ApfelUnd Das Google Und Microsoft Sie kündigten diese Woche an, dass sie bald einen Authentifizierungsansatz unterstützen werden, der Passwörter vollständig vermeidet und stattdessen von den Benutzern verlangt, dass sie ihre Smartphones einfach entsperren, um sich bei Websites oder Onlinediensten anzumelden. Experten sagen, dass die Änderungen dazu beitragen sollten, viele Arten von Phishing-Angriffen abzuwehren und die allgemeine Passwortlast für Internetnutzer zu verringern, aber sie warnen davor, dass die wahre Zukunft ohne Passwort von den meisten Websites noch weit entfernt sein könnte.
Die Technologiegiganten sind Teil einer branchengeführten Anstrengung, Passwörter zu ersetzen, die leicht vergessen, häufig durch Malware und Phishing-Schemata gestohlen oder im Zuge von Datenschutzverletzungen in Unternehmen durchgesickert und online verkauft werden.
Apple, Google und Microsoft sind einige der aktivsten Mitwirkenden am passwortlosen Anmeldestandard, der von der FIDO-Allianz („Fast Identity Online“) etabliert wurde, und World Wide Web Konsortium (W3C), die Gruppen, die in den letzten zehn Jahren mit Hunderten von Technologieunternehmen zusammengearbeitet haben, um einen neuen Anmeldestandard zu entwickeln, der über mehrere Browser und Betriebssysteme hinweg gleich funktioniert.
Laut der FIDO Alliance können sich Benutzer mit demselben Verfahren bei Websites anmelden, das sie mehrmals täglich zum Entsperren ihres Geräts durchführen – einschließlich einer Geräte-PIN oder biometrischen Daten wie einem Fingerabdruck oder Gesichtsscan.
„Dieser neue Ansatz schützt vor Phishing und wird die Anmeldung im Vergleich zu herkömmlichen Multifaktor-Passwörtern und Technologien wie Einmalpasswörtern, die per SMS gesendet werden, radikal sicherer machen“, schrieb die Koalition am 5. Mai.
Sampath SrinivasUnter dem neuen System speichert Ihr Telefon einen FIDO-Berechtigungsnachweis namens „Passkey“, der verwendet wird, um Ihr Konto online zu eröffnen, sagte Googles Direktor für Sicherheitsauthentifizierung und Präsident der FIDO-Allianz.
„Der Passkey macht das Einloggen sicherer, weil er auf Public-Key-Kryptographie basiert und nur für Ihr Online-Konto sichtbar ist, wenn Sie Ihr Telefon entsperren“, schrieb Srinivas. „Um sich auf Ihrem PC bei einer Website anzumelden, brauchen Sie nur Ihr Telefon in Ihrer Nähe und müssen es nur entsperren, um darauf zuzugreifen. Sobald Sie dies getan haben, brauchen Sie Ihr Telefon nicht mehr und Sie können sich anmelden, sobald Sie es entsperrt haben dein PC.“
Wie ZDNet AnmerkungenApple, Google und Microsoft unterstützen bereits diese passwortlosen Standards (z. B. „Sign in with Google“), aber die Benutzer müssen sich auf jeder Website anmelden, um die passwortlose Funktion nutzen zu können. Mit diesem neuen System können Benutzer auf vielen ihrer Geräte automatisch auf ihre Passkeys zugreifen – ohne jedes Konto neu registrieren zu müssen – und sich mit ihrem Mobilgerät bei einer App oder Website auf einem Gerät in der Nähe anmelden.
Johannes UlrichDekan suchen Sans Institute of TechnologyDie Ankündigung nannte „bei weitem den vielversprechendsten Versuch, die Authentifizierungsherausforderung zu lösen“.
„Der wichtigste Teil dieses Standards ist, dass Benutzer kein neues Gerät kaufen müssen, sondern Geräte verwenden können, die sie bereits besitzen und mit denen sie vertraut sind“, sagte Ulrich.
Steve BellovinProfessor für Informatik an der Columbia University und frühes Internet Forscher und Pionierbeschrieb den passwortlosen Versuch als „enormen Fortschritt“ bei der Authentifizierung, sagte aber, dass es zu lange dauern würde, bis viele Websites aufholen würden.
Ein potenziell kniffliges Szenario im neuen passwortlosen Authentifizierungssystem ist, was passiert, wenn jemand sein Mobilgerät verliert oder sein Telefon kaputt geht und sich nicht an sein iCloud-Passwort erinnern kann, sagen Belovin und andere.
