მთავარი წაღებები
- FIDO Alliance-მა გამოაქვეყნა თეთრი დოკუმენტი, რომელიც აანალიზებს იმ ხარვეზებს, რომლებიც ხელს უშლის მისი უპაროლო ავთენტიფიკაციის სტანდარტის გავრცელებას.
- უპაროლო ავთენტიფიკაციის მექანიზმებმა ვერ შეცვალა პაროლები, რადგან ისინი მოუხერხებელია, ვარაუდობს თეთრი წიგნი.
-
ის გვთავაზობს სმარტფონების გამოყენებას როუმინგული უსაფრთხოების გასაღებად.
ძლიერი პაროლების შექმნა და მართვა არასასიამოვნოა, მაგრამ ავტორიზაციის პროცესში დამატებითი ნაბიჯებისა და მოწყობილობების დამატება კიდევ უფრო დიდი თავის ტკივილია.
ეს არის Fast ID ონლაინ ალიანსის (FIDO) თეთრი წიგნის დასკვნა, რომელიც ადანაშაულებს გამოყენებადობის საკითხებს პაროლის გარეშე ავთენტიფიკაციის მექანიზმების მეინსტრიმში გადაქცევის თავიდან აცილებაში. თუმცა, ალიანსმა მოიფიქრა გამოსავალი პრობლემის ერთხელ და სამუდამოდ გადასაჭრელად და FIDO ავტორიზაციის სტანდარტი ისეთივე გავრცელებული, როგორც პაროლები.
"FIDO-მ გადააჭარბა ყველა თავდაპირველ მოლოდინს", - განუცხადა ბილ ლედიმ, LoginID-ის პროდუქტის ვიცე-პრემიერმა, Lifewire-ს ელფოსტით, თეთრი ქაღალდის გაცნობის შემდეგ. "[ეს] ნამდვილად ახლოს არის ყველა ავთენტიფიკაციის [საკითხის] გადაჭრასთან, მაგრამ ცოტა მეტი სჭირდება."
პაროლების გაუქმება
ლედი თვლის, რომ პაროლები მათ გამოყენებას გადააჭარბეს. ის ადანაშაულებს უსაფრთხოების ინდუსტრიას ხალხის წარუმატებლობაში სუსტი ვარიანტების ძალიან დიდი ხნის განმავლობაში წაყენებით.
"პაროლები ახლა უკვე 60 წლისაა, მაგრამ რჩება ავთენტიფიკაციის ძირითად ვარიანტად ანგარიშების უმეტესობისთვის. მომხმარებლებს აქვთ მრავალი განსხვავებული ანგარიში და უნდა დაიმახსოვრონ თითოეულისთვის უნიკალური პაროლი.ეს არ არის პრაქტიკული გამოსავალი", - ამტკიცებს ლედი. მან დასძინა, რომ დღევანდელ ინტერნეტში, სადაც ვებსაიტების ადვილად კლონირება შესაძლებელია, უსაფრთხოების ინდუსტრიის ამოცანაა ხალხის აღჭურვა სწორი ინსტრუმენტებით ანგარიშის დარღვევის თავიდან ასაცილებლად.
FIDO Alliance, ღია ინდუსტრიის ასოციაცია, რომელიც შეიქმნა პაროლებზე დამოკიდებულების შესამცირებლად, მუშაობს ამ საკითხზე უკვე დაახლოებით ათი წელია. მან შექმნა FIDO ავთენტიფიკაციის სტანდარტი, რომელმაც ვერ შეძლო მოზიდვა. თეთრ ქაღალდში ალიანსი ფიქრობს, რომ საბოლოოდ აღმოაჩინა თავსატეხის დაკარგული ნაწილი და ასევე გამოკვეთა მისი გადალახვის სტრატეგია.
ალიანსის თანახმად, FIDO-ს ამჟამინდელი უპაროლო ავთენტიფიკაციის მექანიზმს აქვს თანდაყოლილი გამოყენებადობის პრობლემები, რამაც ხელი შეუშალა მას ფართო გამოყენებისგან.
"[ჩვენ] დავაფიქსირეთ შეზღუდული მიღება [მომხმარებელთა სივრცეში] ფიზიკური უსაფრთხოების გასაღებების (ყიდვა, რეგისტრაცია, ტარება, აღდგენა) აღქმული უხერხულობის გამო და გამოწვევები, რომლებსაც მომხმარებლები აწყდებიან პლატფორმის ავთენტიფიკატორებთან (მაგ.გ., ყოველი ახალი მოწყობილობის ხელახლა დარეგისტრირება; დაკარგული ან მოპარული მოწყობილობებისგან აღდგენის მარტივი გზები არ არის), როგორც მეორე ფაქტორი,”- აღნიშნა გაზეთში.
