Οι Apple, Google και Microsoft συνεργάζονται για να αναπτύξουν τεχνολογία «sign-in χωρίς password»

[polemikos]

Κατά τη διάρκεια του World Password Day, οι Apple, Google και Microsoft ανακοίνωσαν ότι ενώνουν τις δυνάμεις τους με στόχο να αναπτύξουν μία τεχνολογία που θα επιτρέπει το «passwordless sign-in» στις πλατφόρμες τους, ώστε να χρησιμοποιηθεί ευρέως από τους χρήστες.

Η τεχνολογία που θα επιτρέψει τις συνδέσεις χωρίς κωδικό πρόσβασης βρίσκεται υπό ανάπτυξη εδώ και αρκετό καιρό και υπόσχεται βελτιωμένη ασφάλεια και ευκολία χρήσης. Αν και έχουν γίνει σημαντικές προσπάθειες για την επιτάχυνση της χρήσης της τεχνολογίας, η κοινή υιοθέτηση της από τις Apple, Google και Microsoft αποτελεί αναμφισβήτητα ένα μεγάλο βήμα προς τα εμπρός. Επιπλέον, οι τρεις εταιρείες δεσμεύτηκαν να διασφαλίσουν ότι οι υλοποιήσεις τους θα είναι συμβατές μεταξύ τους.

Η FIDO Alliance -που είναι ενεργή εδώ και κάμποσα χρόνια- βρίσκεται πίσω από τις προσπάθειες για την εφαρμογή της τεχνολογίας για συνδέσεις δίχως τη χρήση κωδικού πρόσβασης. Ο οργανισμός βοήθησε στην ανάπτυξη του προτύπου για την τεχνολογία, με την υιοθέτηση της από το World Wide Web Consortium (W3C).

Την ώρα που οι κωδικοί πρόσβασης αποτέλεσαν την εξ ορισμού μέθοδο ασφαλείας από τις πρώτες ημέρες της πληροφορικής, παραμένουν ευάλωτοι στις υποκλοπές, τις παραβιάσεις κ.ά. Σε πολλές περιπτώσεις, το μόνο που έχει να κάνει ένας hacker για να εισβάλει σε ένα δίκτυο ή να παραβιάσει μία υπηρεσία είναι να υποκλέψει τον κωδικό πρόσβασης ενός χρήστη. Δεδομένου μάλιστα ότι πολλοί χρήστες επαναχρησιμοποιούν τους κωδικούς πρόσβασης σε υπηρεσίες, ένας κλεμμένος κωδικός πρόσβασης μπορεί να οδηγήσει σε πολλαπλές επιθέσεις. Αν μάλιστα ένας hacker αποκτήσει πρόσβαση στον κωδικό πρόσβασης που χρησιμοποιεί ένας χρήστης για μία εφαρμογή ή υπηρεσία διαχείρισης κωδικών πρόσβασης, τα αποτελέσματα ενδέχεται να είναι καταστροφικά.

Όμως το «passwordless sign-in» στην ουσία αξιοποιεί το τηλέφωνο για παράδειγμα ενός χρήστη ως ένα τύπο «hardware key». Στο τηλέφωνο, αποθηκεύεται το «FIDO Passkey», αντίγραφο του οποίου υπάρχει κρυπτογραφημένο online. Για να πραγματοποιηθεί σύνδεση σε έναν υπολογιστή ή έναν ιστότοπο, θα ζητηθεί από τον χρήστη να ξεκλειδώσει το τηλέφωνο του. Με το ξεκλείδωμα του τηλεφώνου, θα επιτρέπεται η χρήση μίας ιστοσελίδας ή ενός υπολογιστή κ.λπ. Ακόμη και αν ο χρήστης χάσει το τηλέφωνο του, μπορεί εύκολα να συνεχίσει από εκεί που είχε αφήσει το παλαιό, αφού υπάρχει κρυπτογραφημένο αντίγραφο του Passkey online. Και επειδή το Passkey αξιοποιεί τα πλέον σύγχρονα πρότυπα κρυπτογράφησης, η ασφάλεια των συναλλαγών είναι εγγυημένη καθ’ όλη τη διάρκεια της διαδικασίας.

Χάρη στη συνεργασία των Apple, Google και Microsoft, θα παρέχεται διαλειτουργικότητα και επομένως οι χρήστες θα μπορούν να προχωρούν στο cross-authenticate των υπηρεσιών και των συσκευών τους ανεξάρτητα από την πλατφόρμα της επιλογής τους.

