Elma, Google ve Microsoft Bu hafta, yakında parolalardan tamamen kaçınan ve bunun yerine kullanıcıların web sitelerinde veya çevrimiçi hizmetlerde oturum açmak için yalnızca akıllı telefonlarının kilidini açmasını gerektiren bir kimlik doğrulama yaklaşımını destekleyeceklerini duyurdular. Uzmanlar, değişikliklerin birçok türde kimlik avı saldırısını yenmeye ve İnternet kullanıcıları üzerindeki genel parola yükünü hafifletmeye yardımcı olacağını söylüyor, ancak çoğu web sitesi için gerçek bir parolasız geleceğin hala yıllar olabileceğine dikkat çekiyor.
Resim: Blog.google
Teknoloji devleri, kolayca unutulan, kötü amaçlı yazılımlar ve kimlik avı programları tarafından sıklıkla çalınan veya kurumsal veri ihlallerinin ardından çevrimiçi olarak sızdırılan ve satılan parolaları değiştirmeye yönelik endüstri liderliğindeki bir çabanın parçasıdır.
Apple, Google ve Microsoft, FIDO (“Çevrimiçi Hızlı Kimlik”) İttifakı ve World Wide Web Konsorsiyumu (W3C), birden fazla tarayıcı ve işletim sisteminde aynı şekilde çalışan yeni bir oturum açma standardı geliştirmek için son on yılda yüzlerce teknoloji şirketi ile birlikte çalışan gruplar.
FIDO Alliance’a göre, kullanıcılar, cihaz PIN’i veya parmak izi veya yüz taraması gibi bir biyometrik dahil olmak üzere, cihazlarının kilidini açmak için her gün birden çok kez yaptıkları aynı işlemle web sitelerinde oturum açabilecekler.
İttifak 5 Mayıs’ta, “Bu yeni yaklaşım, kimlik avına karşı koruma sağlıyor ve oturum açma, parolalar ve SMS üzerinden gönderilen tek seferlik şifreler gibi eski çok faktörlü teknolojilerle karşılaştırıldığında çok daha güvenli olacak.”
Sampath SrinivasFIDO Alliance’ın başkanı ve Google’da güvenlik doğrulama direktörü, yeni sistemde telefonunuzun, çevrimiçi hesabınızın kilidini açmak için kullanılan “parola” adı verilen bir FIDO kimlik bilgilerini depolayacağını söyledi.
Srinivas, “Parola, ortak anahtar şifrelemesine dayandığından ve yalnızca telefonunuzun kilidini açtığınızda çevrimiçi hesabınızda gösterildiğinden, oturum açmayı çok daha güvenli hale getiriyor” dedi. “Bilgisayarınızda bir web sitesinde oturum açmak için, telefonunuzun yakınınızda olması yeterli olacak ve erişim için kilidini açmanız istenecek. Bunu yaptıktan sonra bir daha telefonunuza ihtiyacınız olmayacak ve sadece bilgisayarınızın kilidini açarak giriş yapabilirsiniz.”
Gibi ZDNet notlar, Apple, Google ve Microsoft bu şifresiz standartları zaten desteklemektedir (örn. “Google ile Oturum Açın”), ancak kullanıcıların şifresiz işlevini kullanmak için her web sitesinde oturum açması gerekir. Bu yeni sistem kapsamında kullanıcılar, her hesabı yeniden kaydettirmek zorunda kalmadan birçok cihazında otomatik olarak geçiş anahtarlarına erişebilecek ve yakındaki bir cihazdaki bir uygulamada veya web sitesinde oturum açmak için mobil cihazlarını kullanabilecek.
Johannes Ullricharaştırma dekanı SANS Teknoloji Enstitüsüduyuruyu “kimlik doğrulama sorununu çözmek için açık ara en umut verici çaba” olarak nitelendirdi.
Ullrich, “Bu standardın en önemli kısmı, kullanıcıların yeni bir cihaz satın almasını gerektirmeyecek, bunun yerine zaten sahip oldukları ve kimlik doğrulayıcı olarak nasıl kullanacaklarını bildikleri cihazları kullanabilmeleridir.” Dedi.
Steve BellovinColumbia Üniversitesi’nde bir bilgisayar bilimi profesörü ve erken bir internet araştırmacı ve öncüşifresiz çalışmayı kimlik doğrulamada “büyük bir ilerleme” olarak nitelendirdi, ancak birçok web sitesinin yetişmesinin çok uzun zaman alacağını söyledi.