„Ich mache mir Sorgen um Leute, die kein zusätzliches Gerät kaufen oder ein kaputtes oder gestohlenes Gerät nicht einfach ersetzen können“, sagte Belovin. „Ich mache mir Sorgen um die Wiederherstellung vergessener Passwörter für Cloud-Konten.“
Das Google sagen Selbst wenn Sie Ihr Telefon verlieren, werden „Ihre Passkeys aus Ihrem Cloud-Backup sicher mit Ihrem neuen Telefon synchronisiert, sodass Sie dort weitermachen können, wo Ihr altes Gerät aufgehört hat.“
Apple und Microsoft haben auch Cloud-Backup-Lösungen, mit denen Kunden, die diese Plattformen verwenden, ein verlorenes mobiles Gerät wiederherstellen können. Belovin sagte jedoch, dass viel davon abhängt, wie sicher diese Cloud-Systeme verwaltet werden.
„Wie einfach ist es, den öffentlichen Schlüssel eines anderen Geräts ohne Erlaubnis zu einem Konto hinzuzufügen?“ fragte Belovin. „Ich denke, ihre Protokolle machen das unmöglich, aber andere sind anderer Meinung.“
Nikolaus WeberLehrbeauftragter im Fachbereich Informatik an Universität von Kalifornien, BerkeleyEr sagte, dass Websites immer noch einige Wiederherstellungsmechanismen für das Szenario „Sie haben Ihr Telefon und Ihr Passwort verloren“ haben sollten, das er als „ein wirklich schwieriges Problem, das sicher zu erledigen ist, und es ist wirklich eine der größten Schwächen in unserem aktuellen System“ beschrieb.
„Wenn Sie Ihr Passwort vergessen und Ihr Telefon verlieren und es schaffen, es zurückzubekommen, ist das ein großes Ziel für Angreifer“, sagte Weaver in einer E-Mail. „Wenn Sie Ihr Passwort vergessen und Ihr Telefon verlieren und das nicht können, haben Sie jetzt den Autorisierungscode verloren, mit dem Sie sich anmelden. Es sollte der letzte sein. Apple hat die Infrastruktur, um dies zu unterstützen (iCloud-Schlüsselbund), aber es ist so nicht klar, ob Google das tut.“
Er sagte jedoch, der allgemeine Ansatz von FIDO sei ein großartiges Werkzeug, um sowohl die Sicherheit als auch die Benutzerfreundlichkeit zu verbessern.
„Das ist wirklich ein guter Schritt nach vorne, und ich freue mich, das zu sehen“, sagte Weaver. „Die Nutzung der starken Telefonauthentifizierung des Telefonbesitzers (wenn Sie einen anständigen Passcode haben) ist ziemlich cool. Und zumindest für das iPhone können Sie dies selbst für einen Telefonkompromiss robust machen, da es der Taschensafe ist, der dies und die Sicherheit handhabt pocket vertraut dem Betriebssystem des Hosts nicht.“
Die Technologiegiganten sagten, dass die neuen passwortlosen Funktionen „im Laufe des nächsten Jahres“ auf den Plattformen von Apple, Google und Microsoft aktiviert werden. Experten sagten jedoch, dass es wahrscheinlich noch einige Jahre dauern wird, bis kleinere Web-Sites die Technologie übernehmen und Passwörter vollständig aufgeben.
Jüngste Untersuchungen zeigen, dass viel zu viele Menschen Passwörter immer noch wiederverwenden oder wiederverwenden (dasselbe Passwort geringfügig ändern), was ein Risiko der Kontoübernahme darstellt, wenn diese Anmeldeinformationen schließlich bei einer Datenpanne offengelegt werden. a Prüfbericht Im März eines Cybersicherheitsunternehmens SpyCloud Es wurde festgestellt, dass 64 Prozent der Benutzer Passwörter für mehrere Konten wiederverwenden und 70 Prozent der Anmeldeinformationen, die bei früheren Sicherheitsverletzungen kompromittiert wurden, immer noch verwendet werden.
Weißes Dokument zum Ansatz von FIDO im März 2022 verfügbar hier (PDF). Es gibt Fragen und Antworten dazu hier.
„Webspezialist. Lebenslanger Zombie-Experte. Kaffee-Ninja. Hipster-freundlicher Analyst.“
More Stories
Die nächste 4K-Minidrohne von DJI passt in Ihre Handfläche
Leaks enthüllen den Namen und das Design des angeblichen PS5 Pro-Geräts
Apple führt mit dem neuesten iOS-Update die KI-Objektentfernung in Fotos ein