ซื้อกลับบ้านที่สำคัญ
- FIDO Alliance ได้เผยแพร่เอกสารทางเทคนิคที่วิเคราะห์ข้อบกพร่องที่ป้องกันไม่ให้มาตรฐานการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านกลายเป็นกระแสหลัก
- กลไกการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านล้มเหลวในการเปลี่ยนรหัสผ่านเนื่องจากไม่สะดวก เอกสารไวท์เปเปอร์แนะนำ
-
เสนอให้ใช้สมาร์ทโฟนเป็นคีย์ความปลอดภัยโรมมิ่ง
รหัสผ่านที่รัดกุมนั้นไม่สะดวกในการสร้างและจัดการ แต่การเพิ่มขั้นตอนและอุปกรณ์พิเศษในกระบวนการตรวจสอบสิทธิ์นั้นเป็นเรื่องที่ปวดหัวยิ่งกว่า
นั่นคือบทสรุปของเอกสารไวท์เปเปอร์โดย Fast ID Online Alliance (FIDO) ซึ่งกล่าวโทษปัญหาการใช้งานในการป้องกันไม่ให้กลไกการตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่านกลายเป็นกระแสหลัก อย่างไรก็ตาม พันธมิตรได้คิดวิธีแก้ปัญหาในครั้งเดียวและทำให้มาตรฐานการรับรองความถูกต้อง FIDO เป็นที่แพร่หลายเหมือนรหัสผ่าน
"FIDO ทำได้เกินความคาดหมายในเบื้องต้น" Bill Leddy รองประธานฝ่ายผลิตภัณฑ์ของ LoginID บอกกับ Lifewire ทางอีเมลหลังจากอ่านสมุดปกขาว "[มัน] ใกล้เคียงกับการแก้ปัญหาการรับรองความถูกต้องทั้งหมด [ปัญหา] แต่ต้องการอีกเล็กน้อย"
กำลังยกเลิกรหัสผ่าน
Leddy เชื่อว่ารหัสผ่านมีอายุการใช้งานยาวนานกว่า เขาตำหนิอุตสาหกรรมความปลอดภัยที่ทำให้ผู้คนล้มเหลวด้วยการผลักดันตัวเลือกที่อ่อนแอให้นานเกินไป
ตอนนี้รหัสผ่านมีอายุ 60 ปีแล้ว แต่ยังคงเป็นตัวเลือกการตรวจสอบสิทธิ์หลักสำหรับบัญชีส่วนใหญ่ ผู้บริโภคมีบัญชีที่แตกต่างกันมากมาย และคาดว่าจะจำรหัสผ่านที่ไม่ซ้ำกันสำหรับแต่ละบัญชีนั่นไม่ใช่วิธีแก้ปัญหาในทางปฏิบัติ” Leddy ยืนยัน เขาเสริมว่าในอินเทอร์เน็ตทุกวันนี้ ที่ซึ่งเว็บไซต์สามารถโคลนได้อย่างง่ายดาย หน้าที่ของอุตสาหกรรมความปลอดภัยคือการจัดหาเครื่องมือที่เหมาะสมให้กับผู้คนเพื่อป้องกันการละเมิดบัญชี
FIDO Alliance สมาคมอุตสาหกรรมแบบเปิดซึ่งก่อตั้งขึ้นเพื่อลดการพึ่งพารหัสผ่าน ได้ดำเนินการแก้ไขปัญหานี้มาประมาณหนึ่งทศวรรษแล้ว ได้สร้างมาตรฐานการรับรองความถูกต้อง FIDO ซึ่งไม่สามารถดึงได้ ในเอกสารไวท์เปเปอร์ พันธมิตรคิดว่าในที่สุดก็สามารถระบุชิ้นส่วนที่หายไปของปริศนาได้และยังระบุกลยุทธ์ที่จะเอาชนะมันด้วย
ตามข้อมูลของพันธมิตร กลไกการพิสูจน์ตัวตนแบบไม่ใช้รหัสผ่านในปัจจุบันของ FIDO มีปัญหาในการใช้งานโดยธรรมชาติซึ่งทำให้ไม่สามารถนำไปใช้ในวงกว้างได้
"[เรา] สังเกตเห็นการนำไปใช้อย่างจำกัด [ในพื้นที่ของผู้บริโภค] เนื่องจากการรับรู้ถึงความไม่สะดวกของคีย์ความปลอดภัยทางกายภาพ (การซื้อ การลงทะเบียน การพกพา การกู้คืน) และความท้าทายที่ผู้บริโภคต้องเผชิญกับการรับรองความถูกต้องของแพลตฟอร์ม (เช่นg. ต้องลงทะเบียนอุปกรณ์ใหม่แต่ละเครื่องใหม่ ไม่มีวิธีง่าย ๆ ในการกู้คืนจากอุปกรณ์ที่สูญหายหรือถูกขโมย) เป็นปัจจัยที่สอง " กระดาษตั้งข้อสังเกต