Bellovin ve diğerleri, bu yeni şifresiz kimlik doğrulama şemasındaki potansiyel olarak zor bir senaryonun, birisi mobil cihazını kaybettiğinde veya telefonu bozulduğunda ve iCloud şifresini hatırlayamadığında olan şey olduğunu söylüyor.
Bellovin, “Ekstra bir cihaz almaya gücü yetmeyen veya bozuk veya çalınan bir cihazı kolayca değiştiremeyen insanlar için endişeleniyorum” dedi. “Bulut hesapları için unutulmuş parola kurtarma konusunda endişeleniyorum.”
Google diyor Telefonunuzu kaybetseniz bile, “geçiş anahtarlarınız bulut yedeklemesinden yeni telefonunuzla güvenli bir şekilde eşitlenir ve eski cihazınızın kaldığı yerden devam etmenize olanak tanır.”
Apple ve Microsoft da benzer şekilde, bu platformları kullanan müşterilerin kayıp bir mobil cihazdan kurtarmak için kullanabilecekleri bulut yedekleme çözümlerine sahiptir. Ancak Bellovin, çoğu şeyin bu tür bulut sistemlerinin ne kadar güvenli bir şekilde yönetildiğine bağlı olduğunu söyledi.
“Bir hesaba başka bir cihazın ortak anahtarını izinsiz eklemek ne kadar kolay?” Bellovin merak etti. “Protokollerinin bunu imkansız kıldığını düşünüyorum, ancak diğerleri aynı fikirde değil.”
Nicholas Dokumacıbilgisayar bilimleri bölümünde öğretim görevlisi Kaliforniya Üniversitesi, Berkeleyweb sitelerinin hala “telefonunuzu ve şifrenizi kaybettiniz” senaryosu için bazı kurtarma mekanizmalarına sahip olması gerektiğini ve bunun “güvenli bir şekilde yapılması gerçekten zor bir sorun ve halihazırda mevcut sistemimizdeki en büyük zayıflıklardan biri” olarak tanımladığını söyledi.
Weaver bir e-postada, “Şifreyi unutup telefonunuzu kaybederseniz ve kurtarabilirseniz, bu saldırganlar için büyük bir hedef” dedi. “Şifreyi unutursanız ve telefonunuzu kaybederseniz ve YAPAMAZSANIZ, şimdi oturum açmak için kullanılan yetkilendirme jetonunuzu kaybettiniz. Sonuncusu olmak zorunda kalacak. Apple, bunu destekleyecek altyapıya sahip (iCloud anahtarlık), ancak Google’ın bunu yapıp yapmadığı belli değil.”
Yine de, genel FIDO yaklaşımının hem güvenliği hem de kullanılabilirliği geliştirmek için harika bir araç olduğunu söyledi.
Weaver, “Bu gerçekten çok iyi bir adım ve bunu görmekten çok memnunum” dedi. “Telefon sahibinin güçlü kimlik doğrulamasından yararlanmak (uygun bir şifreniz varsa) oldukça güzel. Ve en azından iPhone için, bunu halledecek olan güvenli yerleşim yeri olduğundan ve güvenli yerleşim, ana bilgisayar işletim sistemine güvenmediğinden, bunu telefondan ödün vermek için bile sağlam hale getirebilirsiniz. ”
Teknoloji devleri, yeni şifresiz yeteneklerin “önümüzdeki yıl boyunca” Apple, Google ve Microsoft platformlarında etkinleştirileceğini söyledi. Ancak uzmanlar, daha küçük web sitelerinin teknolojiyi benimsemesinin ve şifreleri tamamen ortadan kaldırmanın muhtemelen birkaç yıl daha süreceğini söyledi.
Son araştırmalar, çok fazla kişinin parolaları yeniden kullandığını veya geri dönüştürdüğünü (aynı parolayı biraz değiştirerek) gösteriyor; bu, bu kimlik bilgileri sonunda bir veri ihlaline maruz kaldığında bir hesap devralma riski oluşturuyor. A rapor Mart ayında siber güvenlik firmasından SpyCloud kullanıcıların yüzde 64’ünün birden fazla hesap için şifreleri yeniden kullandığını ve önceki ihlallerde ele geçirilen kimlik bilgilerinin yüzde 70’inin hala kullanımda olduğunu tespit etti.
FIDO yaklaşımına ilişkin bir Mart 2022 teknik incelemesi mevcuttur burada (PDF). Bununla ilgili bir SSS burada.
