Princípios importantes
- A FIDO Alliance publicou um whitepaper analisando as deficiências que impedem que seu padrão de autenticação sem senha se torne popular.
- Os mecanismos de autenticação sem senha falharam em substituir as senhas porque são inconvenientes, sugere o whitepaper.
-
Propõe o uso de smartphones como chaves de segurança de roaming.
Senhas fortes são inconvenientes para criar e gerenciar, mas adicionar etapas e dispositivos extras ao processo de autenticação é uma dor de cabeça ainda maior.
Essa é a conclusão de um whitepaper da Fast ID Online Alliance (FIDO), que culpa os problemas de usabilidade por impedir que os mecanismos de autenticação sem senha se tornem comuns. No entanto, a aliança apresentou uma solução para resolver o problema de uma vez por todas e tornar o padrão de autenticação FIDO tão onipresente quanto as senhas.
"A FIDO superou todas as expectativas iniciais", disse Bill Leddy, vice-presidente de produtos da LoginID, à Lifewire por e-mail após ler atentamente o whitepaper. "[Ele] está muito perto de resolver todos os [problemas] de autenticação, mas precisa de um pouco mais."
Cancelar senhas
Leddy acredita que as senhas sobreviveram ao uso. Ele culpa a indústria de segurança por falhar com as pessoas ao pressionar opções fracas por muito tempo.
"As senhas já têm 60 anos, mas continuam sendo a principal opção de autenticação para a maioria das contas. Os consumidores têm muitas contas diferentes e espera-se que se lembrem de uma senha exclusiva para cada uma delas. Essa não é uma solução prática ", afirmou Leddy. Ele acrescentou que na internet de hoje, onde os sites podem ser facilmente clonados, o trabalho do setor de segurança é equipar as pessoas com as ferramentas certas para evitar violações de contas.
A FIDO Alliance, uma associação aberta da indústria, criada para reduzir a dependência de senhas, vem trabalhando no assunto há cerca de uma década. Ele criou o padrão de autenticação FIDO, que não conseguiu ganhar força. No whitepaper, a aliança acha que finalmente identificou a peça que f altava no quebra-cabeça e também delineou uma estratégia para superá-la.
De acordo com a aliança, o atual mecanismo de autenticação sem senha da FIDO tem problemas inerentes de usabilidade que o impediram de alcançar ampla adoção.
"[Nós] observamos adoção limitada [no espaço do consumidor], devido à inconveniência percebida das chaves de segurança física (comprar, registrar, transportar, recuperar) e os desafios que os consumidores enfrentam com autenticadores de plataforma (por exemplo,g., ter que reinscrever cada novo dispositivo; não há maneiras fáceis de se recuperar de dispositivos perdidos ou roubados) como um segundo fator ", observou o jornal.
Para superar os problemas, o whitepaper exige o uso de nossos smartphones como autenticadores de roaming ou chaves de segurança portáteis.
"O dispositivo de um usuário como autenticador de roaming é uma ótima experiência de usuário e muito mais segura do que as senhas em um dispositivo semiconfiável, se feito corretamente. Como os novos smartphones oferecem suporte nativo ao FIDO e os consumidores raramente estão longe de seus telefones, é é uma boa opção ", concordou Leddy.
O Caminho a Seguir
No entanto, o whitepaper sugere que, para que os smartphones se tornem bem-sucedidos como chaves de segurança portáteis, a FIDO deve criar um processo tranquilo para as pessoas adicionarem ou alternarem entre seus dispositivos móveis.
Ele argumenta que, se o processo para tarefas essenciais, como configurar um novo telefone ou mudar para um novo, não for simples, as pessoas provavelmente descartarão toda a ideia como inconveniente. Para evitar isso, o artigo propõe a introdução de uma nova técnica que eles chamam de credenciais FIDO de vários dispositivos, ou "senhas".
"As credenciais de 'chave de acesso' para vários dispositivos abordam uma questão antiga sobre o FIDO. A questão era como migrar para um novo dispositivo se eu registrasse 50 credenciais específicas de domínio no meu dispositivo antigo e obtivesse uma nova Ninguém quer passar pela recuperação de conta para 50 serviços diferentes para religar novas credenciais FIDO ", explicou Leddy.
FIDO afirma que as chaves de acesso ajudarão a evitar essa situação completamente, garantindo que, quando mudarmos de um dispositivo para outro, nossas credenciais FIDO já estejam esperando por nós. Claro, o artigo é conceitual, e Leddy acha que tal mecanismo é mais fácil de propor do que implementar.
"Seria lamentável se as soluções de chave de acesso fossem específicas do fornecedor para que um consumidor não pudesse alternar entre fabricantes de dispositivos ou mesmo um conjunto heterogêneo de dispositivos (MacBook e telefone Android), " alertou Leddy.
No entanto, ele está confiante de que a aliança FIDO, que conta com pesos pesados como Apple, Meta, Google, PayPal, Wells Fargo, American Express e Bank of America, entre seus membros, apresentará soluções que não são t apenas universal, mas também completamente testado contra ataques.
FIDO acredita que as credenciais FIDO para vários dispositivos se tornarão o último prego no caixão das senhas. "Ao introduzir esses novos recursos, esperamos capacitar sites e aplicativos para oferecer uma opção verdadeiramente sem senha de ponta a ponta; sem necessidade de senhas ou códigos de acesso único (OTP)", disse a aliança.
