Альянс Фидо: пароли начинают подводить нас

Может ли эпоха пароля быть позади? Это то, что предсказал главный специалист по безопасности PayPal Майкл Барретт во время одного из самых интересных выступлений на Interop-шоу на этой неделе в Лас-Вегасе.

Барретт сказал, что пароли широко используются с 1961 года, но из-за распространенности облачных сервисов у нас слишком много сайтов, требующих пароли. Люди имеют слишком много паролей и поэтому разочарованы. В результате он сказал: «Пароли начинают нас подводить».

Когда их оставляют на их собственные устройства, пользователи будут выбирать плохие пароли и использовать их повсюду. Это означает, что безопасность их самой важной учетной записи сводится к безопасности наименее безопасного места, где они используют этот пароль. Между тем, наличие дешевой вычислительной мощности в облаке, в том числе графических процессоров, позволило людям взломать хэши паролей.

Альтернатива - двухфакторные системы с брелоками для паролей - он сказал, что это «мечта регулятора, но кошмар пользователя», поскольку каждый сайт может иметь свою собственную систему безопасных токенов.

В результате нам нужно что-то еще, и именно здесь вступает Альянс FIDO. Пользователи хотят что-то безопасное и простое, сказал Барретт. Любое решение должно обеспечивать более строгую аутентификацию, но должно быть проще в использовании, но при этом уважать конфиденциальность людей.

Альянс существует уже более двух лет, и первые такие решения должны быть запущены.

В сегодняшней модели пароли вводятся на устройстве, а затем передаются через устройство в службу на другом конце. В модели FIDO пользователи аутентифицируются на небольшом количестве устройств и вместо этого они аутентифицируются на своем устройстве. Затем стек FIDO на устройстве знает, как выполнить аутентификацию обратно в сервис. Информация для подключения может храниться в микросхеме TPM на ПК или в защищенном контейнере на смартфоне.

Для аутентификации на устройстве вы можете использовать отпечаток пальца. Барретт предположил, что Apple может выпустить сканер отпечатков пальцев на смартфоне в конце этого года, а вскоре появятся устройства Android. Устройства также могут использовать «голосовую биометрию» (голосовой отпечаток), распознавание глаз или распознавание лиц. Отдельные сайты могут запросить одно или несколько из этих значков, которые они хотят принять.

Для того чтобы этот план работал, потребовалось бы, чтобы оба устройства поддерживали стандарт, а сервисы принимали аутентификацию FIDO. Барретт сказал, что PayPal находится в процессе поддержки FIDO. После включения сайта, если есть клиент FIDO, он используется; в противном случае оно будет проигнорировано.

Несмотря на то, что он считает, что пароли исчерпываются, Барретт признал, что пройдет несколько лет, прежде чем мы начнем наблюдать массовое принятие. Шансы "50/50, можем ли мы это осуществить", - сказал он.

Но учитывая количество взломов паролей, о которых мы постоянно читаем, и разочарования, с которыми мы все сталкиваемся с нашими нынешними паролями, нельзя отрицать, что многие из нас хотят чего-то лучшего.