Du bliver ved med at høre de advarsler: brug unikke, stærke, komplekse og lange passwords til alle dine konti på nettet — og, selvfølgelig, så sørg for at du ikke glemmer dem.
Det er en bagatel for mange trussel aktører til at brute-force enkle og nemme-at-huske passwords, der er i konstant cirkulation, og som virksomheder nu ofte håndhæve stærk adgangskode politikker og to-faktor autentificering (2FA), password management kan være svært at holde op med uden hjælp af dedikeret password managers (nogle, som for nylig er blevet fundet til at være lidt mindre sikker end vi gerne ville have).
Hvad, hvis, så, passwords var helt fjernet, til fordel for noget andet?
På mandag på Mobile World Congress (MWC) i 2019 i Barcelona, Google og FIDO Alliance, der er skitseret, hvad en sådan kan fremtiden se ud for Android-brugere.
Sammen, de organisationer, der viste, at Android-styresystemet er nu FIDO2 certificeret, hvilket betyder at passwords kan en dag være helt udryddet i det mobile økosystem.
Den FIDO Alliance er en åben industry association, der fokuserer på at nedbringe vores afhængighed af adgangskoder. Består af virksomheder, herunder Amazon, Arm, Google, Intel, Lenovo og Microsoft, blandt mange andre, organisationen er også skaberen af specifikationer for forbedret godkendelse af standarder.
Blandt disse standarder er FIDO Universal Anden Faktor (FIDO U2F), FIDO Universel Godkendelse Ramme (FIDO UAF) og FIDO2, som gennemfører W3C ‘ s Web-Godkendelse (WebAuthn) specifikation og FIDO-Klient til at Authenticator-Protokollen (CTAP).
FIDO2-aktiverede enheder giver brugere mulighed for at logge ind på online-tjenester og apps via FIDO sikkerhed nøgler — som YubiKey — eller biometri, herunder fingerprint læsere og kameraer, som alle er støttet af kryptografiske sikkerhed.
Se også: Falsk Google-reCAPTCHA, der anvendes til at skjule Android malware bank
Dette kan ikke alene forhindre aflytning og Man-in-The-Middle (MiTM) angreb, men også at fjerne, hvad der er ofte et svagt punkt i online security service — muligheden for at passwords bliver brute-force angreb.
Nu, at Android er FIDO2 certificeret, hvilket baner vejen for, at over en milliard enheder til at gennemføre passwordless godkendelse standarder, så længe de er i drift på Android-version 7.0 eller nyere.
Android app og web-udviklere kan nu tilføje FIDO godkendelse til deres software via et API-kald, som virksomhederne siger, vil bringe “passwordless, phishing-resistente sikkerhed til en hastigt voksende base af brugere, som allerede har førende Android-enheder, og/eller vil opgradere til nye enheder i fremtiden.”
Det kunne være muligt, for eksempel at gennemføre en simpel sign-on i en browser-baseret service og potentielt udføre denne godkendelse har adgang til en ledsager Android mobile enhed uden behov for at validere en bruger flere gange.
TechRepublic: 5 arbejdsplads teknologier, der er årsag til de ansattes brud på datasikkerheden
“Google har længe arbejdet med FIDO Alliance og W3C at standardisere FIDO2 protokoller, som giver enhver ansøgning evnen til at bevæge sig ud over adgangskode for godkendelse, mens der tilbyder beskyttelse mod phishing-angreb,” sagde Christiaan Brand, Produkt Manager hos Google. “Dagens meddelelse af FIDO2 certificering til Android hjælper med at flytte dette initiativ, som giver vores partnere og udviklere en standardiseret måde at få adgang til sikker keystores på tværs af enheder, både i markedet allerede samt kommende modeller, med henblik på at skabe praktisk biometrisk kontrol for brugerne.”
Mens en række af browsere, herunder Google Chrome, Microsoft Kant, og Mozilla Firefox — med Apple ‘ s Safari browser, der er medtaget som et eksempel og en potentiel fremtidig udrulning — allerede støtte det system, skift til en mobile økosystem, som henvender sig til brugere i de milliarder, der repræsenterer, hvad der kunne være en radikal ændring for, hvad vi anser for grundlæggende online sikkerhed.
CNET: Microsoft siger, at russiske hackere målrettet Europæiske forskere
Med så mange af os bruger stadig frygtelig nem at knække adgangskoder og automatiserede hacking værktøjer, der gør brute-force-angreb på en leg, passwordless, stærk autentifikation, hvilket er afhængig af ægthed stikord, som kan være langt vanskeligere at bryde, kan kun være en fordel for brugere, der er online. Det er ganske enkelt stadig uvist, hvor mange udviklere vedtage standarden.
Tidligere og relaterede dækning
Disse ondsindede Android-apps, som vil kun ramme, når du flytter din smartphone
Tusindvis af Android-apps løbende registrering af din online aktivitet for annoncemålretning
Nu er denne Android-spyware udgør en fred værktøj til at narre dig til at downloade
Relaterede Emner:
MWC
Sikkerhed-TV
Data Management
CXO
Datacentre