«Αυτό το ορόσημο αποτελεί σημαντική απόδειξη για τη συλλογική δουλειά που γίνεται σε ολόκληρο τον κλάδο για να αυξήσουμε την ασφάλεια και να εξαλείψουμε την ξεπερασμένη αυθεντικοποίηση/ ταυτοποίηση με τους κωδικούς πρόσβασης», δήλωσε ο Mark Risher, Ανώτερος Διευθυντής Διαχείρισης Προϊόντων της Google. «Για την Google, αντιπροσωπεύει σχεδόν μία δεκαετία συνεργασίας με τη FIDO, ως μέρος των συνεχιζόμενων προσπαθειών και καινοτομιών μας για ένα μέλλον χωρίς κωδικούς πρόσβασης. Ανυπομονούμε να προχωρήσουμε με τη διάθεση της τεχνολογία της FIDO στον Chrome, στο Chrome OS, στο Android και στις άλλες πλατφόρμες μας ενθαρρύνοντας τους developers εφαρμογών και ιστοσελίδων να το υιοθετήσουν, ώστε οι άνθρωποι σε όλο τον κόσμο να καταφέρουν να απομακρυνθούν με ασφάλεια από τους κινδύνους και την ταλαιπωρία των κωδικών πρόσβασης».

Διαβάστε ολόκληρο το άρθρο

[amigagr]

Apple, Google και Microsoft, οι τρεις μεγάλοι φωστήρες της NSA

[insomniac01]

Υπάρχει ήδη στα σκαριά και λέγεται Neuralink 

Επεξ/σία 6 Μαΐου 2022 από insomniac01

[neoxrated]

Ωχ αληθεια τωρα? Και πως θα παρακολουθω το fb της γυναικας μου και πως θα βλεπω τι αγορεςκανει καθημερινα με την καρτα? Αντι για ημερομηνια γεννησης θα εχει αυτο το FIDO

[jmirko15]

1 ώρα πριν, polemikos είπε

«Αυτό το ορόσημο αποτελεί σημαντική απόδειξη για τη συλλογική δουλειά που γίνεται σε ολόκληρο τον κλάδο για να αυξήσουμε την ασφάλεια και να εξαλείψουμε την ξεπερασμένη αυθεντικοποίηση/ ταυτοποίηση με τους κωδικούς πρόσβασης», δήλωσε ο Mark Risher, Ανώτερος Διευθυντής Διαχείρισης Προϊόντων της Google. «Για την Google, αντιπροσωπεύει σχεδόν μία δεκαετία συνεργασίας με τη FIDO, ως μέρος των συνεχιζόμενων προσπαθειών και καινοτομιών μας για ένα μέλλον χωρίς κωδικούς πρόσβασης. Ανυπομονούμε να προχωρήσουμε με τη διάθεση της τεχνολογία της FIDO στον Chrome, στο Chrome OS, στο Android και στις άλλες πλατφόρμες μας ενθαρρύνοντας τους developers εφαρμογών και ιστοσελίδων να το υιοθετήσουν, ώστε οι άνθρωποι σε όλο τον κόσμο να καταφέρουν να απομακρυνθούν με ασφάλεια από τους κινδύνους και την ταλαιπωρία των κωδικών πρόσβασης».

Ασφάλεια, ξεπερασμένη "αυθεντικοποίηση" και συγκέντρωση των πάντων σε 1 σημείο. Ναι ακούγεται τέλειο και total safe..

[AtiX]

Δηλαδη θα σταματήσουμε να διαβάζουμε ειδήσεις με τίτλους όπως:

 Τα 10 πιο εύκολα, να χακαριστούν, password του 2021 [Ολόκληρη η λίστα] ???

Κρίμα και άδικο…

Επεξ/σία 6 Μαΐου 2022 από AtiX

[elpenor]

Αν και έχω πολλά κενά στο θέμα της ασφάλειας αυτό που προτείνουν (passwordless με one-factor authentication) δεν αναιρεί τον απλό κανόνα security = multi-factor authentication;

Επίσης γιατί είναι πιο ασφαλές το κινητό που ξεκλειδώνει με το δαχτυλικό αποτύπωμα ή με αναγνώριση προσώπου από ένα passphrase με 40 unicode chars που το έχεις μόνο στο μυαλό σου;

Μήπως τελικά το μόνο που χρειάζεται είναι ένα μάθημα στο σχολείο ώστε να μπορούν όλοι να μάθουν να χρησιμοποιούν ένα password manager με passphrase + biometrics + hardware key ή κάποιου άλλου είδους 3FA/4FA;

Επεξ/σία 6 Μαΐου 2022 από elpenor

[PiraeusLeon1980]

Καλή φάση 

[rodosf1]

προς τι άραγε η αμηχανία (ή whatever) στα σχόλια επειδή συνεργάζονται ανταγωνίστριες εταιρείες για ενα κοινό σκοπό, τον οποίο προφανώς έχουν αναγνωρίσει ως υπαρκτό πρόβλημα για επίλυση ολες; 

Η παρακολούθηση από υπηρεσίες ασφαλείας, εισαγγελικές αρχές κλπ όλοι ξέρουν ότι γίνεται, άλλοτε περισσότερο κ άλλοτε λιγότερο "νόμιμα". Δε νομίζω ότι στοχεύει εκεί η συγκεκριμένη αλλαγή, περισσότερο αφορά στην εξοικονόμηση χρόνου και πόρων από τις ζημιές που οδηγεί η απώλεια των πολλών κωδικών για πρόσβαση σε συστήματα. 