პრობლემების გადასაჭრელად თეთრი წიგნი მოგვიწოდებს გამოიყენოს ჩვენი სმარტფონები როუმინგის ავთენტიფიკატორებად ან უსაფრთხოების პორტატულ გასაღებად.
მომხმარებლის მოწყობილობა, როგორც როუმინგული ავთენტიფიკატორი, არის მომხმარებლის შესანიშნავი გამოცდილება და ბევრად უფრო უსაფრთხო, ვიდრე პაროლები ნახევრად სანდო მოწყობილობაზე, თუ ეს სწორად არის გაკეთებული. ვინაიდან ახალი სმარტფონები ბუნებრივად მხარს უჭერენ FIDO-ს და მომხმარებლები იშვიათად არიან შორს მათი ტელეფონებისგან, ის კარგი ვარიანტია, - დაეთანხმა ლედი.
გზა წინ
თუმცა, whitepaper ვარაუდობს, რომ სმარტფონების, როგორც პორტატული უსაფრთხოების გასაღებების წარმატებისთვის, FIDO-მ უნდა შეიმუშაოს გლუვი პროცესი, რათა ადამიანებმა დაამატონ ან გადაერთონ მათ მობილურ მოწყობილობებს შორის.
ის ამტკიცებს, რომ თუ ძირითადი ამოცანების პროცესი, როგორიცაა ახალი ტელეფონის დაყენება ან ახალზე გადართვა, არ არის მარტივი, მაშინ ხალხი სავარაუდოდ უარყოფს მთელ იდეას, როგორც მოუხერხებელს.ამის თავიდან ასაცილებლად, ნაშრომი გვთავაზობს ახალი ტექნიკის შემოღებას, რომელსაც უწოდებენ მრავალმოწყობილობის FIDO სერთიფიკატებს, ან „გადასასვლელებს“.
"მრავალმოწყობილობის "გადასასვლელი" რწმუნებათა სიგელები ასახავს FIDO-ს შესახებ დიდი ხნის კითხვას. ისმის კითხვა, როგორ გადავიდე ახალ მოწყობილობაზე, თუ დავარეგისტრირე 50 დომენის სპეციფიკური სერთიფიკატი ჩემს ძველ მოწყობილობაზე და შემდეგ მივიღე ახალი მოწყობილობა. არავის არ სურს გაიაროს ანგარიშის აღდგენა 50 სხვადასხვა სერვისისთვის ახალი FIDO სერთიფიკატების ხელახლა დასაკავშირებლად, "განმარტა ლედიმ.
FIDO ამტკიცებს, რომ გასაღებები დაგეხმარებათ ამ სიტუაციის თავიდან აცილებაში, იმის უზრუნველსაყოფად, რომ როდესაც ჩვენ გადავდივართ ერთი მოწყობილობიდან მეორეზე, ჩვენი FIDO რწმუნებათა სიგელები უკვე იქ გველოდება. რა თქმა უნდა, ნაშრომი კონცეპტუალურია და ლედი ფიქრობს, რომ ასეთი მექანიზმის შემოთავაზება უფრო ადვილია, ვიდრე განხორციელება.
"სამწუხარო იქნება, თუ პაროლის გადაწყვეტილებები იქნება გამყიდველისთვის სპეციფიკური, ისე რომ მომხმარებელს არ შეუძლია გადართოს მოწყობილობის მწარმოებლებს ან თუნდაც ჰეტეროგენულ (MacBook და Android ტელეფონებს) მოწყობილობებს შორის," გააფრთხილა ლედი.
თუმცა, ის დარწმუნებულია, რომ FIDO ალიანსი, რომელიც ითვლის მძიმე წონით კომპანიებს, როგორიცაა Apple, Meta, Google, PayPal, Wells Fargo, American Express და Bank of America, თავის წევრებს შორის, გამოიმუშავებს გადაწყვეტილებებს, რომლებიც არ არის. არა მხოლოდ უნივერსალური, არამედ საფუძვლიანად შემოწმებული თავდასხმების წინააღმდეგ.
FIDO თვლის, რომ მრავალმოწყობილობის FIDO სერთიფიკატები გახდება პაროლების კუბოში ბოლო ლურსმანი. „ამ ახალი შესაძლებლობების დანერგვით, ჩვენ ვიმედოვნებთ, რომ ვებსაიტებსა და აპებს მივცეთ უფლება, შესთავაზონ ბოლო-ბოლო ჭეშმარიტად პაროლის გარეშე ვარიანტი; არ არის საჭირო პაროლები ან ერთჯერადი პაროლი (OTP)“, - თქვა ალიანსმა.
