Bài học rút ra chính
- Liên minh FIDO đã xuất bản một báo cáo chính thức phân tích những thiếu sót khiến tiêu chuẩn xác thực không cần mật khẩu của nó trở thành xu hướng chủ đạo.
- Cơ chế xác thực không cần mật khẩu đã không thể thay thế mật khẩu vì chúng không thuận tiện, báo cáo chính thức cho thấy.
-
Nó đề xuất việc sử dụng điện thoại thông minh làm khóa bảo mật chuyển vùng.
Mật khẩu mạnh không thuận tiện để tạo và quản lý, nhưng việc thêm các bước và thiết bị bổ sung vào quy trình xác thực lại càng khiến bạn đau đầu hơn.
Đó là kết luận của báo cáo chính thức của Fast ID Online Alliance (FIDO), trong đó đổ lỗi cho các vấn đề về khả năng sử dụng đã ngăn cản các cơ chế xác thực không cần mật khẩu trở thành xu hướng chủ đạo. Tuy nhiên, liên minh đã đưa ra giải pháp để giải quyết vấn đề một lần và mãi mãi và biến tiêu chuẩn xác thực FIDO trở nên phổ biến như mật khẩu.
"FIDO đã vượt quá mọi kỳ vọng ban đầu", Bill Leddy, Phó Giám đốc Sản phẩm tại LoginID, nói với Lifewire qua email sau khi xem xét báo cáo chính thức. "[Nó] thực sự gần giải quyết được tất cả [các vấn đề] xác thực, nhưng cần nhiều hơn một chút."
Hủy mật khẩu
Leddy tin rằng mật khẩu đã hết hạn sử dụng. Anh ấy đổ lỗi cho ngành công nghiệp an ninh vì đã làm cho những người thất bại khi thúc đẩy các lựa chọn yếu kém quá lâu.
"Mật khẩu hiện đã được 60 năm tuổi nhưng vẫn là tùy chọn xác thực chính cho hầu hết các tài khoản. Người tiêu dùng có nhiều tài khoản khác nhau và phải nhớ một mật khẩu duy nhất cho mỗi tài khoản. Đó không phải là một giải pháp thực tế ", Leddy khẳng định. Ông nói thêm rằng trong internet ngày nay, nơi các trang web có thể dễ dàng bị sao chép, công việc của ngành bảo mật là trang bị cho mọi người những công cụ phù hợp để ngăn chặn vi phạm tài khoản.
Liên minh FIDO, một hiệp hội công nghiệp mở, được thành lập để giảm sự phụ thuộc vào mật khẩu, đã nghiên cứu vấn đề này trong khoảng một thập kỷ nay. Nó đã tạo ra tiêu chuẩn xác thực FIDO, tiêu chuẩn này đã không thể đạt được lực kéo. Trong whitepaper, liên minh cho rằng cuối cùng họ đã xác định được mảnh ghép còn thiếu và cũng vạch ra chiến lược để vượt qua nó.
Theo liên minh, cơ chế xác thực không cần mật khẩu hiện tại của FIDO có các vấn đề về khả năng sử dụng cố hữu khiến nó không đạt được sự chấp nhận rộng rãi.
"[Chúng tôi] đã quan sát thấy việc áp dụng hạn chế [trong không gian người tiêu dùng], vì nhận thấy sự bất tiện của khóa bảo mật vật lý (mua, đăng ký, mang theo, khôi phục) và những thách thức mà người tiêu dùng phải đối mặt với trình xác thực nền tảng (e.g., phải đăng ký lại từng thiết bị mới; không có cách nào dễ dàng để khôi phục từ các thiết bị bị mất hoặc bị đánh cắp) là yếu tố thứ hai, "tờ báo lưu ý.
Để khắc phục sự cố, báo cáo chính thức kêu gọi sử dụng điện thoại thông minh của chúng tôi làm trình xác thực chuyển vùng hoặc khóa bảo mật di động.
"Thiết bị của người dùng với tư cách là trình xác thực chuyển vùng là một trải nghiệm người dùng tuyệt vời và an toàn hơn nhiều so với mật khẩu trên thiết bị bán tin cậy nếu được thực hiện đúng cách. Vì điện thoại thông minh mới vốn hỗ trợ FIDO và người tiêu dùng hiếm khi ở xa điện thoại của họ, điều đó là một lựa chọn tốt, "Leddy đồng ý.
Con đường phía trước
Tuy nhiên, whitepaper đề xuất rằng để điện thoại thông minh trở thành khóa bảo mật di động thành công, FIDO phải thiết lập một quy trình suôn sẻ để mọi người thêm hoặc chuyển đổi giữa các thiết bị di động của họ.
Nó lập luận rằng nếu quy trình cho các nhiệm vụ thiết yếu, chẳng hạn như thiết lập điện thoại mới hoặc chuyển sang điện thoại mới, không đơn giản, thì mọi người có thể sẽ bác bỏ toàn bộ ý tưởng là bất tiện. Để tránh điều này, bài báo đề xuất giới thiệu một kỹ thuật mới mà họ gọi là thông tin xác thực FIDO đa thiết bị, hoặc "mã khóa".
"Thông tin đăng nhập 'khóa mật khẩu' của nhiều thiết bị giải quyết một câu hỏi lâu nay xung quanh FIDO. Câu hỏi đặt ra là làm thế nào để chuyển sang một thiết bị mới nếu tôi đã đăng ký 50 thông tin đăng nhập dành cho miền cụ thể trên thiết bị cũ của mình và sau đó có một thiết bị mới thiết bị. Không ai muốn thực hiện quá trình khôi phục tài khoản đối với 50 dịch vụ khác nhau để gắn lại thông tin đăng nhập FIDO mới ", Leddy giải thích.
FIDO khẳng định rằng mật khẩu sẽ giúp tránh hoàn toàn tình trạng này bằng cách đảm bảo rằng khi chúng tôi chuyển từ thiết bị này sang thiết bị khác, thông tin đăng nhập FIDO của chúng tôi đã ở đó chờ chúng tôi. Tất nhiên, bài báo chỉ mang tính khái niệm và Leddy cho rằng cơ chế như vậy dễ đề xuất hơn là thực hiện.
"Sẽ thật không may nếu các giải pháp mã khóa dành riêng cho nhà cung cấp để người tiêu dùng không thể chuyển đổi giữa các nhà sản xuất thiết bị hoặc thậm chí một bộ thiết bị không đồng nhất (MacBook và điện thoại Android)", Leddy cảnh báo.
Tuy nhiên, anh ấy tin tưởng rằng liên minh FIDO, bao gồm các đối thủ nặng ký như Apple, Meta, Google, PayPal, Wells Fargo, American Express và Bank of America, trong số các thành viên, sẽ đưa ra các giải pháp không ' không chỉ phổ biến mà còn được kiểm tra kỹ lưỡng để chống lại các cuộc tấn công.
FIDO tin rằng thông tin đăng nhập FIDO đa thiết bị sẽ trở thành cái đinh cuối cùng trong quan tài cho mật khẩu. Liên minh cho biết: "Bằng cách giới thiệu những khả năng mới này, chúng tôi hy vọng sẽ trao quyền cho các trang web và ứng dụng cung cấp tùy chọn không có mật khẩu thực sự từ đầu đến cuối; không yêu cầu mật khẩu hoặc mật mã dùng một lần (OTP)".