lang zou duren voordat veel websites de achterstand zouden inhalen.

Een potentieel lastig scenario in het nieuwe wachtwoordloze authenticatiesysteem is wat er gebeurt als iemand zijn mobiele apparaat verliest, of zijn telefoon kapot gaat en zijn iCloud-wachtwoord niet meer weet, zeggen Belovin en anderen.

“Ik maak me zorgen over mensen die geen extra apparaat kunnen kopen of een kapot of gestolen apparaat niet gemakkelijk kunnen vervangen”, zei Belovin. “Ik maak me zorgen over het herstellen van vergeten wachtwoorden voor cloudaccounts.”

de Google Zegt Dat zelfs als u uw telefoon verliest, “uw wachtwoordsleutels veilig worden gesynchroniseerd met uw nieuwe telefoon vanaf uw cloudback-up, zodat u verder kunt gaan waar uw oude apparaat was gebleven.”

Apple en Microsoft hebben ook cloudback-upoplossingen die klanten die deze platforms gebruiken, kunnen gebruiken om te herstellen van een verloren mobiel apparaat. Maar Belovin zei dat veel afhangt van hoe veilig deze cloudsystemen worden beheerd.

“Hoe gemakkelijk is het om zonder toestemming de openbare sleutel van een ander apparaat aan een account toe te voegen?” vroeg Belovin. “Ik denk dat hun protocollen dat onmogelijk maken, maar anderen zijn het daar niet mee eens.”

Nicholas WeverDocent bij de afdeling Informatica bij Universiteit van California, BerkeleyHij zei dat websites nog steeds enkele herstelmechanismen zouden moeten hebben voor het scenario “Je bent je telefoon en je wachtwoord kwijt”, dat hij beschreef als “een heel moeilijk probleem om veilig te doen en het is echt een van de grootste zwakheden in ons huidige systeem.”

“Als je je wachtwoord vergeet en je telefoon verliest en het terugkrijgt, is dat een groot doelwit voor aanvallers”, zei Weaver in een e-mail. “Als je je wachtwoord bent vergeten en je telefoon verliest en je kunt het niet, dan ben je nu de autorisatiecode kwijt die is gebruikt om in te loggen. Het zou de laatste moeten zijn. Apple heeft de infrastructuur om dit te ondersteunen (iCloud-sleutelhanger), maar het is niet duidelijk of Google dat doet.”

Hij zei echter dat de algemene aanpak van FIDO een geweldig hulpmiddel was om zowel de beveiliging als de bruikbaarheid te verbeteren.

“Het is echt een goede stap voorwaarts en ik ben blij dat te zien”, zei Weaver. “Het is best cool om gebruik te maken van de sterke telefoonauthenticatie van de telefooneigenaar (als je een behoorlijke toegangscode hebt). En in ieder geval voor de iPhone kun je dit robuust maken, zelfs voor een telefooncompromis, want het is de zakkluis die dit aankan en de veilige pocket vertrouwt het besturingssysteem niet als host.”

De technische giganten zeiden dat de nieuwe wachtwoordloze mogelijkheden “in de loop van het volgende jaar” zullen worden ingeschakeld op Apple-, Google- en Microsoft-platforms. Maar experts zeiden dat het waarschijnlijk nog een aantal jaren zal duren voordat kleinere webbestemmingen de technologie overnemen en wachtwoorden volledig opgeven.

Recent onderzoek toont aan dat veel te veel mensen nog steeds wachtwoorden hergebruiken of hergebruiken (hetzelfde wachtwoord lichtjes aanpassen), wat een risico inhoudt van accountovername wanneer die inloggegevens uiteindelijk worden blootgesteld aan een datalek. a Verslag doen van In maart van een cyberbeveiligingsbedrijf SpyCloud Het ontdekte dat 64 procent van de gebruikers wachtwoorden hergebruikt voor meerdere accounts en dat 70 procent van de inloggegevens die bij eerdere inbreuken zijn gehackt, nog steeds in gebruik zijn.

Een wit document beschikbaar in maart 2022 over de FIDO-aanpak hier (PDF). Er zijn vragen en antwoorden op hier.