Adjö lösenord: Android är nu certifierade FIDO2
FIDO2 certifiering är att bana väg för passwordless mobil säkerhet. Läs mer: https://zd.net/2VoiT0R
Firefox-maker Mozilla skulle vilja gå vidare med den nya WebAuthn standard för säkrare och enklare hemsida inloggningar. Men i stället webbläsaren tekokare har beslutat att ta ett steg bakåt och gör ett arv säker inloggning standard – WebAuthn s föregångare, FIDO U2F.
Anledningen? Google-Konton ännu inte fullt stöd WebAuthn för miljoner Android-enheter som för närvarande är i bruk kan inte någonsin att stödja det.
WebAuthn var bara ratificerat den senaste månaden, men är redan stöds av Google Chrome, Microsoft Kanten, Firefox, och preview-versionen av Apples Safari, samt Android-och Windows-10.
Standarden tillåter användare att logga in på en webbplats med hjälp av biometriska Id, som ett fingeravtryck eller ansikte scan som är lagrade på en DATOR eller smartphone.
WebAuthn är efterföljaren till FIDO U2F API, som gör det möjligt för användare att logga in på Google-Konton och andra platser med en fysisk säkerhet viktiga, till exempel en Yubikey. Tech-industrin i stort sett skulle vilja se den nyare standarden antas så snabbt som möjligt för att få det från marken.
Som Mozilla kryptograf JC Jones förklarar, WebAuthn är “våra bästa tekniska svar till referensen phishing”.
“Det är därför vi har kämpat för det som en teknik,” skrev han i ett inlägg som förklarar varför Mozilla nu kommer att lägga till bakåt-kompatibilitet för FIDO U2F API i Firefox, även om det är ett föråldrat, äldre standard med mer begränsade logga in alternativ.
“Vi uppmuntra införandet av Webb-Autentisering snarare än FIDO U2F API. Men några stora webbsidor är att stöta på svårigheter att migrera: WebAuthn arbetar med autentiseringsuppgifter som produceras av FIDO U2F API”, skrev Jones.
“Men, WebAuthn producerade referenser kan inte användas med FIDO U2F API. För de enheter som berörs, kan detta leda till dåliga användarupplevelser och hämmar övergripande antagandet av denna viktiga teknik.”
De stora webbsidor är Googles webbplatser som Gmail som miljarder användare loggar in på via Google-Konton, som för närvarande inte har stöd för registrering av säkerhet nycklar som skapats med WebAuthn.
SE: Hur man bygger en framgångsrik utvecklare karriär (gratis PDF)
Jones förklarar på ett Mozilla e-postlista som det största hindret ligger i att det stora antalet Android-enheter som inte kan uppdateras med WebAuthn säkerhet viktigt stöd.
“Vi har nyligen lärt mig att Google-Konton har halkat deras schema för att använda Web-Autentisering för att registrera nya referenser. Denna fördröjning är hänföras till säkerhet viktigt stöd på Android, för de flesta enheter, icke-uppgraderingsbar,” kryptograf skrev.
“WebAuthn är bakåtkompatibel med referenser som produceras av FIDO U2F API. Men WebAuthn producerade referenser kan inte användas med FIDO U2F API. På grund av att meriter som skapats med hjälp av WebAuthn kommer aldrig att vara användbar på de flesta av FIDO U2F endast för Android-enheter som för närvarande är i omlopp.”
Firefox har haft experimentellt stöd för FIDO U2F API sedan Firefox 57, släpptes i November 2017. Dock, på grund av Android och Google-Konton WebAuthn fråga, FIDO U2F kommer att vara aktiverat som standard för alla Firefox-användare att, från och med Firefox Nightly 68 och Firefox 67 beta, kommer ut nästa vecka.
Flytten följer debatten bland Mozilla utvecklare i Mars om vem som är fel och vilken part som ska åtgärda problemet.
Mozilla ser Google-Konton som har avgörande betydelse för att låta Firefox-användare att logga in med WebAuthn, eftersom G Suite-och Gmail-användare är den största befolkningen av användare som förlitar sig på säkerhets-tangenterna för att logga in. Men Jones konstaterar också att Mozilla: s stöd för FIDO U2F lämnar det i händerna på Google att bestämma när man ska stöder den nya standarden.
“Det verkar som det enda sättet vi kan få Firefox-användare med Google-Konton fullt ut kunna använda nycklar säkerhet är att göra det möjligt FIDO U2F API-stöd så som sagt-användare kan anmäla dig via FIDO U2F API, och sedan verifiera via … ja, antingen. Vi litar på att Google kommer att rulla ut autentisering-via-WebAuthn snabbt för den skull standard att gå framåt.”
Som att skylla på vänt sig till Google, Alexei Czeskis från Googles identitet och säkerhet team vägde in för att förklara att det inte kan växla till WebAuthn tills tillräckligt äldre Android-enheter flytta ut ur cirkulationen.
Czeskis sade att hålla på WebAuthn har ingenting att göra med företagets nivå av motivation, som är “hög”.
“Detta har att göra med OEM-brann-i bilder på Android-enheter som redan levererats och livscykeln för dessa enheter ute på fältet. Utan att gå in på för många detaljer, för att inte låsa användare av deras produkter, vi kan inte byta U2F registrera dig för att WebAuthn skapa() tills det finns tillräckligt pressa i Android-enheter. Du kan förvänta dig WebAuthn get() för att komma mycket mycket tidigare, som inte påverkas”, sade han.
“Återigen är det här bara händer beror på hur den kod som lägger till konton bränns till vissa enheter. Det är inte alla andra webbplatser, att jag är medveten om, som är i en liknande olyckliga situation. Och så jag hoppas (och tror) att detta drag skulle inte uppmuntra fler användningar av U2F (över WebAuthn).”
Mozilla Jones noterade att hans organisation kommer inte att behandla ofullständiga delar av Firefox genomförandet av FIDO U2F.
“Med ökad användning av biometriska mekanismer såsom ansiktsigenkänning eller fingeravtryck i enheter, fokuserar vi vår support på WebAuthn. Det erbjuder en sofistikerad nivå av authenticators och kryptografi som kommer att skydda Firefox-användare,” skrev han.
“Det är viktigt att webben flytta till Webb-Autentisering i stället för att bygga ny kapacitet med den längre, äldre FIDO U2F API.”
Mer på WebAuthn och säkert logga in
W3C slutför Web Authentication (WebAuthn) standardApple kål på webben lösenord? Safari prövningar WebAuthn inloggningar på macOSWindows 10: Microsofts plan för att döda lösenord går vidare med nya test buildWindows 10 flyttas närmare till att döda av lösenord med Kanten WebAuthn inloggningarBekymmer uppstår om säkerheten i nya WebAuthn protokollMWC 2019: Din framtida Android, apps behöver inget lösenordYubiKey: Skydda ditt Facebook, Google, och andra online-konton med denna hårdvara verifieringsnyckelHur du gör din apps passwordless med Microsoft Authenticator och FIDO2 TechRepublicFirefox flyttar webbläsare till post-lösenord framtiden med WebAuthn tech CNET
Relaterade Ämnen:
Apple
Säkerhet-TV
Hantering Av Data
CXO
Datacenter