Domov Securitywatch Rsac: Yubico a aliancia fido sľubujú koniec hesiel

Rsac: Yubico a aliancia fido sľubujú koniec hesiel

Video: Passwordless: FIDO2 Security Key Sign-In for Windows & Apps (November 2024)

Video: Passwordless: FIDO2 Security Key Sign-In for Windows & Apps (November 2024)
Anonim

Spoločnosť Yubico predstavila hardvérové ​​autentifikačné zariadenie Yubikey v roku 2008, ale v tom čase ho priemerný spotrebiteľ nemohol používať, okrem prihlásenia sa na server LastPass. Spoločnosť sa od tej doby rozrástla a čoskoro ponúkne jedinečnú autentifikačnú techniku ​​„univerzálneho druhého faktora“. Na konferencii RSA v San Franciscu nadácie Yubico a zakladateľka Stina Ehrensvärd nadšene zdieľali to, čo pochádza z Yubica.

„Chceli sme priniesť technológiu autentifikácie čipových kariet na masový spotrebiteľský trh, ale odstránili sme ovládače, middleware… niečo, čo má rovnako dobrú bezpečnosť ako čipová karta bez zložitosti, “ uviedla. „Tento projekt sme iniciovali so spoločnosťou Google a teraz sa používa v sieti Google.“

Pripojenie FIDO

Aliancia FIDO (Fast IDentity Online) zahŕňa niekoľko veľkých hráčov, medzi nimi Microsoft, Mastercard, PayPal, Bank of America a mnoho ďalších. „Naše úsilie sme spojili s FIDO, “ uviedol Ehrensvärd. „Výsledkom je FIDO Universal Second Factor alebo U2F implementovaný do nášho zariadenia Yubikey Neo. Problémom s existujúcimi zariadeniami Yubikeys a inými hardvérovými bezpečnostnými zariadeniami je, že pre každú službu máte jedno zariadenie. Môžete použiť telefón a mať viac bezpečnostných aplikácií na rôzne služby, ale telefóny môžu byť hacknuté. ““

„So zariadením U2F môžete mať jedno zariadenie pre neobmedzené služby, “ uviedla. „Vždy som to chcel. V skutočnosti názov spoločnosti Yubico pochádza zo slova„ všadeprítomný “.“

Jednoduché overenie

Keď zaregistrujete Yubikey Neo na podpornej webovej stránke, vygeneruje jedinečný pár verejných / súkromných kľúčov. V prípade smartfónov s Androidom sa pripája cez NFC; pre PC a Mac, cez USB. (Podpora pre iOS je v práci, ale Ehrensvärd nemal slobodu diskutovať o podrobnostiach). V prípade potreby zadajte kód PIN, dotknite sa zariadenia a overí vás.

„Dôležité je, “ povedal Ehrensvärd, „je to, že zariadenie interaguje priamo s každým webom. Neexistuje žiadne úložisko tretej strany, ktoré by mohlo byť napadnuté hackerom. Rovnako nie je potrebný žiadny špeciálny čítač ako s čipovou a PIN kreditnou kartou.“

„Yubikey Neo nebude dostupná verejnosti až neskôr v tomto roku, “ povedala, „ale niekoľko veľkých partnerov ju už používa interne pre svojich zamestnancov. Funguje to naozaj dobre. Je to ako inteligentná karta bez vodiča.“

Ochrana osobných údajov, príliš

„Ľudia si čoraz viac uvedomujú otázky ochrany osobných údajov, čiastočne aj vďaka odhaleniam NSA, “ uviedol Ehrensvärd. „S U2F majú užívatelia kontrolu nad svojou identitou. Svoje zabezpečené zariadenie si môžu kúpiť na mnohých miestach; sme prví, ale budú aj iní. Potom ho použite na autentifikáciu bez toho, aby ste poskytli podrobnosti o svojej totožnosti. Je to bezpečné, ale anonymné. Nie je vo vlastníctve ani pod kontrolou vlády, banky ani cloudu. Je to identita vlastnená používateľom. ““

„To je ničivé!“ Pokračovala. „Banky a podniky to nemusia tlačiť. Užívateľ si to bude chcieť kúpiť. Nebudú sa musieť starať o heslá. Och, je to doplnok k správcom hesiel, ale nakoniec ho možno ani nebudete potrebovať.“

Zadarmo, ľahká implementácia

„Poskytovatelia služieb môžu ľahko podporovať U2F pomocou bezplatných komponentov s otvoreným zdrojom, “ vysvetlil Ehrensvärd. „Alebo môžu zaplatiť, aby to pre nich boli pripravené. Mojou víziou bolo dostať sa sem, uvedomiť si, čo je teraz FIDO U2F. Mnoho predajcov zariadení môže súťažiť a koexistovať.“

„Ak sú normy uzamknuté u jedného dodávateľa, môže to byť nákladné, “ povedala. „Hovoríme, že táto technológia je bezplatná. Jediný, kto musí zaplatiť, je užívateľ a je to jednorazová cena. Rozbehneme ju koncom tohto roka. Je užitočné, že v FIDO Alliance je už toľko veľkých mien, pretože na to, aby bolo zariadenie užitočné, potrebujete pre veľké nasadenie veľa stránok, ktoré ho podporujú. ““

Takmer všetci súhlasia, že heslá sú bolesť. Biometrické riešenia od analýzy odtlačkov prstov po srdcový rytmus až po analýzu očnej gule sú oveľa komplexnejšie ako riešenie spoločnosti Yubico. A tie zatracené veci sú trvalé; Svoj kľúčenku som nosil päť rokov. To je len vynález, ktorý hláskuje koniec hlúpeho hesla.

Rsac: Yubico a aliancia fido sľubujú koniec hesiel