Addio password: Android è ora FIDO2 certificata
FIDO2 certificazione, apre la strada senza password di sicurezza mobile. Leggi di più: https://zd.net/2VoiT0R
Firefox-maker Mozilla vorrei passare al nuovo WebAuthn standard per la più sicura e semplice sito web, account di accesso. Ma invece il browser maker ha deciso di fare un passo indietro e consentire un’eredità secure login standard – WebAuthn predecessore, FIDO U2F.
Il motivo? Google Account non ancora pienamente supporto WebAuthn perché milioni di dispositivi Android attualmente in uso non può mai sostenere.
WebAuthn è stata ratificata soltanto il mese scorso, ma è già supportato da Google Chrome, Microsoft Bordo, Firefox, e la versione di anteprima di Safari di Apple, Android e Windows 10.
La norma consente agli utenti di accedere a un sito web utilizzando biometrici Id, come un’impronta digitale o faccia una scansione del memorizzati su un PC o smartphone.
WebAuthn è il successore del FIDO U2F API, che consente agli utenti di accedere all’Account Google e altri siti con un fisico chiave di protezione, come un Yubikey. L’industria di tecnologia ampiamente vorrei vedere il più recente standard adottato il più velocemente possibile per ottenere fuori terra.
Come Mozilla crittografo JC Jones spiega, WebAuthn è “la nostra migliore risposta tecnica credenziali di phishing”.
“Ecco perché abbiamo difeso come una tecnologia”, ha scritto in un post che spiega perché Mozilla sta per aggiungere la compatibilità per FIDO U2F API in Firefox, anche se è obsoleta, standard legacy con più limitate opzioni di accesso.
“Incoraggiamo l’adozione di Autenticazione Web piuttosto che il FIDO U2F API. Tuttavia, alcune grandi proprietà web stanno incontrando difficoltà di migrazione: WebAuthn opere con le credenziali di sicurezza prodotto dal FIDO U2F API”, ha scritto Jones.
“Tuttavia, WebAuthn-prodotto credenziali possono essere utilizzati con il FIDO U2F API. Per i soggetti interessati, questo potrebbe portare ad una scarsa esperienza dell’utente e inibire la generale adozione di questa tecnologia critica.”
Quelle grandi proprietà web sono siti di Google, come Gmail che miliardi di utenti di accedere tramite Account Google, che attualmente non supporta la registrazione di chiavi di sicurezza creato con WebAuthn.
VEDI: Come costruire un successo la carriera di sviluppatore (free PDF)
Jones spiega su Mozilla mailing list che l’ostacolo chiave sta nel gran numero di dispositivi Android che non possono essere aggiornati con WebAuthn la chiave di sicurezza di supporto.
“Di recente abbiamo appreso che Google Account è scivolato il loro programma per l’uso di Autenticazione Web per registrare le nuove credenziali. Questo ritardo è attribuita a chiave di sicurezza di supporto su Android, per la maggior parte dei dispositivi, non aggiornabile,” il crittografo scritto.
“WebAuthn è compatibile con le credenziali prodotto dal FIDO U2F API. Tuttavia, WebAuthn-prodotto credenziali possono essere utilizzati con il FIDO U2F API. A causa di ciò, le credenziali create utilizzando WebAuthn non sarà mai utilizzabile sulla maggior parte di FIDO U2F solo dispositivi Android attualmente in circolazione.”
Firefox ha avuto il supporto sperimentale per FIDO U2F API dato che Firefox 57, pubblicato nel novembre del 2017. Tuttavia, a causa di Android e Google Account WebAuthn problema, FIDO U2F sarà attivata per impostazione predefinita per tutti gli utenti di Firefox, a partire Firefox Nightly 68 e Firefox 67 beta, che uscirà la prossima settimana.
La mossa segue il dibattito tra gli sviluppatori di Mozilla tutto il mese di Marzo di chi è la colpa, e che il partito dovrebbe risolvere il problema.
Mozilla vede Account Google come fondamentale per permettere gli utenti di Firefox di firmare con il WebAuthn, perché a G Suite e gli utenti di Gmail sono la più grande popolazione di utenti che si affidano le chiavi di sicurezza per accedere. Ma Jones osserva inoltre che Mozilla supporto per FIDO U2F lascia in balia di Google a decidere quando, per supportare il nuovo standard.
“Sembra che l’unico modo per ottenere gli utenti di Firefox di Google Account pienamente in grado di utilizzare le chiavi di sicurezza è quello di attivare FIDO U2F supporto API in modo che gli utenti possono iscriversi via FIDO U2F API, e quindi eseguire l’autenticazione via … beh, neanche. Possiamo avere fiducia che Google lancerà l’autenticazione via WebAuthn in fretta per il bene della norma di andare avanti”.
Come la colpa girato a Google, Alexei Czeskis da parte di Google e di identità di team di sicurezza pesato per spiegare che non è possibile passare alla WebAuthn fino abbastanza vecchi dispositivi Android spostare fuori circolazione.
Czeskis disse tenendo fuori sulla WebAuthn ha niente a che fare con il livello di motivazione, che è “alta”.
“Questo ha a che fare con l’OEM bruciato-in e immagini su dispositivi Android che hanno già spediti e il ciclo di vita di questi dispositivi in campo. Senza entrare in troppi dettagli, per non bloccare gli utenti dei loro dispositivi, non si può passare U2F registro di WebAuthn create() fino a quando non c’è sufficiente sfornare in dispositivi Android. Ci si può aspettare WebAuthn get() per molto, molto prima, che non è coinvolto”, ha detto.
“Ancora una volta, questo è solo accadendo a causa di come il codice che aggiunge conti è bruciato in alcuni dispositivi. Non ci sono altri siti, che io sappia, che si trovano in una simile situazione sfortunata. E quindi spero (e credo fortemente) che questa mossa non sarebbe incoraggiare più usi di U2F (oltre WebAuthn).”
Mozilla Jones ha notato che la sua organizzazione non indirizzo incompleto parti di Firefox attuazione del FIDO U2F.
“Con l’aumento dell’utilizzo di biometrico meccanismi come il riconoscimento del volto e impronte in dispositivi, ci stiamo concentrando il nostro supporto su WebAuthn. Esso fornisce un livello sofisticato di programmi di autenticazione e di crittografia che protegge gli utenti di Firefox”, ha scritto.
“È importante che il sito web di spostare l’Autenticazione Web, piuttosto che la costruzione di nuove funzionalità deprecate, eredità FIDO U2F API.”
Di più su WebAuthn e sicuro accesso
W3C finalizza l’Autenticazione Web (WebAuthn) standarddi Apple uccidendo le password web? Safari prove WebAuthn login su mac os,Windows 10: Microsoft ha in programma di uccidere le password si muove con i nuovi test builddi Windows 10 si avvicina uccidendo le password con Bordo WebAuthn loginPreoccupazioni derivano sulla sicurezza dei nuovi WebAuthn protocolloMWC 2019: il futuro Vostro telefono Android, le app si avrà bisogno di nessuna passwordYubiKey: Proteggi il tuo Facebook, Google, e altri conti on-line con questo hardware chiave di autenticazioneCome rendere la vostra app senza password con Microsoft Autenticatore e FIDO2 TechRepublicFirefox si muove browser in post-password futuro con WebAuthn tech CNET
Argomenti Correlati:
Apple
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati