Ihr Telefon kann bald viele Ihrer Passwörter ändern – Cripps on Security

Apfel, Google Und Microsoft Es gab diese Woche bekannt, dass es bald einen Authentifizierungsansatz unterstützen wird, der Passwörter vollständig eliminiert und stattdessen von Benutzern verlangt, ihre Smartphones zu öffnen, um sich bei Websites oder Onlinediensten anzumelden. Experten sagen, dass diese Änderungen dazu beitragen werden, viele Arten von Phishing-Angriffen abzuwehren und die allgemeine Passwortlast für Internetnutzer zu verringern, warnen jedoch davor, dass die Zukunft ohne echte Passwörter für die meisten Websites noch viele Jahre dauern wird.

Bild: Blog.google

Technologiegiganten beteiligen sich an branchengeführten Bemühungen, Passwörter zu ändern, die leicht vergessen werden, häufig durch Malware und Phishing-Betrug gestohlen werden oder im Zuge von Datenschutzverletzungen in Unternehmen online durchgesickert sind.

Apple, Google und Microsoft haben eine Partnerschaft mit FIDO („Fast Identity Online“) und The World-Wide-Web-Föderation (W3C), Teams, die in den letzten zehn Jahren mit Hunderten von Technologieunternehmen zusammengearbeitet haben, um einen neuen Anmeldestandard zu entwickeln, der einheitlich über mehrere Browser und Betriebssysteme hinweg funktioniert.

Laut der FIDO Alliance können sich Benutzer auf Websites mit demselben Prozess anmelden, der mehrmals täglich dauert, um ihre Geräte zu entsperren – einschließlich Geräte-PIN oder Biometrie wie Fingerabdruck oder Gesichtsscan.

„Dieser neue Ansatz schützt vor Phishing und macht die Anmeldung sicherer im Vergleich zu herkömmlichen Multi-Faktor-Technologien wie Passwörtern und Einmalpasswörtern, die per SMS gesendet werden“, schrieb Coalition am 5. Mai.

Sampath SrinivasGoogles Director of Security Authorization und Head of the FIDO Alliance sagte, dass Ihr Telefon unter dem neuen System das FIDO-Zertifikat mit dem Namen „Basque“ speichert, das zur Eröffnung Ihres Online-Kontos verwendet werden kann.

„Basierend auf der Verschlüsselung mit öffentlichen Schlüsseln ist es sehr sicher, sich mit einem Passwort anzumelden, da es nur in Ihrem Online-Konto angezeigt wird, wenn Sie Ihr Mobiltelefon öffnen“, schrieb Srinivas. „Sie benötigen Ihr Telefon in der Nähe, um sich auf Ihrem Computer auf der Website anzumelden. Sie werden aufgefordert, es für den Zugriff zu öffnen. Sobald Sie dies getan haben, müssen Sie Ihr Telefon nicht mehr neu starten und können sich anmelden, indem Sie Ihren Computer entsperren.

Siehe auch  Ergebnisse des Presidents Cup 2022, Ergebnisse: Live-Berichterstattung, Rangliste, Golf-Updates, Zeitplan für Tag 2 am Freitag

Als ZDNet Anmerkungen, Apple, Google und Microsoft unterstützen bereits diese passwortfreien Standards (z. B. „Mit Google anmelden“), aber Benutzer müssen sich auf jeder Website anmelden, um die passwortfreie Funktion nutzen zu können. Mit diesem neuen System können Benutzer automatisch auf ihre Passwörter über mehrere Geräte zugreifen – ohne jedes Konto neu registrieren zu müssen – um sich mit ihrem Mobilgerät bei einer Anwendung oder Website auf einem Gerät in der Nähe anzumelden.

Johannes UlrichForschung Teenager für SANS-TechnologieunternehmenDie Ankündigung wurde als „der vielversprechendste Versuch, die Akkreditierungsherausforderung zu lösen“ bezeichnet.

„Der wichtigste Teil dieses Standards ist, dass Benutzer kein neues Gerät kaufen müssen, sondern Geräte verwenden, die sie bereits haben und wissen, wie man sie als Authentifikatoren verwendet“, sagte Ulrich.

Von Steve BellowProfessor für Informatik und frühes Internet an der Columbia University Forscher und PionierGenannt die „größte Verbesserung“ bei der Anerkennung der passwortfreien Initiative, sagte aber, dass viele Websites zu lange brauchen würden, um aufzuholen.

