Apple, Google, dan Microsoft ingin mengakhiri kata sandi dengan standar ‘Kunci Sandi’

Rupanya Kamis pertama bulan Mei adalah “Hari Kata Sandi Sedunia” dan dirayakan apelDan GoogleMicrosoft meluncurkanusaha bersama“Untuk mematikan kata sandi. Vendor sistem operasi utama” ingin memperluas dukungan untuk standar login tanpa kata sandi pelanggan yang dibuat oleh FIDO Alliance dan World Wide Web Consortium. “

Standar ini disebut “kredensial multi-perangkat FIDO” atau hanya “kunci sandi”. Alih-alih rangkaian karakter yang panjang, sistem baru ini akan berisi aplikasi atau situs web yang Anda masuki untuk mengirim permintaan ke ponsel Anda untuk autentikasi. Dari sana, Anda harus membuka kunci ponsel, mengautentikasi dengan semacam PIN atau biometrik, dan kemudian Anda siap. Ini terdengar seperti sistem yang akrab bagi siapa saja dengan otentikasi dua faktor berbasis telepon, tetapi ini adalah penggantian kata sandi daripada faktor tambahan.

Grafik interaksi pengguna yang disediakan:

Beberapa sistem pembayaran 2FA bekerja secara online, tetapi skema FIDO baru bekerja melalui Bluetooth. Seperti yang dijelaskan oleh buku putih, “Teknologi Bluetooth membutuhkan kedekatan fisik, yang berarti kami sekarang memiliki cara tahan phishing untuk memanfaatkan ponsel pengguna selama otentikasi.” Bluetooth memiliki reputasi yang buruk untuk kompatibilitas, dan saya tidak yakin bahwa “keamanan” pernah menjadi perhatian nyata, tetapi FIDO Alliance mencatat bahwa Bluetooth hanya untuk “verifikasi kedekatan fisik” dan bahwa proses login yang sebenarnya “tidak bergantung pada Properti keamanan Bluetooth Tentu saja, ini berarti bahwa kedua perangkat akan membutuhkan Bluetooth on board, yang diberikan untuk sebagian besar ponsel cerdas dan laptop, tetapi dapat menjadi permintaan yang sulit untuk komputer desktop yang lebih lama.

Mirip dengan bagaimana pengelola kata sandi dapat menyatukan login Anda di bawah satu kata sandi, kunci sandi Anda dapat dicadangkan oleh beberapa pemilik platform besar seperti Apple atau Google. Ini akan memungkinkan Anda untuk dengan mudah membawa kredensial Anda ke perangkat baru, mencegah Anda kehilangannya, dan mempermudah sinkronisasi kunci sandi di seluruh perangkat. Jika Anda kehilangan perangkat, Anda masih dapat memulihkan akun Anda dengan masuk (uh – dengan kata sandi?) ke akun pemilik platform besar. Mungkin juga merupakan ide yang baik untuk menyiapkan lebih dari satu perangkat sebagai autentikator.

Perusahaan telah mencoba untuk beroperasi “tanpa kata sandi” selama bertahun-tahun, tetapi sulit untuk mencapainya. Google punya Jadwal penuh Dalam posting blog dari tahun 2008. Kata sandi berfungsi dengan baik jika panjang, acak, rahasia, dan unik, tetapi elemen kata sandi manusia selalu menjadi masalah. Kami tidak pandai menghafal string karakter yang panjang dan acak. Sangat menggoda untuk mengetik atau menggunakan kembali kata sandi, dan skema phishing mencoba menipu Anda agar memberikan kata sandi Anda kepada pihak ketiga. Ketika pelanggaran keamanan terjadi, pasangan nama pengguna dan kata sandi mudah dibagikan, dan ada banyak basis data kredensial yang diretas.

“Kemampuan baru ini diharapkan akan tersedia di seluruh platform Apple, Google dan Microsoft selama tahun depan,” kata posting blog FIDO. Apple, yang tampaknya telah memulai seluruh tren “kunci sandi”, sudah memiliki sistem yang berfungsi di iOS 15 dan macOS Monterey, tetapi tidak cocok Dengan platform lain sejauh ini. Google sudah mendukung kunci sandi terlihat Itu ada di Layanan Play di Android, jadi itu harus didukung dengan cepat oleh perangkat Android lama setelah siap.

Gambar daftar oleh FIDO Alliance