Apple, Google i Microsoft współpracują, aby obsługiwać bezhasłowe logowanie FIDO

5 maja – Światowy Dzień Hasła – możemy być o krok bliżej, by hasła stały się przeszłością.

Wspólnym wysiłkiem giganci technologii jabłkoGoogle i Microsoft ogłoszony w czwartek rano Zobowiązali się w nadchodzącym roku zbudować wsparcie dla logowania bez hasła na wszystkich platformach mobilnych, stacjonarnych i przeglądarkowych, które kontrolują. W rzeczywistości oznacza to, że Uwierzytelnianie bez hasła W niedalekiej przyszłości dotrze do wszystkich głównych platform sprzętowych: platform mobilnych Android i iOS; przeglądarki Chrome, Edge i Safari; Środowiska graficzne Windows i macOS.

„Podobnie jak projektujemy nasze produkty tak, aby były intuicyjne i wydajne, projektujemy je również tak, aby były prywatne i bezpieczne” — powiedział Kurt Knight, starszy dyrektor ds. marketingu produktów platformowych w Apple. „Współpraca z branżą w celu stworzenia nowych, bezpieczniejszych metod logowania, które zapewniają lepszą ochronę i eliminują luki w zabezpieczeniach haseł, ma fundamentalne znaczenie dla naszego zaangażowania w tworzenie produktów, które zapewniają maksymalne bezpieczeństwo i przejrzyste wrażenia użytkownika – a wszystko to w celu zachowania „danych osobowych użytkowników” bezpieczna.”

Zdjęcie: FIDO Alliance

Proces logowania bez hasła pozwoli użytkownikom wybrać swój telefon jako główne urządzenie uwierzytelniające dla aplikacji, stron internetowych i innych usług cyfrowych, Google wyjaśnił w Post na blogu Wysłany w czwartek. Odblokowanie telefonu czymkolwiek ustawionym domyślnie – wpisanie PIN-u, narysowanie wzoru czy odblokowanie odciskiem palca – wystarczy, aby zalogować się do serwisów internetowych bez konieczności wpisywania hasła, co jest możliwe dzięki wykorzystaniu unikalnego tokena. nazywa się kluczem dostępu, który jest dzielony między telefonem a witryną.

Uzależnianie logowania od urządzenia fizycznego polega na tym, aby użytkownicy jednocześnie korzystali z prostoty i bezpieczeństwa. Bez hasła nie będzie obowiązku zapamiętywania Twoich danych logowania za pośrednictwem Usług ani zagrażania Twojemu bezpieczeństwu poprzez ponowne użycie tego samego hasła w wielu miejscach. Podobnie system bez hasła utrudniłby hakerom zdalne włamanie się do danych logowania, ponieważ logowanie wymaga dostępu do urządzenia fizycznego; Teoretycznie ataki phishingowe, w których użytkownicy są kierowani do fałszywej witryny w celu przechwycenia haseł, byłyby znacznie trudniejsze.

Vasu Jakal, wiceprezes Microsoft ds. bezpieczeństwa i zgodności, tożsamości i prywatności, podkreślił stopień zgodności międzyplatformowej. „Używając haseł na urządzeniu mobilnym, możesz zalogować się do aplikacji lub usługi na praktycznie dowolnym urządzeniu, niezależnie od platformy lub przeglądarki, na której działa urządzenie” – powiedział Jackal w oświadczeniu przesłanym pocztą elektroniczną. Na przykład użytkownicy mogą logować się do przeglądarki Google Chrome działającej w systemie Microsoft Windows za pomocą hasła na urządzeniu Apple.

Wieloplatformowa funkcjonalność możliwa dzięki plikowi Standard zwany FIDO, który wykorzystuje zasady kryptografii klucza publicznego, aby umożliwić uwierzytelnianie bez hasła i uwierzytelnianie wieloskładnikowe w różnych kontekstach. Telefon użytkownika może przechowywać unikalne hasło zgodne z FIDO i udostępnia je stronie uwierzytelniającej tylko wtedy, gdy telefon jest odblokowany. Zgodnie z postem Google klucze dostępu można również łatwo zsynchronizować z nowym urządzeniem z kopii zapasowej w chmurze na wypadek zgubienia telefonu.

Chociaż wiele aplikacji jest już popularnych W zestawie obsługa uwierzytelniania FIDOpoczątkowe logowanie wymaga podania hasła przed skonfigurowaniem FIDO, co oznacza, że ​​użytkownicy nadal są narażeni na ataki phishingowe, w trakcie których hasła są przechwytywane lub skradzione.

Jednak nowe środki wyeliminują wymóg dotyczący początkowego hasła, powiedział Sampath Srinivas, dyrektor ds. zarządzania produktami Google w zakresie bezpiecznego uwierzytelniania i prezes FIDO Alliance, powiedział w oświadczeniu przesłanym do e-maila. krawędź.

„Ta rozszerzona obsługa FIDO ogłoszona dzisiaj pozwoli stronom internetowym na zaimplementowanie po raz pierwszy kompleksowej wersji próbnej bez haseł z zabezpieczeniami odpornymi na phishing” — powiedział Srinivas. „Obejmuje to zarówno pierwsze logowanie do witryny internetowej, jak i częstotliwość logowania. Kiedy obsługa haseł zostanie udostępniona w całej branży w 2022 i 2023 roku, w końcu będziemy mieli platformę online, która zapewni przyszłość naprawdę bez haseł.”

Jak dotąd Apple, Google i Microsoft spodziewają się, że nowe funkcje logowania będą dostępne na różnych platformach w przyszłym roku, chociaż nie ogłoszono bardziej szczegółowego planu działania. Chociaż Działka, aby zabić hasło Wiele lat temu i są oznaki, że tym razem w końcu mu się to udało.