Как FIDO2 активирует пароли на разных устройствах
28 июня 2023 г.Когда FIDO Alliance (Fast Identity Online) проведет на этой неделе виртуальный саммит Authenticate Virtual Summit по ключам доступа, основное внимание будет уделено тому, как предприятия переходят от паролей к новым стандартам ключей доступа и техническим инновациям, представляющим собой последние достижения в криптографии с открытым ключом. .
И хорошо они должны. Согласно одному исследованию NordPass, люди в среднем жонглируют примерно 100 паролями, и они по-прежнему склонны использовать одни и те же пароли в разных учетных записях — открытое приглашение к эксплойтам грубой силы.
Парольные ключи меняют правила игры, уменьшая поверхности угроз для организаций и значительно упрощая задачи входа в систему на разных устройствах благодаря сочетанию биометрической аутентификации с асимметричной криптографией. FIDO, аналогичный сопряжению устройств Bluetooth, делает это возможным благодаря набору широко распространенных открытых стандартов (рис. A).
Рисунок А
Альянс FIDO уже более десяти лет работает над снижением зависимости от паролей.
Эндрю Шикиар, исполнительный директор FIDO Alliance, объяснил, что ключевой целью этой инициативы было решение фундаментальной проблемы утечки данных: большинство утечек данных связано с украденными паролями. Действительно, согласно отчету Verizon о расследовании нарушений данных за 2023 год, 74% всех нарушений связаны с человеческим фактором и украденными учетными данными.
По словам Шикиара, когда вы обращаетесь к паролям, вы устраняете утечку данных. TechRepublic поговорил с ним о переходе от паролей к паролям и о том, как новый FIDO2, третий стандарт, разработанный FIDO Alliance, обеспечивает бесперебойную работу пользователей с высоким уровнем безопасности на настольных и мобильных устройствах, предназначенную для устранения ручного входа в систему.
ТР: Переход к паролям был эволюционным, верно? Это был процесс.
Шикиар: У нас было несколько технических спецификаций, которые появились за эти годы, первая из которых — вариант использования биометрической повторной аутентификации: Итак, используя нативные приложения, вы входите один раз, и каждый раз после этого вы используете только биометрию лица или отпечатка пальца. . Другие включали протоколы для аутентификации второго фактора, например, с использованием ключа безопасности и пароля.
TR: Что такое «Руководство для чайников» по тому, что делает FIDO2?
Шикиар: FIDO2 включил возможности без пароля, встроенные непосредственно в операционные системы и платформы. Он представляет собой эволюцию, следующий шаг вверх по лестнице, перенося эти возможности на сами платформы — добавляя функциональность пароля в операционные системы, позволяя действительно выполнять вход без пароля. Я набираю свое имя пользователя и касаюсь своего ключа безопасности, и я вхожу в систему. Это также включает протоколы: один ориентирован на устройство, которое было разработано FIDO Alliance, а другой ориентирован на веб-сервер или веб-сайт, и это WebAuthn ; и вы еще много об этом услышите — мы разработали его совместно с рабочей группой веб-аутентификации W3C (Консорциум World Wide Web).
TR: Что такое WebAuthn на практике?
Шикиар: Это основной компонент FIDO2, в основном API, который может вызвать любой веб-разработчик, чтобы разрешить вход без пароля с помощью разблокировки устройства. Таким образом, все, что вы используете для разблокировки своего устройства, вы также можете использовать для входа на веб-сайты через WebAuthn. Для этого вы должны владеть устройством, и процесс часто является биометрическим, но также может быть PIN-кодом. И, конечно же, FIDO2 использует асимметричную криптографию с открытым ключом, которая включается, когда я подтверждаю себя на своем устройстве. Открытый ключ — секрет на стороне сервера — не имеет значения. Закрытый ключ надежно хранится на устройстве, а закрытый и открытый «разговаривают», а процесс, посредством которого закрытый ключ взаимодействует с открытым ключом, предотвращает фишинг и удаленные атаки.
