Ponsel Anda mungkin akan segera mengganti banyak kata sandi Anda – Krebs on Security

apelDan Google Dan Microsoft Mereka mengumumkan minggu ini bahwa mereka akan segera mendukung pendekatan otentikasi yang menghindari kata sandi sepenuhnya, dan sebaliknya mengharuskan pengguna untuk hanya membuka kunci ponsel cerdas mereka untuk masuk ke situs web atau layanan online. Para ahli mengatakan perubahan akan membantu mengalahkan banyak jenis serangan phishing dan meringankan beban kata sandi secara keseluruhan pada pengguna Internet, tetapi mereka mengingatkan bahwa masa depan yang sebenarnya tanpa kata sandi mungkin masih jauh dari kebanyakan situs web.

Raksasa teknologi adalah bagian dari upaya yang dipimpin industri untuk mengganti kata sandi, yang mudah dilupakan, sering dicuri oleh malware dan skema phishing, atau bocor dan dijual secara online setelah pelanggaran data perusahaan.

Apple, Google dan Microsoft adalah beberapa kontributor paling aktif untuk standar login tanpa kata sandi yang ditetapkan oleh aliansi FIDO (“Fast Identity Online”) dan Konsorsium World Wide Web (W3C), grup yang telah bekerja dengan ratusan perusahaan teknologi selama dekade terakhir untuk mengembangkan standar login baru yang berfungsi sama di berbagai browser dan sistem operasi.

Menurut Aliansi FIDO, pengguna akan dapat masuk ke situs web melalui prosedur yang sama yang mereka lakukan beberapa kali setiap hari untuk membuka kunci perangkat mereka – termasuk PIN perangkat, atau biometrik seperti sidik jari atau pemindaian wajah.

“Pendekatan baru ini melindungi dari phishing dan akan membuat login secara radikal lebih aman dibandingkan dengan kata sandi dan teknologi multifaktor lama seperti kode sandi satu kali yang dikirim melalui SMS,” tulis koalisi tersebut pada 5 Mei.

Sampath SrinivasDi bawah sistem baru, ponsel Anda akan menyimpan kredensial FIDO yang disebut “kunci sandi” yang digunakan untuk membuka akun online Anda, kata direktur otentikasi keamanan Google dan kepala FIDO Alliance.

“Kunci sandi membuat login lebih aman, karena didasarkan pada kriptografi kunci publik dan hanya terlihat oleh akun online Anda saat Anda membuka kunci ponsel,” tulis Srinivas. “Untuk masuk ke situs web di PC, Anda hanya perlu ponsel di dekat Anda dan Anda hanya perlu membuka kuncinya untuk mengaksesnya. Setelah melakukannya, Anda tidak akan memerlukan ponsel lagi dan Anda dapat masuk setelah membuka kuncinya. komputer Anda.”

Suka ZDNet CatatanApple, Google, dan Microsoft telah mendukung standar tanpa kata sandi ini (seperti “Masuk dengan Google”), tetapi pengguna harus masuk di setiap situs web untuk menggunakan fungsionalitas tanpa kata sandi. Di bawah sistem baru ini, pengguna akan dapat mengakses kunci sandi mereka secara otomatis di banyak perangkat mereka – tanpa harus mendaftarkan ulang setiap akun – dan menggunakan perangkat seluler mereka untuk masuk ke aplikasi atau situs web di perangkat terdekat.

Johannes UlrichDekan mencari Institut Teknologi SansPengumuman itu disebut “sejauh ini upaya paling menjanjikan untuk memecahkan tantangan otentikasi”.

“Bagian terpenting dari standar ini adalah tidak mengharuskan pengguna untuk membeli perangkat baru, tetapi dapat menggunakan perangkat yang sudah mereka miliki dan tahu cara menggunakannya sebagai autentikator,” kata Ulrich.

Steve BellovinProfesor Ilmu Komputer di Universitas Columbia dan Internet Awal Peneliti dan perintismenggambarkan upaya tanpa kata sandi sebagai “kemajuan luar biasa” dalam otentikasi, tetapi mengatakan akan memakan waktu terlalu lama bagi banyak situs web untuk mengejar ketinggalan.

