Acasă Securitywatch Rsac: yubico și alianța fido promit încetarea parolelor

Rsac: yubico și alianța fido promit încetarea parolelor

Video: How FIDO2 and WebAuthn Stop Account Takeovers (Noiembrie 2024)

Video: How FIDO2 and WebAuthn Stop Account Takeovers (Noiembrie 2024)
Anonim

Yubico a introdus dispozitivul de autentificare hardware Yubikey în 2008, dar la vremea respectivă nu exista prea mult consumatorul mediu, cu excepția conectării la LastPass. Compania a crescut puternic din acel moment și va oferi în curând o tehnică unică de autentificare „factor secund” unic. În cadrul Conferinței RSA de la San Francisco, CEO-ul Yubico și fondatoarea Stina Ehrensvärd au împărtășit cu entuziasm ceea ce vine de la Yubico.

"Am vrut să aducem tehnologia de autentificare a cardurilor inteligente pe piața consumatorilor de masă, dar eliminând driverele, middleware-ul… ceva care are o siguranță la fel de bună ca o carte inteligentă fără complexitate", a spus ea. "Am inițiat acest proiect cu Google, iar acum este folosit în Google."

Conexiune FIDO

Alianța FIDO (Fast IDentity Online) include câțiva jucători uriași, printre care Microsoft, Mastercard, PayPal, Bank of America și multe altele. „Am combinat eforturile noastre cu FIDO”, a spus Ehrensvärd. "Rezultatul este FIDO Universal Second Factor, sau U2F, implementat în dispozitivul nostru Yubikey Neo. Problema cu Yubikeys și alte dispozitive de securitate hardware existente este că aveți un dispozitiv pentru fiecare serviciu. Puteți utiliza un telefon și puteți avea mai multe aplicații de securitate pentru servicii diferite, dar telefoanele pot fi hackate."

"Cu un dispozitiv U2F, puteți avea un dispozitiv pentru servicii nelimitate ", a spus ea. "Întotdeauna am dorit asta. De fapt, numele companiei Yubico provine de la cuvântul" omniprezent "."

Autentificare simplă

Când înregistrați un Yubikey Neo pe un site web de asistență, generează o pereche de chei publice / private unice. Pentru smartphone-urile Android, se conectează prin NFC; pentru PC-uri și Mac-uri, prin USB. (Suportul pentru iOS este în funcțiune, dar Ehrensvärd nu a fost liber să discute detalii). Introduceți codul PIN, dacă este necesar, atingeți dispozitivul și vă autentifică.

"Lucrul important", a spus Ehrensvärd, este că dispozitivul interacționează direct cu fiecare site. Nu există spațiu de stocare terț care ar putea fi hacked. Nu este nevoie de cititor special ca în cazul unui card de credit cu cip și PIN."

"Yubikey Neo nu va fi disponibil publicului până la sfârșitul acestui an", a spus ea, "dar mai mulți parteneri mari îl folosesc deja intern, pentru personalul lor. Funcționează foarte bine. Este ca o carte inteligentă fără șofer".

Confidențialitate, Prea

„Oamenii sunt din ce în ce mai conștienți de problemele de confidențialitate, în parte din cauza revelațiilor NSA”, a spus Ehrensvärd. "Cu U2F, utilizatorii preiau controlul identității lor. Își pot achiziționa dispozitivul securizat în multe locuri; noi suntem primii, dar vor exista și alții. Apoi îl folosești pentru a autentifica fără a da detalii despre identitatea ta. Este sigur, dar anonim. Nu este deținut sau controlat de guvern, de bancă sau de cloud. Este o identitate deținută de utilizator."

„Acest lucru este perturbator!”, A continuat ea. "Băncile și întreprinderile nu trebuie să o împingă. Utilizatorul va dori să o cumpere. Nu vor trebui să se îngrijoreze de parole. Oh, este complementar managerilor de parole, dar în cele din urmă este posibil să nu ai nevoie nici măcar de un administrator de parole."

Implementare gratuită și ușoară

„Furnizorii de servicii pot suporta cu ușurință U2F folosind componente gratuite, open source”, a explicat Ehrensvärd. "Sau pot plăti pentru a-l configura pentru ei. Viziunea mea a fost să ajung aici, să realizez care este acum FIDO U2F. Mulți vânzători de dispozitive pot concura și coexista."

"Dacă standardele sunt blocate la un singur furnizor, acesta poate fi costisitor", a spus ea. "Spunem că tehnologia este gratuită. Singurul care trebuie să plătească este utilizatorul și este un cost unic. O vom lansa la sfârșitul acestui an. Este util că atât de multe nume mari sunt deja în Alianța FIDO, deoarece pentru ca dispozitivul să fie util, aveți nevoie de multe site-uri care îl acceptă pentru marea implementare."

Aproape toată lumea este de acord că parolele sunt o durere. Soluțiile biometrice, de la amprentă la bătăile inimii până la analiza globului ocular sunt cu mult mai complexe decât soluția propusă de Yubico. Iar lucrurile darnice sunt durabile; Mi-am purtat brelocul de cinci ani. Aceasta este doar invenția care vrăjește sfârșitul parolelor stupide.

Rsac: yubico și alianța fido promit încetarea parolelor