Microsoft, Apple und Google verstärken den Vorstoß zur Abschaffung von Passwörtern • The Register

Analyse Microsoft, Apple und Google – alles langjährige Befürworter der Abschaffung von Passwörtern für Authentifizierungszwecke – setzen sich für Standards ein, die von der FIDO Alliance und dem World Wide Web Consortium (W3C) entwickelt wurden und Passphrasen vollständig eliminieren könnten.

Irgendwann in diesem Jahr oder Anfang 2023 werden die drei US-Giganten diese Standards implementieren, damit sich die Leute bei Onlinediensten und Apps mit vertrauten passwortlosen Authentifizierungsmethoden anmelden können, wie z. B. der Geräte-PIN oder Fingerabdrücken oder Gesichtsscans, die sie zum Entsperren verwenden ihre Geräte, gab die FIDO – kurz für Fast Identity Online – Alliance am Donnerstag bekannt.

Man hofft, dass dies zu einer konsistenten und einfach zu verwaltenden plattformübergreifenden Authentifizierung für Software und Websites führen wird, bei der keine Kennwörter abgerufen werden müssen.

Microsoft, Apple und Google gehören zu Hunderten von Technologieunternehmen und Dienstanbietern, die mit FIDO und W3C zusammengearbeitet haben, um diese passphrasenfreien Anmeldestandards zu entwickeln. Die Unterstützung durch solche hochkarätigen Technologieunternehmen und das Versprechen, diese neu entwickelten Fähigkeiten einzuführen, werden hoffentlich ihre Einführung beschleunigen, entsprechend Andrew Shikiar, Executive Director und CMO der FIDO Alliance.

„Diese neue Funktion wird neben der laufenden und wachsenden Verwendung von Sicherheitsschlüsseln eine neue Welle von reibungsarmen FIDO-Implementierungen einleiten und Dienstanbietern eine vollständige Palette von Optionen für den Einsatz moderner, Phishing-resistenter Authentifizierung bieten“, sagte Shikiar.

Passwörter sind ein anhaltendes Sicherheitsproblem, insbesondere im Zuge der COVID-19-Pandemie und der daraus resultierenden Umstellung auf eine Konstellation von Remote-Diensten sowie hybriden Arbeitsplänen. Microsoft glaubt, dass jede Sekunde 579 Angriffe mit Kennwörtern stattfinden, oder ungefähr 18 Milliarden pro Jahrund viele von ihnen sind erfolgreich, hauptsächlich weil Menschen dazu neigen, schlechte Passwörter auszuwählen oder sie für mehrere Konten wiederzuverwenden.

In einem Bericht Anfang März stellten Forscher des Cybersicherheitsanbieters SpyCloud fest, dass die Benutzer dies weiterhin taten dieselben Passwörter verwenden für mehrere Konten sowie schwache oder gemeinsame Passwörter. SpyClouds Prüfbericht fanden heraus, dass 64 Prozent der Benutzer Passwörter für mehr als ein Konto wiederholen und 70 Prozent der Passwörter, die in der Vergangenheit kompromittiert wurden, immer noch verwendet werden.

Die Knochen von FIDO

FIDO drängt seit zehn Jahren auf die Einführung passwortloser Methoden durch Technologien wie USB-Hardwareschlüssel und – mit W3C – die WebAuthn-Sicherheitsspezifikation. Im März die beiden Gruppen enthüllt eine andere Version von WebAuthn.

Und so wurde uns jetzt gesagt, dass die Leute hinter Office und Azure, iPhones und iCloud und Chrome und Gmail Funktionen implementieren werden, die von FIDO und W3C neu standardisiert wurden und die die Verwendung von Anmeldemethoden ohne Passwort einfacher machen sollten, unabhängig von Betriebssystem und Plattform. einschließlich der Möglichkeit für Benutzer, automatisch auf ihre FIDO-Anmeldeinformationen – auch als „Passkeys“ bekannt – auf ihren Geräten zuzugreifen, ohne jedes Konto neu registrieren zu müssen. Außerdem sollten Benutzer in der Lage sein, die FIDO-Authentifizierung auf ihren Mobilgeräten zu verwenden, um sich bei einer Website oder Anwendung auf einem Computer in der Nähe anzumelden, unabhängig davon, welches Betriebssystem oder welcher Browser sie verwenden.

