Ihr Telefon kann bald viele Ihrer Passwörter ersetzen

MüllH Über Google H Microsoft Sie kündigten diese Woche an, dass sie bald einen Authentifizierungsansatz unterstützen werden, der Passwörter vollständig vermeidet und stattdessen von Benutzern verlangt, ihre Smartphones nur zu entsperren, um sich bei Websites oder Onlinediensten anzumelden. Experten sagen, dass die Änderungen dazu beitragen sollten, viele Arten von Phishing-Angriffen abzuwehren und die Passwortbelastung für Internetnutzer insgesamt zu verringern, aber sie warnen davor, dass die wahre Zukunft ohne Passwort für die meisten Websites noch weit entfernt sein könnte.

Die Technologiegiganten sind Teil einer branchengeführten Anstrengung, Passwörter zu ersetzen, die leicht vergessen, oft durch Malware und Betrug gestohlen oder durchgesickert und online verkauft werden, nachdem Unternehmensdaten kompromittiert wurden.

Apple, Google und Microsoft leisten die aktivsten Beiträge zum passwortlosen Login-Standard, der von der FIDO-Allianz („Fast Identity Online“) etabliert wurde und World Wide Web Konsortium (W3C), die Gruppen, die in den letzten zehn Jahren mit Hunderten von Technologieunternehmen zusammengearbeitet haben, um einen neuen Anmeldestandard zu entwickeln, der über mehrere Browser und Betriebssysteme hinweg gleich funktioniert.

Laut der FIDO Alliance können sich Benutzer mit demselben Verfahren bei Websites anmelden, das sie mehrmals täglich zum Entsperren ihres Geräts durchführen – einschließlich einer Geräte-PIN oder biometrischen Daten wie einem Fingerabdruck oder Gesichtsscan.

„Dieser neue Ansatz schützt vor Phishing und wird die Anmeldung im Vergleich zu alten Multifaktor-Passwörtern und Technologien wie Einmalpasswörtern, die per SMS versendet werden, radikal sicherer machen“, schrieb die Koalition am 5. Mai.

Sampath SrinivasUnter dem neuen System speichert Ihr Telefon eine FIDO-Berechtigung, die als „Passwort“ bezeichnet wird und zur Online-Eröffnung Ihres Kontos verwendet wird, sagte Googles Direktor für Sicherheitsauthentifizierung und Präsident der FIDO-Allianz.

„Das Passwort macht das Einloggen sicherer, da es auf der Verschlüsselung mit öffentlichen Schlüsseln basiert und nur in Ihrem Online-Konto erscheint, wenn Sie Ihr Telefon entsperren“, schrieb Srinivas. „Um sich auf Ihrem Computer bei einer Website anzumelden, müssen Sie nur Ihr Telefon in Ihrer Nähe haben und Sie müssen es nur entsperren, um darauf zuzugreifen. Sobald Sie dies getan haben, benötigen Sie Ihr Telefon nicht mehr und Sie können sich einmal anmelden Sie entsperren Ihren Computer.“

Wie macht ZDNetGenericName NotenApple, Google und Microsoft unterstützen bereits diese passwortlosen Standards (z. B. „Mit Google anmelden“), aber die Benutzer müssen sich bei jeder Website anmelden, um die passwortlose Funktionalität zu nutzen. Mit diesem neuen System können Benutzer auf vielen ihrer Geräte automatisch auf ihre Passkeys zugreifen – ohne jedes Konto neu registrieren zu müssen – und sich mit ihrem Mobilgerät bei einer App oder Website auf einem Gerät in der Nähe anmelden.

Johannes UlrichDean sucht Sans Institut für TechnologieDie Ankündigung nannte es „den vielversprechendsten Versuch, die Authentifizierungsherausforderung zu lösen“.

„Der wichtigste Teil dieses Standards ist, dass Benutzer kein neues Gerät kaufen müssen, sondern dass sie bereits vorhandene Geräte als Authentifikatoren verwenden können“, sagte Ulrich.

Steve BellovinProfessor für Informatik an der Columbia University und dem frühen Internet Forscher und PionierEr beschrieb den passwortlosen Versuch als einen „großen Schritt nach vorne“ bei der Authentifizierung, sagte aber, dass es lange dauern würde, viele Websites zu aktualisieren.

