Video: Google and Microsoft Debut: Replacing Passwords with FIDO2 Authentication (Settembre 2024)
L'era della password potrebbe essere alle spalle? Questo è quello che Michael Barrett, Chief Security Officer di PayPal, ha previsto durante una delle note più interessanti dello show Interop di questa settimana a Las Vegas.
Barrett ha affermato che le password sono state ampiamente utilizzate dal 1961, ma la prevalenza dei servizi cloud ci ha lasciato con troppi siti che richiedono password. Le persone hanno troppe password e quindi sono frustrate. Di conseguenza, ha detto, "Le password stanno iniziando a fallirci."
Se lasciati ai propri dispositivi, gli utenti sceglieranno password scadenti e le useranno ovunque. Ciò significa che la sicurezza del loro account più importante è ridotta a quella del posto meno sicuro in cui usano quella password. Nel frattempo, la disponibilità di una potenza di elaborazione economica nel cloud, comprese le GPU, ha reso più facile per le persone rompere gli hash delle password.
Un'alternativa - sistemi a due fattori con la chiave della password suona - ha detto che è "il sogno di un regolatore, ma l'incubo di un utente" in quanto ogni sito potrebbe avere il proprio sistema di token sicuro.
Di conseguenza, abbiamo bisogno di qualcos'altro ed è qui che entra in gioco la FIDO Alliance. Gli utenti vogliono qualcosa che sia sicuro e facile, ha affermato Barrett. Qualsiasi soluzione deve fornire un'autenticazione più forte ma deve essere più facile da usare e tuttavia rispettare la privacy delle persone.
L'alleanza è in corso da più di due anni e le prime soluzioni di questo tipo stanno per essere lanciate.
Con il modello di oggi, le password vengono immesse su un dispositivo e quindi passate attraverso il dispositivo al servizio dall'altra parte. Nel modello FIDO, gli utenti eseguono l'autenticazione con un piccolo numero di dispositivi e invece eseguono l'autenticazione sul proprio dispositivo. Uno stack FIDO sul dispositivo quindi sa come eseguire nuovamente l'autenticazione al servizio. Le informazioni per la connessione potrebbero essere memorizzate nel chip TPM su un PC o in un contenitore sicuro su uno smartphone.
Per eseguire l'autenticazione con il dispositivo, è possibile utilizzare un'impronta digitale. Barrett ha suggerito che Apple potrebbe uscire con un lettore di impronte digitali su uno smartphone entro la fine dell'anno, con i dispositivi Android che seguiranno a breve. I dispositivi potrebbero anche utilizzare la "biometria vocale" (una stampa vocale), il riconoscimento oculare o il riconoscimento facciale. I singoli siti potrebbero richiedere uno o più di questi significanti che vogliono accettare.
Perché questo piano funzioni, richiederebbe che entrambi i dispositivi supportino lo standard e i servizi che accettano l'autenticazione FIDO. Barrett ha affermato che PayPal sta per diventare abilitato per FIDO. Una volta abilitato un sito, se esiste un client FIDO, viene utilizzato; in caso contrario, verrà ignorato.
Anche se pensa che le password stiano per esaurirsi, Barrett ha riconosciuto che ci vorranno diversi anni prima che iniziamo a vedere una vera adozione di massa. Le probabilità sono solo "50/50 se possiamo farcela", ha detto.
Ma dato il numero di hack di password di cui continuiamo a leggere e le frustrazioni che tutti affrontiamo con le nostre password attuali, non si può negare che molti di noi vogliono qualcosa di meglio.