„Der vollständige Übergang zu einer passwortlosen Welt wird damit beginnen, dass die Verbraucher dies zu einem natürlichen Teil ihres Lebens machen“, sagte Alex Simons, Corporate Vice President for Identity Program Management bei Microsoft, über die neuesten von FIDO und W3C unterstützten Funktionen. „Jede praktikable Lösung muss sicherer, einfacher und schneller sein als die heute verwendeten Passwörter und veralteten Multi-Faktor-Authentifizierungsmethoden.“

Die Verwendung von Passwörtern wird nicht viel besser, sagte Craig Lurey, Mitbegründer und CTO der Cybersicherheitsfirma Keeper Security Das Register Die Abhängigkeit von Unternehmen und Verbrauchern von Passwörtern wachse schneller, was zum großen Teil auf die Umstellung auf Remote-Arbeit und die Nutzung von Cloud-Diensten zurückzuführen sei, sagte er. Darüber hinaus stellte Lurey fest, dass FIDO trotz all seiner Arbeit „nicht auf die Notwendigkeit eingeht, Benutzerdaten in einer Zero-Knowledge- und Zero-Trust-Umgebung zu verschlüsseln“.

Microsoft hat sich besonders für die Abschaffung von Passwörtern ausgesprochen und im September 2021 erklärt, dass Benutzer Passwörter aus ihren Microsoft-Konten entfernen können, indem sie stattdessen die Microsoft Authenticator-App, Windows Hello, einen Sicherheitsschlüssel oder einen an ihr Mobiltelefon gesendeten Bestätigungscode verwenden oder E-Mail.

Mark Risher, Senior Director of Product Management bei Google, sagte, die Zusammenarbeit der Anbieter mit FIDO und W3C sei „ein Beweis für die branchenweite Zusammenarbeit, um den Schutz zu erhöhen und veraltete passwortbasierte Authentifizierung zu beseitigen“.

Das lange Spiel spielen

Der Schlüssel zur zunehmenden Einführung passwortloser Techniken beginnt beim Gerät, wo Microsoft, Apple und Google dominieren und bereits Authentifizierungsmechanismen implementiert haben, sagte Garret Grajek, CEO des Cybersicherheitsunternehmens YouAttest Das Register.

„Die Verantwortung liegt dann auf der Sicherheit dieser Faktoren bei den großen Drei und dann auf der Sicherheit und Implementierung des SSO von diesen Geräten bis zu den fliegenden Parteien – andere Web-, Mobil- und On-Premises-Anwendungen“, sagte Grajek. „Angesichts der Probleme, die wir mit Lieferketten-Hacks und anderen Hacks haben, ist es nicht unvorhersehbar, dass weitere Hacks in diesem Bereich stattfinden werden.“

Die passwortlose Ein-Faktor-Anmeldung hat zu viele funktionale, logistische und Sicherheitsprobleme, um über Nacht zur Norm zu werden

Lurey von Keeper Security sagte, es werde eine Reihe von Schritten unternehmen – von Anbietern, die Technologien wie die Multi-Faktor-Authentifizierung in ihre Websites und Anwendungen einbauen, bis hin zu Benutzern, die nicht nur über die Technologie aufgeklärt werden und ihr vertrauen, sondern sich auch auf ihre mobilen Geräte verlassen – bevor die Einführung beschleunigt wird .

„Wir werden noch mindestens ein Jahrzehnt lang Passwörter verwenden“, sagte er. „Die passwortlose Ein-Faktor-Anmeldung hat zu viele funktionale, logistische und Sicherheitsprobleme, um über Nacht zur Norm zu werden.“

John Gunn, CEO des Authentifizierungsanbieters Token, sagte Das Register dass „der World Password Day dem National Running with Scissors Day ähnelt. Beide Aktivitäten sind von Natur aus unsicher, wobei letzterer laut statistischer Analyse deutlich sicherer ist.

„Die Sicherheit von Passwörtern, oder deren Fehlen, hat sich in den 61 Jahren, seit sie zum ersten Mal implementiert wurden, nur geringfügig verbessert. Es ist an der Zeit, dass wir uns gemeinsam … dazu verpflichten, Passwörter vollständig abzuschaffen.“ ®

Leave a Reply

Your email address will not be published.