Da asporto chiave
- La FIDO Alliance ha pubblicato un whitepaper che analizza le carenze che impediscono al suo standard di autenticazione senza password di diventare mainstream.
- I meccanismi di autenticazione senza password non sono riusciti a sostituire le password perché scomode, suggerisce il whitepaper.
-
Propone l'utilizzo degli smartphone come chiavi di sicurezza in roaming.
Le password complesse sono scomode da creare e gestire, ma aggiungere ulteriori passaggi e dispositivi al processo di autenticazione è un grattacapo ancora più grande.
Questa è la conclusione di un whitepaper della Fast ID Online Alliance (FIDO), che incolpa i problemi di usabilità per impedire che i meccanismi di autenticazione senza password diventino mainstream. Tuttavia, l'alleanza ha trovato una soluzione per risolvere il problema una volta per tutte e rendere lo standard di autenticazione FIDO onnipresente come le password.
"FIDO ha superato tutte le aspettative iniziali", ha detto a Lifewire Bill Leddy, VP Product di LoginID via e-mail dopo aver esaminato il whitepaper. "[It] è davvero vicino alla risoluzione di tutti i [problemi] di autenticazione, ma ha bisogno di un po' di più."
Annullamento delle password
Leddy crede che le password siano sopravvissute al loro utilizzo. Incolpa l'industria della sicurezza per aver fallito le persone spingendo opzioni deboli per troppo tempo.
"Le password hanno ormai 60 anni ma rimangono l'opzione di autenticazione principale per la maggior parte degli account. I consumatori hanno molti account diversi e ci si aspetta che ricordino una password univoca per ciascuno. Questa non è una soluzione pratica ", ha affermato Leddy. Ha aggiunto che nell'Internet di oggi, dove i siti Web possono essere facilmente clonati, il compito del settore della sicurezza è fornire alle persone gli strumenti giusti per prevenire le violazioni degli account.
La FIDO Alliance, un'associazione di settore aperta, creata per ridurre la dipendenza dalle password, lavora sulla questione da circa un decennio. Ha creato lo standard di autenticazione FIDO, che non è stato in grado di ottenere trazione. Nel whitepaper, l'alleanza pensa di aver finalmente identificato il pezzo mancante del puzzle e ha anche delineato una strategia per superarlo.
Secondo l'alleanza, l'attuale meccanismo di autenticazione senza password di FIDO presenta problemi di usabilità intrinseci che gli hanno impedito di ottenere un'ampia adozione.
"[Abbiamo] osservato un'adozione limitata [nello spazio del consumatore], a causa dell'inconveniente percepito delle chiavi di sicurezza fisiche (acquisto, registrazione, trasporto, recupero) e delle sfide che i consumatori devono affrontare con gli autenticatori della piattaforma (ad es.g., dover registrare nuovamente ogni nuovo dispositivo; nessun modo semplice per recuperare da dispositivi smarriti o rubati) come secondo fattore", ha osservato il giornale.
Per superare i problemi, il whitepaper prevede l'utilizzo dei nostri smartphone come autenticatori mobili o chiavi di sicurezza portatili.
"Il dispositivo di un utente come autenticatore in roaming è un'esperienza utente eccezionale e molto più sicuro delle password su un dispositivo semi-attendibile se eseguite correttamente. Poiché i nuovi smartphone supportano FIDO in modo nativo e i consumatori sono raramente lontani dai loro telefoni, è una buona opzione", concordò Leddy.
La via da seguire
Tuttavia, il whitepaper suggerisce che affinché gli smartphone abbiano successo come chiavi di sicurezza portatili, FIDO deve escogitare un processo agevole per consentire alle persone di aggiungere o passare da un dispositivo mobile all' altro.
Sostiene che se il processo per le attività essenziali, come impostare un nuovo telefono o passare a uno nuovo, non è semplice, è probabile che le persone respingano l'intera idea come scomoda. Per evitare ciò, il documento propone di introdurre una nuova tecnica che chiamano credenziali FIDO multi-dispositivo, o "passkey".
"Le credenziali 'passkey' multidispositivo risolvono una domanda di vecchia data su FIDO. La domanda era come passare a un nuovo dispositivo se ho registrato 50 credenziali specifiche del dominio sul mio vecchio dispositivo e poi ho ottenuto un nuovo Nessuno vuole eseguire il ripristino dell'account per 50 servizi diversi per riassociare nuove credenziali FIDO ", ha spiegato Leddy.
FIDO afferma che le chiavi di accesso aiuteranno a evitare del tutto questa situazione assicurando che quando passiamo da un dispositivo all' altro, le nostre credenziali FIDO siano già lì ad aspettarci. Naturalmente, il documento è concettuale e Leddy pensa che un tale meccanismo sia più facile da proporre che da implementare.
"Sarebbe un peccato se le soluzioni passkey fossero specifiche del fornitore in modo che un consumatore non possa passare da un produttore di dispositivi all' altro o anche a un insieme eterogeneo di dispositivi (MacBook e telefoni Android)," avvertì Leddy.
Tuttavia, è fiducioso che l'alleanza FIDO, che conta tra i suoi membri pesi massimi come Apple, Meta, Google, PayPal, Wells Fargo, American Express e Bank of America, troverà soluzioni che non sono t solo universale ma anche accuratamente controllato contro gli attacchi.
FIDO crede che le credenziali FIDO multi-dispositivo diventeranno l'ultimo chiodo nella bara per le password. "Introducendo queste nuove funzionalità, speriamo di consentire ai siti Web e alle app di offrire un'opzione end-to-end veramente senza password; non sono richieste password o passcode monouso (OTP)", ha affermato l'alleanza.
