Video: Technical Webinar: Getting to Know the FIDO Specifications (September 2024)
Kan lösenordets era ligga bakom oss? Det var vad PayPal Chief Security Officer Michael Barrett förutspådde under en av de mest intressanta nycklarna vid denna veckas Interop-show i Las Vegas.
Barrett sa att lösenord har varit i utbredd användning sedan 1961 men utbredningen av molntjänster har lämnat oss för många webbplatser som kräver lösenord. Människor har för många lösenord och är därför frustrerade. Som ett resultat sade han: "Lösenord börjar misslyckas med oss."
När de lämnas till sina egna enheter kommer användare att välja dåliga lösenord och använda dem överallt. Det betyder att säkerheten för deras viktigaste konto reduceras till den minst säkra platsen de använder det lösenordet. Samtidigt har tillgången på billig processorkraft i molnet, inklusive GPU, gjort det lättare för människor att knäcka lösenord hash.
Ett alternativ - tvåfaktorsystem med lösenordsnyckelringar - sa han är "en regulators dröm, men en användares mardröm" eftersom varje webbplats kan ha sitt eget säkra token-system.
Som ett resultat behöver vi något annat och det är där FIDO-alliansen kommer in. Användare vill ha något som är både säkert och enkelt, sa Barrett. Varje lösning måste ge starkare autentisering men måste vara lättare att använda och ändå respektera människors integritet.
Alliansen har pågått i mer än två år, och de första sådana lösningarna är på väg att lanseras.
Med dagens modell anges lösenord på en enhet och skickas sedan genom enheten till tjänsten i andra änden. I FIDO-modellen autentiserar användare med ett litet antal enheter och istället autentiserar de dem till sin enhet. En FIDO-stack på enheten vet då hur man autentiserar tillbaka till tjänsten. Informationen om anslutningen kan lagras i TPM-chipet på en PC eller i en säker behållare på en smartphone.
För att autentisera med enheten kan du använda ett fingeravtryck. Barrett föreslog att Apple kanske kommer ut med en fingeravtrycksläsare på en smartphone senare i år, med Android-enheter som följer inom kort. Enheter kan också använda "röstbiometri" (ett röstutskrift), ögonigenkänning eller ansiktsigenkänning. Enskilda webbplatser kan begära en eller flera av dessa märkare som de vill acceptera.
För att denna plan ska fungera kräver det att båda enheterna stöder standarden och tjänster som accepterar FIDO-autentisering. Barrett sa att PayPal håller på att bli FIDO-aktiverat. När en webbplats har aktiverats, om det finns en FIDO-klient, används den; annars ignoreras det.
Trots att han tror att lösenordet är slut på ångan erkände Barrett att det kommer att ta flera år innan vi börjar se riktigt massadoption. Oddsen är bara "50/50 om vi kan dra detta, " sade han.
Men med tanke på antalet lösenordshacks som vi fortsätter att läsa om och frustrationerna som vi alla möter med våra nuvarande lösenord, förnekar det inte att många av oss vill ha något bättre.
