táoVà Google Và Microsoft Họ đã thông báo trong tuần này rằng họ sẽ sớm hỗ trợ một phương pháp xác thực tránh hoàn toàn mật khẩu và thay vào đó yêu cầu người dùng chỉ cần mở khóa điện thoại thông minh của họ để đăng nhập vào các trang web hoặc dịch vụ trực tuyến. Các chuyên gia cho rằng những thay đổi này sẽ giúp đánh bại nhiều kiểu tấn công lừa đảo và giảm bớt gánh nặng về mật khẩu nói chung cho người dùng Internet, nhưng họ cảnh báo rằng tương lai thực sự không có mật khẩu có thể vẫn còn xa với hầu hết các trang web.
Các gã khổng lồ công nghệ là một phần trong nỗ lực thay thế mật khẩu dễ bị quên, thường xuyên bị đánh cắp bởi phần mềm độc hại và các âm mưu lừa đảo, hoặc bị rò rỉ và bán trực tuyến sau khi dữ liệu của công ty bị vi phạm.
Apple, Google và Microsoft là một số nhà đóng góp tích cực nhất cho tiêu chuẩn đăng nhập không cần mật khẩu do liên minh FIDO (“Fast Identity Online”) thiết lập và World Wide Web Consortium (W3C), các nhóm đã làm việc với hàng trăm công ty công nghệ trong thập kỷ qua để phát triển một tiêu chuẩn đăng nhập mới hoạt động giống nhau trên nhiều trình duyệt và hệ điều hành.
Theo FIDO Alliance, người dùng sẽ có thể đăng nhập vào các trang web thông qua cùng một quy trình mà họ thực hiện nhiều lần mỗi ngày để mở khóa thiết bị của mình – bao gồm mã PIN thiết bị hoặc sinh trắc học như quét vân tay hoặc khuôn mặt.
“Cách tiếp cận mới này bảo vệ chống lại lừa đảo và sẽ làm cho việc đăng nhập hoàn toàn an toàn hơn so với mật khẩu và công nghệ đa yếu tố cũ như mật khẩu một lần được gửi qua SMS”, liên minh viết vào ngày 5 tháng 5.
Sampath SrinivasTheo hệ thống mới, điện thoại của bạn sẽ lưu trữ thông tin xác thực FIDO được gọi là “mã khóa” được sử dụng để mở tài khoản trực tuyến của bạn, giám đốc xác thực bảo mật của Google và người đứng đầu Liên minh FIDO cho biết.
“Mật mã giúp đăng nhập an toàn hơn, vì nó dựa trên mật mã khóa công khai và chỉ hiển thị với tài khoản trực tuyến của bạn khi bạn mở khóa điện thoại của mình,” Srinivas viết. “Để đăng nhập vào một trang web trên PC, bạn sẽ chỉ cần điện thoại ở gần mình và bạn chỉ cần mở khóa để truy cập. Sau khi đăng nhập, bạn sẽ không cần điện thoại nữa và bạn có thể đăng nhập sau khi mở khóa máy tính cá nhân của bạn.”
Như ZDNet Ghi chúApple, Google và Microsoft đã hỗ trợ các tiêu chuẩn không cần mật khẩu này (chẳng hạn như “Đăng nhập bằng Google”), nhưng người dùng cần đăng nhập tại mỗi trang web để sử dụng chức năng không cần mật khẩu. Theo hệ thống mới này, người dùng sẽ có thể tự động truy cập mã khóa trên nhiều thiết bị của họ – mà không cần phải đăng ký lại từng tài khoản – và sử dụng thiết bị di động của họ để đăng nhập vào một ứng dụng hoặc trang web trên một thiết bị lân cận.
Johannes UlrichDean tìm kiếm Viện Công nghệ SansThông báo được gọi là “cho đến nay là nỗ lực hứa hẹn nhất để giải quyết thách thức xác thực”.
“Phần quan trọng nhất của tiêu chuẩn này là nó sẽ không yêu cầu người dùng mua một thiết bị mới mà thay vào đó họ có thể sử dụng các thiết bị mà họ đã sở hữu và biết cách sử dụng làm người xác thực,” Ulrich nói.
Steve BellovinGiáo sư Khoa học Máy tính tại Đại học Columbia và Internet Sơ khai Nhà nghiên cứu và người tiên phongđã mô tả nỗ lực không mật khẩu là một “tiến bộ vượt bậc” trong xác thực, nhưng cho biết sẽ mất quá nhiều thời gian để nhiều trang web bắt kịp.