Ein potenziell herausforderndes Szenario im neuen passwortlosen Authentifizierungssystem ist, was passiert, wenn jemand sein Mobilgerät verliert oder sein Telefon kaputt geht und sich nicht an sein iCloud-Passwort erinnern kann, sagen Belovin und andere.

„Ich mache mir Sorgen um Menschen, die kein zusätzliches Gerät kaufen oder ein kaputtes oder gestohlenes Gerät nicht einfach ersetzen können“, sagte Belovin. „Ich mache mir Sorgen um die Wiederherstellung vergessener Passwörter für Cloud-Konten.“

Über Google Sie sagt Selbst wenn Sie Ihr Telefon verlieren, „werden Ihre Passkeys aus Ihrem Cloud-Backup sicher mit Ihrem neuen Telefon synchronisiert, sodass Sie dort weitermachen können, wo Ihr altes Gerät aufgehört hat.“

Apple und Microsoft haben auch Cloud-Backup-Lösungen, mit denen Kunden, die diese Plattformen verwenden, ein verlorenes mobiles Gerät wiederherstellen können. Belovin sagte jedoch, dass viel davon abhängt, wie sicher diese Cloud-Systeme verwaltet werden.

„Wie einfach ist es, den öffentlichen Schlüssel eines anderen Geräts ohne Erlaubnis zu einem Konto hinzuzufügen?“ fragte Belovin. „Ich denke, ihre Protokolle machen das unmöglich, aber andere sind anderer Meinung.“

Nikolaus WeberProfessor am Fachbereich Informatik an Universität von Kalifornien, BerkeleyEr sagte, dass Websites immer noch einige Wiederherstellungsmechanismen für das Szenario „Sie haben Ihr Telefon und Ihr Passwort verloren“ haben sollten, das er als „ein sehr schwieriges Problem, das sicher zu erledigen ist, und tatsächlich eine der größten Schwächen in unserem aktuellen System“ beschrieb.

„Wenn Sie Ihr Passwort vergessen und Ihr Telefon verlieren und es schaffen, es zurückzubekommen, ist das ein großes Ziel für Angreifer“, sagte Weaver in einer E-Mail. „Wenn Sie Ihr Passwort vergessen und Ihr Telefon verlieren und das nicht können, haben Sie jetzt den Autorisierungscode verloren, mit dem Sie sich angemeldet haben. Es sollte letzteres sein. Apple hat die Infrastruktur, um es zu unterstützen (iCloud-Schlüsselbund), aber es Es ist unklar, ob Google dies unterstützt.“

Nichtsdestotrotz sei der umfassende Ansatz von FIDO ein großartiges Werkzeug zur Verbesserung der Sicherheit und Benutzerfreundlichkeit gewesen.

„Das ist wirklich ein guter Schritt nach vorne, und ich freue mich, das zu sehen“, sagte Weaver. „Die Nutzung der starken Telefonauthentifizierung des Telefonbesitzers (wenn Sie ein richtiges Passwort haben) ist großartig. Und zumindest für ein iPhone können Sie es selbst für ein Hands-Down-Telefon stark machen, weil es sich in der sicheren Tasche befindet, die das und das handhabt safe in the pocket vertraut dem Host-Betriebssystem nicht“.

Die Technologiegiganten sagten, dass die neuen passwortlosen Funktionen „im Laufe des nächsten Jahres“ auf den Plattformen von Apple, Google und Microsoft aktiviert werden. Experten sagten jedoch, dass es wahrscheinlich mehrere Jahre dauern wird, bis kleinere Web-Sites die Technologie annehmen und Passwörter vollständig aufgeben.

Jüngste Untersuchungen zeigen, dass viele Menschen Passwörter immer noch wiederverwenden oder wiederverwenden (mit einer einfachen Änderung des Passworts selbst), was das Risiko eines Konto-Hackings birgt, wenn diese Anmeldeinformationen schließlich bei der Datenpanne offengelegt werden. Ein ein Bericht Im März eines Cybersicherheitsunternehmens SpyCloud Es wurde festgestellt, dass 64 % der Benutzer Passwörter für mehrere Konten wiederverwenden und 70 % der Anmeldeinformationen, die bei früheren Verstößen kompromittiert wurden, immer noch verwendet werden.

Das Whitepaper zum FIDO-Ansatz ist im März 2022 verfügbar hier (PDF). Dazu gibt es Fragen und Antworten hier.