Key takeaways
- FIDO Alliance har publicerat ett whitepaper som analyserar bristerna som hindrar dess lösenordslösa autentiseringsstandard från att bli mainstream.
- Lösenordslösa autentiseringsmekanismer har misslyckats med att ersätta lösenord eftersom de är obekväma, föreslår vitboken.
-
Den föreslår användning av smartphones som roaming-säkerhetsnycklar.
Starka lösenord är obekväma att skapa och hantera, men att lägga till extra steg och enheter till autentiseringsprocessen är en ännu större huvudvärk.
Det är slutsatsen av ett whitepaper från Fast ID Online Alliance (FIDO), som skyller på användbarhetsproblem för att förhindra lösenordslösa autentiseringsmekanismer från att bli vanliga. Alliansen har dock kommit på en lösning för att lösa problemet en gång för alla och göra FIDO-autentiseringsstandarden lika allmänt förekommande som lösenord.
"FIDO har överträffat alla initiala förväntningar", sa Bill Leddy, VP of Product på LoginID, till Lifewire via e-post efter att ha läst vitboken. "[Det] är verkligen nära att lösa alla autentiseringsproblem, men behöver lite mer."
Avbryta lösenord
Leddy tror att lösenord har överlevt deras användning. Han skyller på säkerhetsbranschen för att ha svikit människor genom att driva på svaga alternativ alldeles för länge.
"Lösenorden är nu 60 år gamla men förblir det primära autentiserings alternativet för de flesta konton. Konsumenter har många olika konton och förväntas komma ihåg ett unikt lösenord för varje konto. Det är inte en praktisk lösning", hävdade Leddy. Han tillade att i dagens internet, där webbplatser lätt kan klonas, är säkerhetsbranschens uppgift att utrusta människor med rätt verktyg för att förhindra kontointrång.
FIDO Alliance, en öppen branschorganisation, skapad för att minska beroendet av lösenord, har arbetat med frågan i ungefär ett decennium nu. Den har skapat FIDO-autentiseringsstandarden, som inte har kunnat få dragkraft. I vitboken tror alliansen att de äntligen har identifierat den saknade pusselbiten och även skisserat en strategi för att övervinna den.
Enligt alliansen har FIDO:s nuvarande lösenordslösa autentiseringsmekanism inneboende användarproblem som har hindrat den från att nå bred användning.
"[Vi] har observerat begränsad användning [i konsumentutrymmet], på grund av det upplevda besväret med fysiska säkerhetsnycklar (köp, registrering, bärande, återhämtning) och de utmaningar som konsumenter står inför med plattformsautentisering (t.ex.t.ex. att behöva återregistrera varje ny enhet; inga enkla sätt att återhämta sig från förlorade eller stulna enheter) som en andra faktor", noterade tidningen.
För att lösa problemen kräver vitboken att vi använder våra smartphones som roaming-autentisering eller bärbara säkerhetsnycklar.
"En användares enhet som roaming-autentisering är en fantastisk användarupplevelse och mycket säkrare än lösenord på en semi-betrodd enhet om de görs på rätt sätt. Eftersom nya smartphones har inbyggt stöd för FIDO och konsumenter sällan är långt från sina telefoner, är det är ett bra alternativ ", instämde Leddy.
Vägen framåt
Vitboken föreslår dock att för att smartphones ska bli framgångsrika som bärbara säkerhetsnycklar måste FIDO utforma en smidig process för människor att lägga till eller byta mellan sina mobila enheter.
Det hävdas att om processen för viktiga uppgifter, som att sätta upp en ny telefon eller byta till en ny, inte är okomplicerad, kommer folk sannolikt att avfärda hela idén som obekväm. För att undvika detta föreslår tidningen att man introducerar en ny teknik som de kallar multi-device FIDO credentials, eller "lösenord."
"Autentiseringsuppgifter för flera enheter löser en långvarig fråga kring FIDO. Frågan har varit hur man flyttar till en ny enhet om jag registrerade 50 domänspecifika autentiseringsuppgifter på min gamla enhet och sedan fick en ny enhet. Ingen vill gå igenom kontoåterställning för 50 olika tjänster för att binda om nya FIDO-uppgifter", förklarade Leddy.
FIDO hävdar att lösenord kommer att hjälpa till att undvika denna situation helt och hållet genom att se till att när vi byter från en enhet till en annan, finns våra FIDO-uppgifter redan där och väntar på oss. Naturligtvis är uppsatsen konceptuell, och Leddy tycker att en sådan mekanism är lättare att föreslå än att implementera.
"Det skulle vara olyckligt om lösenordslösningarna var leverantörsspecifika så att en konsument inte kan växla mellan enhetstillverkare eller ens en heterogen uppsättning enheter (MacBook och Android-telefoner), " varnade Leddy.
Men han är övertygad om att FIDO-alliansen, som räknar tungviktare som Apple, Meta, Google, PayPal, Wells Fargo, American Express och Bank of America, bland sina medlemmar, kommer att komma med lösningar som inte bara universellt utan också noggrant bevakat mot attacker.
FIDO tror att FIDO-uppgifterna för flera enheter kommer att bli den sista spiken i kistan för lösenord. "Genom att introducera dessa nya funktioner hoppas vi ge webbplatser och appar möjlighet att erbjuda ett heltäckande, helt lösenordslöst alternativ; inga lösenord eller engångskoder (OTP) krävs", sa alliansen.
