Clau per emportar
- L'Aliança FIDO ha publicat un document blanc que analitza les deficiències que impedeixen que el seu estàndard d'autenticació sense contrasenya es converteixi en corrent.
- Els mecanismes d'autenticació sense contrasenya no han pogut substituir les contrasenyes perquè són incòmodes, suggereix el document blanc.
-
Proposa l'ús de telèfons intel·ligents com a claus de seguretat d'itinerància.
Les contrasenyes fortes són incòmodes de crear i gestionar, però afegir passos i dispositius addicionals al procés d'autenticació és un maldecap encara més gran.
Aquesta és la conclusió d'un document blanc de la Fast ID Online Alliance (FIDO), que culpa els problemes d'usabilitat d'impedir que els mecanismes d'autenticació sense contrasenya es tornin corrents. Tanmateix, l'aliança ha trobat una solució per resoldre el problema d'una vegada per totes i fer que l'estàndard d'autenticació FIDO sigui tan omnipresent com les contrasenyes.
"FIDO ha superat totes les expectatives inicials", va dir Bill Leddy, vicepresident de producte de LoginID, a Lifewire per correu electrònic després de llegir el document blanc. "[És] molt a prop de resoldre tots els [problemes] d'autenticació, però necessita una mica més."
Cancel·lació de contrasenyes
Leddy creu que les contrasenyes han sobreviscut al seu ús. Culpa a la indústria de la seguretat de fallar a la gent en impulsar opcions febles durant massa temps.
"Les contrasenyes tenen ara 60 anys, però segueixen sent l'opció d'autenticació principal per a la majoria de comptes. Els consumidors tenen molts comptes diferents i s'espera que recordin una contrasenya única per a cadascun. No és una solució pràctica", va afirmar Leddy. Va afegir que a Internet actual, on els llocs web es poden clonar fàcilment, la feina de la indústria de la seguretat és dotar a la gent de les eines adequades per evitar incompliments de comptes.
La FIDO Alliance, una associació industrial oberta, creada per reduir la dependència de les contrasenyes, fa aproximadament una dècada que treballa en aquest tema. Ha creat l'estàndard d'autenticació FIDO, que no ha pogut guanyar força. En el document blanc, l'aliança creu que finalment ha identificat la peça que f altava del trencaclosques i també ha esbossat una estratègia per superar-la.
Segons l'aliança, el mecanisme actual d'autenticació sense contrasenya de FIDO té problemes d'usabilitat inherents que l'han impedit aconseguir una adopció àmplia.
"[Hem observat] una adopció limitada [a l'espai del consumidor], a causa de les molèsties percebudes de les claus de seguretat físiques (comprar, registrar, portar, recuperar) i els reptes als quals s'enfronten els consumidors amb els autenticadors de plataforma (p.ex., haver de tornar a registrar cada dispositiu nou; no hi ha maneres fàcils de recuperar-se dels dispositius perduts o robats) com a segon factor", assenyala el document.
Per solucionar els problemes, el document blanc demana utilitzar els nostres telèfons intel·ligents com a autenticadors d'itinerància o claus de seguretat portàtils.
"El dispositiu d'un usuari com a autenticador d'itinerància és una experiència d'usuari fantàstica i molt més segura que les contrasenyes d'un dispositiu semi-confiable si es fa correctament. Com que els telèfons intel·ligents nous admeten FIDO de manera nativa i els consumidors rarament es troben lluny dels seus telèfons, és una bona opció", va acceptar Leddy.
El camí a seguir
No obstant això, el document blanc suggereix que perquè els telèfons intel·ligents tinguin èxit com a claus de seguretat portàtils, FIDO ha d'elaborar un procés fluid perquè la gent afegeixi o canviï entre els seus dispositius mòbils.
Argumenta que si el procés per a tasques essencials, com ara configurar un telèfon nou o canviar-ne un de nou, no és senzill, és probable que la gent descarti tota la idea com a inconvenient. Per evitar-ho, el document proposa la introducció d'una nova tècnica que anomenen credencials FIDO multidispositiu o "claus de contrasenya".
"Les credencials de "clau de contrasenya" de diversos dispositius aborden una pregunta de llarga data sobre FIDO. La pregunta ha estat com passar a un dispositiu nou si vaig registrar 50 credencials específiques de domini al meu dispositiu antic i després en tinc una nova. Ningú vol passar per la recuperació del compte de 50 serveis diferents per tornar a vincular noves credencials de FIDO", va explicar Leddy.
FIDO afirma que les claus d'accés ajudaran a evitar aquesta situació del tot assegurant-nos que quan canviem d'un dispositiu a un altre, les nostres credencials de FIDO ja ens estan esperant. Per descomptat, el document és conceptual i Leddy creu que aquest mecanisme és més fàcil de proposar que d'implementar.
"Seria lamentable que les solucions de clau de pas fossin específiques del proveïdor, de manera que un consumidor no pot canviar entre fabricants de dispositius o fins i tot un conjunt heterogeni (MacBook i telèfon Android) de dispositius", va advertir Leddy.
No obstant això, confia que l'aliança FIDO, que compta amb pesos pesants com Apple, Meta, Google, PayPal, Wells Fargo, American Express i Bank of America, entre els seus membres, proposi solucions que no No només és universal, sinó que també s'ha verificat a fons els atacs.
FIDO creu que les credencials FIDO multidispositiu es convertiran en l'últim clau del taüt per a les contrasenyes. "En introduir aquestes noves capacitats, esperem potenciar els llocs web i les aplicacions perquè ofereixin una opció realment sense contrasenya d'extrem a extrem; no es requereixen contrasenyes ni contrasenyes d'un sol cop (OTP)", va dir l'aliança..