Salah satu skenario yang berpotensi rumit dalam sistem otentikasi tanpa kata sandi yang baru adalah apa yang terjadi ketika seseorang kehilangan perangkat seluler mereka, atau telepon mereka rusak dan tidak dapat mengingat kata sandi iCloud mereka, kata Belovin dan yang lainnya.

“Saya khawatir tentang orang-orang yang tidak dapat membeli perangkat tambahan, atau tidak dapat dengan mudah mengganti perangkat yang rusak atau dicuri,” kata Belovin. “Saya khawatir tentang memulihkan kata sandi yang terlupakan untuk akun cloud.”

Google Mengatakan Bahwa bahkan jika Anda kehilangan ponsel Anda, “kunci sandi Anda akan disinkronkan dengan aman ke ponsel baru Anda dari cadangan cloud Anda, memungkinkan Anda untuk melanjutkan di mana perangkat lama Anda tinggalkan.”

Apple dan Microsoft juga memiliki solusi pencadangan cloud yang dapat digunakan oleh pelanggan yang menggunakan platform ini untuk memulihkan dari perangkat seluler yang hilang. Tetapi Belovin mengatakan banyak tergantung pada seberapa aman sistem cloud ini dikelola.

“Seberapa mudah menambahkan kunci publik perangkat lain ke akun tanpa izin?” tanya Belovin. “Saya pikir protokol mereka membuat itu tidak mungkin, tetapi yang lain tidak setuju dengan itu.”

Nicholas WeaverDosen di Departemen Ilmu Komputer at Universitas California, BerkeleyDia mengatakan situs web masih harus memiliki beberapa mekanisme pemulihan untuk skenario “Anda kehilangan ponsel dan kata sandi Anda”, yang dia gambarkan sebagai “masalah yang sangat sulit untuk dilakukan dengan aman dan itu benar-benar salah satu kelemahan terbesar dalam sistem kami saat ini.”

“Jika Anda lupa kata sandi dan kehilangan ponsel dan berhasil mendapatkannya kembali, itu adalah target besar bagi penyerang,” kata Weaver dalam email. “Jika Anda lupa kata sandi Anda dan kehilangan ponsel Anda dan Anda tidak bisa, nah sekarang Anda kehilangan kode otorisasi yang digunakan untuk masuk. Seharusnya yang terakhir. Apple memiliki infrastruktur untuk mendukungnya (rantai kunci iCloud), tapi itu tidak jelas apakah Google melakukannya.”

Namun, katanya, pendekatan umum FIDO adalah alat yang hebat untuk meningkatkan keamanan dan kegunaan.

“Ini benar-benar langkah maju yang bagus, dan saya senang melihatnya,” kata Weaver. “Memanfaatkan otentikasi ponsel yang kuat dari pemilik ponsel (jika Anda memiliki kode sandi yang layak) cukup keren. Dan setidaknya untuk iPhone, Anda dapat membuatnya kuat bahkan untuk kompromi ponsel, karena brankas saku yang akan menangani ini dan keamanannya. pocket tidak mempercayai OS tuan rumah.”

Raksasa teknologi mengatakan kemampuan tanpa kata sandi baru akan diaktifkan di seluruh platform Apple, Google dan Microsoft “selama tahun depan.” Tetapi para ahli mengatakan kemungkinan akan memakan waktu beberapa tahun lagi untuk tujuan web yang lebih kecil untuk mengadopsi teknologi dan melepaskan kata sandi sepenuhnya.

Penelitian terbaru menunjukkan bahwa terlalu banyak orang yang masih menggunakan kembali atau menggunakan kembali kata sandi (sedikit mengubah kata sandi yang sama), menghadirkan risiko pengambilalihan akun ketika kredensial tersebut akhirnya terungkap dalam pelanggaran data. sebuah Laporan Pada bulan Maret dari sebuah perusahaan keamanan siber SpyCloud Ditemukan 64 persen pengguna menggunakan kembali kata sandi untuk banyak akun, dan 70 persen kredensial yang dikompromikan dalam pelanggaran sebelumnya masih digunakan.

Dokumen putih tersedia pada Maret 2022 tentang pendekatan FIDO di sini (PDF). Ada pertanyaan dan jawaban untuk itu di sini.