Τα μέλη του διοικητικού συμβουλίου της FIDO alliance περιλαμβάνουν τις εταιρείες Amazon, Google, PayPal, RSA, Apple, Microsoft, Intel και Arm. Η αποστολή τους είναι η μείωση της “υπερβολικής εξάρτησης από τους κωδικούς πρόσβασης“.
Σήμερα το Wired αναφέρει ότι η ομάδα πιστεύει ότι “επιτέλους εντόπισε το κομμάτι του παζλ που λείπει” για να επιτύχει τελικά την υιοθέτηση μιας τεχνολογίας μεγάλης κλίμακας για την αντικατάσταση των κωδικών πρόσβασης.
Την Πέμπτη, ο οργανισμός δημοσίευσε ένα white paper (PDF) που περιγράφει το όραμα της FIDO για την επίλυση των προβλημάτων χρηστικότητας που εμφανίζονται στις λειτουργίες χωρίς κωδικό πρόσβασης και, φαινομενικά, εμπόδιζαν μια ευρεία υιοθέτηση.
Το white paper είναι εννοιολογικό, και όχι τεχνικό, αλλά μετά από χρόνια επένδυσης για την ενσωμάτωση των γνωστών προτύπων χωρίς κωδικό πρόσβασης FIDO2 και WebAuthn στα λειτουργικά Windows, Android, iOS και άλλα, όλα οδηγούν στην επιτυχία του επόμενου βήματος….
Η FIDO προσπαθεί να φτάσει στην καρδιά του προβλήματος που κάνει τα συστήματα χωρίς κωδικό πρόσβασης δύσκολα στην χρήση. Η ομάδα κατέληξε στο συμπέρασμα ότι όλα καταλήγουν στη διαδικασία αλλαγής ή προσθήκης συσκευών. Εάν η διαδικασία για τη ρύθμιση ενός νέου τηλεφώνου, ας πούμε είναι πολύ περίπλοκη και δεν υπάρχει απλός τρόπος να το συνδέσουμε σε όλες τις εφαρμογές και τους λογαριασμούς που χρησιμοποιούνται ήδη — ή εάν πρέπει να χρησιμοποιούνται παράλληλα και ορισμένοι κωδικοί πρόσβασης — τότε Οι περισσότεροι χρήστες καταλήγουν στο συμπέρασμα ότι δεν αξίζει η αλλαγή.
Το πρότυπο FIDO χωρίς κωδικό πρόσβασης βασίζεται ήδη στους βιομετρικούς σαρωτές μιας συσκευής (ή σε ένα κύριο PIN που επιλέγετε) για τον έλεγχο ταυτότητας σας τοπικά χωρίς κανένα από τα δεδομένα σας να ταξιδεύουν μέσω του Διαδικτύου σε κάποιον web server για επικύρωση.
Η κύρια ιδέα της FIDO που πιστεύεται ότι θα λύσει τελικά το πρόβλημα των νέων συσκευών είναι όλα τα λειτουργικά συστήματα να εφαρμόζουν έναν διαχειριστή “διαπιστευτηρίων FIDO”, ο οποίος θα είναι κάπως όμοιος με έναν ενσωματωμένο διαχειριστή κωδικών πρόσβασης.
Αντί να αποθηκεύει κυριολεκτικά τους κωδικούς πρόσβασης, ο μηχανισμός θα αποθηκεύει κρυπτογραφικά κλειδιά που μπορούν να συγχρονίζονται μεταξύ των συσκευών και θα προστατεύονται από κάποιο βιομετρικό κλείδωμα ή το κλείδωμα ενός μόνο κωδικού πρόσβασης. Στο Παγκόσμιο Συνέδριο Προγραμματιστών της Apple το περασμένο καλοκαίρι, η εταιρεία ανακοίνωσε τη δική της έκδοση του μηχανισμού που περιγράφει η FIDO, μια δυνατότητα του iCloud γνωστή και ως “Passkeys in iCloud Keychain“, η οποία σύμφωνα με την Apple είναι η “συμβολή της σε έναν κόσμο χωρίς κωδικούς πρόσβασης…”.
Το white paper της FIDO περιλαμβάνει επίσης άλλο ένα στοιχείο, μια προτεινόμενη προσθήκη στις προδιαγραφές που θα επέτρεπε σε μία από τις υπάρχουσες συσκευές σας, όπως ο φορητός υπολογιστής σας, να λειτουργεί σαν διακριτικό hardware, παρόμοιο με τα αυτόνομα dongle ελέγχου ταυτότητας του Bluetooth και να παρέχει φυσικό έλεγχο ταυτότητας μέσω Bluetooth.
Η ιδέα είναι ότι η μέθοδος θα είναι ουσιαστικά phish-proof, καθώς το Bluetooth είναι ένα πρωτόκολλο που βασίζεται στην εγγύτητα και μπορεί να είναι ένα χρήσιμο εργαλείο για την ανάπτυξη διαφορετικών σχημάτων χωρίς κωδικούς πρόσβασης.
Για την FIDO, η μεγαλύτερη προτεραιότητα είναι μια αλλαγή του προτύπου της σημερινής ασφάλειας των λογαριασμών που θα κάνει το phishing παρελθόν…
Φυσικά μια τέτοια αλλαγή δεν θα συμβεί από τη μια μέρα στην άλλη. Αν σκεφτείτε μόνο την δυσκολία ορισμένων να αφήσουν τα Windows XP, ο δρόμος θα είναι επίπονος.