TR: Объясните эволюцию, самую последнюю, позволяющую человеку применять закрытый ключ на своем устройстве на всех своих проверенных устройствах, и почему это было сделано?
Шикиар: Итак, глядя на старый стандарт FIDO для закрытых ключей на устройстве, который обеспечивает высокий уровень безопасности, мы обнаружили, что, поскольку этот закрытый ключ должен оставаться на устройстве, он на самом деле сдерживает принятие пользователей.
Если у меня есть закрытый ключ к сайту, который я использую, размещенный на моем MacBook, мне нужно будет повторно зарегистрироваться на каждом другом устройстве, потому что, опять же, закрытый ключ находится только на моем MacBook. Это не очень удобно для пользователя и заставляет веб-сайт хранить разные пароли для каждого устройства. Таким образом, реализация FIDO2 позволяет синхронизировать ваш закрытый ключ между устройствами.
TR: Это полностью устраняет необходимость в закрытых ключах, привязанных к устройству?
Шикиар: У вас все еще могут быть привязанные к устройствам ключи доступа, такие как YubiKey, что, очевидно, важно для определенных случаев корпоративного использования, требующих большей надежности и большей безопасности. Однако для большинства случаев использования, когда основное внимание уделяется удобству использования и простоте доступа, а также обеспечению механизма защиты от фишинга, новые протоколы эффективны и безопасны.
TR: Между тем, компании по управлению паролями и идентификацией адаптируют и поощряют использование паролей пользователями. Какую роль играют служба управления идентификацией и доступом и менеджеры паролей?
Шикиар: Теперь мы видим, как такие компании, как 1Password, Okta и Dashlane, переходят на управление ключами доступа.
SEE: Что делает Окта? Читайте здесь. (ТехРеспублика)
ТР: Но если ключ доступа встроен в операционную систему для обеспечения доступа между устройствами, зачем мне вообще нужен сторонний менеджер паролей?
Шикиар: Потому что это выходит за рамки простого сохранения паролей. Лично у меня есть менеджер паролей, потому что я на iPhone и ПК, у меня есть iCloud и Chrome, поэтому у меня есть менеджер паролей для всех устройств как единый источник правды для всех моих учетных записей. Они позволяют мне легче синхронизировать пароли и ключи доступа между системами ОС, чем если бы я зависел исключительно от самой системы ОС. Это выходит за рамки управления паролями. Это больше похоже на управление цифровыми учетными данными; эти компании повышают ценность того, как люди безопасно управляют своей жизнью в Интернете.
ТР: Конечная цель, как мне кажется, заключается в том, чтобы вход в систему стал невидимым и беспроблемным?
Шикиар: До того, как мы недавно выпустили наши руководства для пользователей и провели тщательное тестирование… мы обнаружили, что сообщение, которое больше всего находит отклик у пользователей, чтобы заставить их дозвониться, было удобство — более простой вход в систему. Людям надоело сбрасывать пароли. Скажите, мне не нужно снова вспоминать пароль? Да, подпишите меня на это! Поэтому я думаю, что в целом фактор удобства — это то, что понравится потребителям.
ТР: Когда Google объявил о внедрении паролей, это был переломный момент для паролей.
Шикиар: Да, когда они включили ключи доступа для учетных записей Google и для Workspace, это были важные моменты для принятия и аутентификации FIDO. Это уже делают первые последователи — сейчас больше сайтов, чем мы можем отследить поддерживающие ключи доступа — но Google делает это огромно. Очевидно, что они являются заинтересованными сторонами альянса FIDO, но технология достаточно зрелая, чтобы Google мог развернуть ее в масштабе и включить для миллиардов пользователей, я не могу придумать более убедительного заявления о том, что они верят в эту технологию. это для потребителей, и они действительно нуждаются в этом.
Оригинал