Η διαλειτουργικοτητα είναι δεδομένα επιθυμητή σε συστήματα ίδιας εταιρείας, πλέον επιθυμούν, ως φαίνεται, να δημιουργηθεί ενα "υπέρ-εταιρικό" μοντέλο κωδικών ασφαλείας. 

[Bronaldo]

Α δηλ apple, google και microsoft θα γίνουν όπως εγώ στο ινσομνια, contributors?

[dchatz]

θα φτιάξουν μία υπηρεσία όπου όλα τα κλειδιά μας θα είναι online σε κάποιους δικούς τους servers.

Μια χαρά, νοιώθω απόλυτα ασφαλής και σίγουρος για την ασφάλεια της ιδιωτικότητάς μου.

[1nsom-n1k]

Ας προσευχηθούμε (κυριολεκτικά και μεταφορικά) να μην πετύχει ποτέ, να αντιδράσει επιτέλους ο κόσμος και να μην δεχτεί κάτι τέτοιο για την όποια ευκολία κλπ και να μάθει να χρησιμοποιεί σωστά ένα password κι έναν password manager, γιατί το επόμενο βήμα μετά την χρήση βιομετρικών στοιχείων αντί για passwords, θα είναι το τσιπάκι. 

Δεν μένει και κάτι άλλο... 

 

Υγ. Δεν το λέω ειρωνικά, το εννοώ. 

Επεξ/σία 8 Μαΐου 2022 από 1nsom-n1k

[panathatube]

10 ώρες πριν, elpenor είπε

Αν και έχω πολλά κενά στο θέμα της ασφάλειας αυτό που προτείνουν (passwordless με one-factor authentication) δεν αναιρεί τον απλό κανόνα security = multi-factor authentication;

Επίσης γιατί είναι πιο ασφαλές το κινητό που ξεκλειδώνει με το δαχτυλικό αποτύπωμα ή με αναγνώριση προσώπου από ένα passphrase με 40 unicode chars που το έχεις μόνο στο μυαλό σου;

Μήπως τελικά το μόνο που χρειάζεται είναι ένα μάθημα στο σχολείο ώστε να μπορούν όλοι να μάθουν να χρησιμοποιούν ένα password manager με passphrase + biometrics + hardware key ή κάποιου άλλου είδους 3FA/4FA;

Επειδή όμως κανείς δε θα κάτσει στο θρανίο για να μάθει να χρησιμοποιεί password manager με passphrase + biometrics + hardware key κλπ κλπ και το πρόβλημα θα συνεχίσει να υφίσταται βρίσκω πολύ καλή την πρωτοβουλία τους, και πιθανότατα επιτυχημένη. 

Επεξ/σία 7 Μαΐου 2022 από panathatube

[Hacker?pcs]

Στην Microsoft υπάρχει ήδη πάντως στα MS accounts με Yubikey και το απλό Security key, εννοείται σαν εναλλακτική του user/password/2FA απλού TOTP

[Kostasspil]

27 minutes ago, dchatz said:

θα φτιάξουν μία υπηρεσία όπου όλα τα κλειδιά μας θα είναι online σε κάποιους δικούς τους servers.

Μια χαρά, νοιώθω απόλυτα ασφαλής και σίγουρος για την ασφάλεια της ιδιωτικότητάς μου.

Quote

 Στο τηλέφωνο, αποθηκεύεται το «FIDO Passkey», αντίγραφο του οποίου υπάρχει κρυπτογραφημένο online. Για να πραγματοποιηθεί σύνδεση σε έναν υπολογιστή ή έναν ιστότοπο, θα ζητηθεί από τον χρήστη να ξεκλειδώσει το τηλέφωνο του. Με το ξεκλείδωμα του τηλεφώνου, θα επιτρέπεται η χρήση μίας ιστοσελίδας ή ενός υπολογιστή κ.λπ. Ακόμη και αν ο χρήστης χάσει το τηλέφωνο του, μπορεί εύκολα να συνεχίσει από εκεί που είχε αφήσει το παλαιό, αφού υπάρχει κρυπτογραφημένο αντίγραφο του Passkey online. Και επειδή το Passkey αξιοποιεί τα πλέον σύγχρονα πρότυπα κρυπτογράφησης, η ασφάλεια των συναλλαγών είναι εγγυημένη καθ’ όλη τη διάρκεια της διαδικασίας.