Bellow und andere behaupten, dass in einer schwierigen Situation mit diesem neuen passwortlosen Authentifizierungsprogramm, wenn jemand sein Mobilgerät verliert oder sein Telefon abstürzt, er das iCloud-Passwort nicht wiederherstellen kann.

„Ich mache mir Sorgen um Menschen, die sich kein zusätzliches Gerät leisten können oder ein kaputtes oder gestohlenes Gerät leicht ersetzen können“, sagte Bellowin. „Ich mache mir Sorgen um die Passwortwiederherstellung für Cloud-Konten.“

Google Sagt Selbst wenn Sie Ihr Mobiltelefon verlieren, „werden Ihre Passwörter aus dem Cloud-Backup sicher mit Ihrem neuen Mobiltelefon synchronisiert, sodass Sie Ihr altes Gerät vom Parkplatz abrufen können.“

Apple und Microsoft verfügen über Cloud-Backup-Lösungen, mit denen Kunden, die diese Websites verwenden, ein verlorenes Mobilgerät wiederherstellen können. Aber laut Bellow kommt es darauf an, wie sicher solche Cloud-Systeme verwaltet werden.

Siehe auch  Der Geheimdienst habe die SMS vom 5. und 6. Januar 2021 vernichtet – nachdem Überwachungsbeamte sie gehört hätten, sagt der Wachhund.

„Wie einfach ist es, einem anderen Gerät ohne Authentifizierung einen öffentlichen Schlüssel hinzuzufügen?“ Bello war überrascht. „Ich denke, ihre Ethik macht es unmöglich, aber andere nicht.“

Nikolaus WeberDozent im Bereich Informatik Universität von Kalifornien, BerkeleyEr sagte, dass Websites einige weitere Wiederherstellungsschritte für die Situation „Sie haben Ihr Telefon und Ihr Passwort verloren“ haben sollten, die er als „ein sehr schwieriges Problem, das sicher zu lösen ist, und bereits eine der größten Schwächen in unserem derzeitigen System“ beschrieb.

„Wenn Sie Ihr Passwort vergessen, Ihr Telefon verlieren und es wiederherstellen können, ist dies jetzt ein großes Ziel für Angreifer“, sagte Weaver in einer E-Mail. „Wenn Sie Ihr Passwort vergessen und Ihr Mobiltelefon verlieren, verlieren Sie jetzt Ihr Authentifizierungstoken, mit dem Sie sich anmelden. Letzteres muss es sein. Apple hat die Infrastruktur, um dies zu unterstützen (iCloud-Schlüsselbund), aber es ist nicht klar, ob Google dies tun wird.

Nichtsdestotrotz sagte er, dass der gesamte FIDO-Ansatz ein hervorragendes Werkzeug zur Verbesserung der Sicherheit und Benutzerfreundlichkeit sei.

„Es ist ein guter Schritt und ich bin froh, das zu sehen“, sagte Weaver. „Es ist sehr gut, die starke Authentifizierung des Besitzers des Telefons zu verwenden (wenn Sie einen anständigen Passcode haben). Und zumindest für das iPhone können sogar Telefonkompromisse dies stark machen, da es eine sichere Enklave ist, die damit umgeht und einem sicheren Enklaven-Host-Betriebssystem nicht vertraut.

Technologielegenden sagen, dass die neuen passwortfreien Funktionen „im kommenden Jahr“ auf den Betriebssystemen von Apple, Google und Microsoft implementiert werden. Experten sagen jedoch, dass es noch viele Jahre dauern wird, bis kleine Internetseiten die Technologie übernehmen und Passwörter vollständig abschaffen.

Siehe auch  Travis Scott wurde von der Familie des Astroworld-Opfers zugeschlagen, nachdem er das Konzert abgesagt hatte

Jüngste Untersuchungen zeigen, dass viel mehr Menschen Passwörter wiederverwenden oder recyceln (indem sie dasselbe Passwort leicht ändern), was ein Risiko des Kontoerwerbs darstellt, wenn diese Anmeldeinformationen bei einer Datenpanne offengelegt werden. EIN Prüfbericht März von Cyber ​​​​Security SpyCloud 64 % der Benutzer stellen fest, dass sie Passwörter für mehrere Konten wiederverwenden, und 70 % der Anmeldeinformationen, die bei früheren Verstößen kompromittiert wurden, werden immer noch verwendet.

Das White Paper vom März 2022 zum FIDO-Ansatz ist verfügbar Hier (PDF). Es hat eine FAQ Hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.