Belovin và những người khác cho biết một tình huống khó khăn có thể xảy ra trong hệ thống xác thực không cần mật khẩu mới là điều gì xảy ra khi ai đó đánh mất thiết bị di động hoặc điện thoại của họ bị hỏng và không thể nhớ mật khẩu iCloud của mình.
“Tôi lo lắng về những người không thể mua thêm một thiết bị, hoặc không thể dễ dàng thay thế một thiết bị bị hỏng hoặc bị đánh cắp,” Belovin nói. “Tôi lo ngại về việc khôi phục mật khẩu bị quên cho các tài khoản đám mây.”
Google Nói Điều đó ngay cả khi bạn bị mất điện thoại, “các mật khẩu của bạn sẽ được đồng bộ hóa an toàn với điện thoại mới từ bản sao lưu đám mây của bạn, cho phép bạn tiếp tục nơi thiết bị cũ của bạn đã dừng lại.”
Apple và Microsoft cũng có các giải pháp sao lưu đám mây mà khách hàng sử dụng các nền tảng này có thể sử dụng để khôi phục từ thiết bị di động bị mất. Nhưng Belovin cho biết phụ thuộc rất nhiều vào việc các hệ thống đám mây này được quản lý an toàn như thế nào.
“Việc thêm khóa công khai của thiết bị khác vào tài khoản mà không được phép dễ dàng như thế nào?” Belovin hỏi. “Tôi nghĩ rằng các giao thức của họ khiến điều đó trở nên bất khả thi, nhưng những người khác không đồng ý với điều đó.”
Nicholas WeaverGiảng viên Khoa Khoa học Máy tính tại đại học California, BerkeleyÔng cho biết các trang web vẫn nên có một số cơ chế khôi phục cho tình huống “Bạn bị mất điện thoại và mật khẩu”, mà ông mô tả là “một vấn đề thực sự khó khăn để thực hiện một cách an toàn và đó thực sự là một trong những điểm yếu lớn nhất trong hệ thống hiện tại của chúng tôi.”
Weaver cho biết trong một email: “Nếu bạn quên mật khẩu và đánh mất điện thoại của mình và không thể lấy lại được, đó là mục tiêu lớn của những kẻ tấn công. “Nếu bạn quên mật khẩu và mất điện thoại và không thể, thì bây giờ bạn đã mất mã ủy quyền được sử dụng để đăng nhập. Nó phải là mã cuối cùng. Apple có cơ sở hạ tầng để hỗ trợ nó (chuỗi khóa iCloud), nhưng nó không rõ liệu Google có làm như vậy không ”.
Tuy nhiên, ông nói, cách tiếp cận chung của FIDO là một công cụ tuyệt vời để cải thiện cả tính bảo mật và khả năng sử dụng.
“Đó thực sự là một bước tiến tốt và tôi rất vui khi thấy điều đó”, Weaver nói. “Tận dụng xác thực điện thoại mạnh mẽ của chủ sở hữu điện thoại (nếu bạn có mật mã phù hợp) là khá tuyệt. Và ít nhất đối với iPhone, bạn có thể làm cho điều này trở nên mạnh mẽ ngay cả đối với một sự xâm phạm điện thoại, vì đó là chiếc két an toàn sẽ xử lý điều này và bảo mật pocket không tin cậy hệ điều hành máy chủ. “
Gã khổng lồ công nghệ cho biết khả năng không cần mật khẩu mới sẽ được kích hoạt trên các nền tảng của Apple, Google và Microsoft “trong suốt năm tới.” Nhưng các chuyên gia cho biết có thể sẽ mất vài năm nữa để các trang web nhỏ hơn áp dụng công nghệ này và từ bỏ mật khẩu hoàn toàn.
Nghiên cứu gần đây cho thấy có quá nhiều người vẫn đang sử dụng lại hoặc sử dụng lại mật khẩu (sửa đổi một chút mật khẩu giống nhau), dẫn đến nguy cơ bị chiếm đoạt tài khoản khi những thông tin đăng nhập đó cuối cùng bị lộ trong một vụ vi phạm dữ liệu. một Báo cáo Vào tháng 3 của một công ty an ninh mạng SpyCloud Nó cho thấy 64% người dùng sử dụng lại mật khẩu cho nhiều tài khoản và 70% thông tin đăng nhập đã bị xâm phạm trong các vi phạm trước đó vẫn đang được sử dụng.
Tài liệu trắng có sẵn vào tháng 3 năm 2022 về cách tiếp cận FIDO đây (PDF). Có những câu hỏi và câu trả lời cho nó đây.