เพื่อแก้ปัญหานี้ เอกสารไวท์เปเปอร์เรียกร้องให้ใช้สมาร์ทโฟนของเราเป็นตัวตรวจสอบการโรมมิ่งหรือคีย์ความปลอดภัยแบบพกพา
"อุปกรณ์ของผู้ใช้ในฐานะเครื่องตรวจสอบสิทธิ์ข้ามแดนอัตโนมัติเป็นประสบการณ์ผู้ใช้ที่ยอดเยี่ยมและปลอดภัยกว่ารหัสผ่านบนอุปกรณ์กึ่งเชื่อถือได้หากทำอย่างถูกต้อง เนื่องจากสมาร์ทโฟนรุ่นใหม่รองรับ FIDO และผู้บริโภคมักอยู่ห่างไกลจากโทรศัพท์ เป็นตัวเลือกที่ดี " Leddy เห็นด้วย
ทางข้างหน้า
อย่างไรก็ตาม เอกสารไวท์เปเปอร์แนะนำว่าเพื่อให้สมาร์ทโฟนประสบความสำเร็จในฐานะคีย์ความปลอดภัยแบบพกพา FIDO จะต้องคิดค้นกระบวนการที่ราบรื่นสำหรับผู้ใช้ในการเพิ่มหรือสลับระหว่างอุปกรณ์มือถือของตน
มันโต้แย้งว่าหากกระบวนการสำหรับงานที่จำเป็น เช่น การตั้งค่าโทรศัพท์เครื่องใหม่หรือการเปลี่ยนไปใช้โทรศัพท์เครื่องใหม่นั้นไม่ตรงไปตรงมา ผู้คนก็มักจะละเลยความคิดทั้งหมดว่าไม่สะดวกเพื่อหลีกเลี่ยงปัญหานี้ บทความนี้ได้เสนอแนะนำเทคนิคใหม่ที่เรียกว่าข้อมูลประจำตัว FIDO แบบหลายอุปกรณ์หรือ "รหัสผ่าน"
"ข้อมูลประจำตัว 'รหัสผ่าน' หลายอุปกรณ์ตอบคำถามที่มีมายาวนานเกี่ยวกับ FIDO คำถามคือจะย้ายไปยังอุปกรณ์ใหม่ได้อย่างไร หากฉันลงทะเบียนข้อมูลรับรองเฉพาะโดเมน 50 รายการในอุปกรณ์เครื่องเก่าและได้เครื่องใหม่ อุปกรณ์ ไม่มีใครต้องการกู้คืนบัญชีสำหรับบริการต่างๆ 50 รายการเพื่อเชื่อมข้อมูลรับรอง FIDO ใหม่ "Leddy อธิบาย
FIDO ยืนยันว่ารหัสผ่านจะช่วยหลีกเลี่ยงสถานการณ์นี้โดยสิ้นเชิง โดยทำให้แน่ใจว่าเมื่อเราเปลี่ยนจากอุปกรณ์หนึ่งไปยังอีกอุปกรณ์หนึ่ง ข้อมูลรับรอง FIDO ของเรากำลังรอเราอยู่ แน่นอน บทความนี้เป็นแนวความคิด และ Leddy คิดว่ากลไกดังกล่าวเสนอได้ง่ายกว่าการนำไปใช้
"คงจะน่าเสียดายถ้าโซลูชันรหัสผ่านเป็นแบบเฉพาะของผู้ขาย เพื่อให้ผู้บริโภคไม่สามารถสลับไปมาระหว่างผู้ผลิตอุปกรณ์หรือแม้แต่ชุดอุปกรณ์ที่ต่างกัน (โทรศัพท์ MacBook และ Android) " เตือน Leddy
อย่างไรก็ตาม เขามั่นใจว่า พันธมิตร FIDO ซึ่งนับว่าเป็นรุ่นใหญ่อย่าง Apple, Meta, Google, PayPal, Wells Fargo, American Express และ Bank of America รวมถึงสมาชิกจะนำเสนอโซลูชั่นที่' เป็นสากลเท่านั้น แต่ยังตรวจสอบการโจมตีอย่างละเอียดอีกด้วย
FIDO เชื่อว่าข้อมูลประจำตัว FIDO หลายอุปกรณ์จะกลายเป็นเล็บสุดท้ายในโลงศพสำหรับรหัสผ่าน "ด้วยการแนะนำความสามารถใหม่เหล่านี้ เราหวังว่าจะช่วยให้เว็บไซต์และแอปสามารถเสนอตัวเลือกที่ไม่มีรหัสผ่านแบบ end-to-end อย่างแท้จริง ไม่ต้องใช้รหัสผ่านหรือรหัสผ่านแบบใช้ครั้งเดียว (OTP)" พันธมิตรกล่าว