אימות אוניברסלי עם שני גורמים הפך אוניברסלי יותר

אם אני אומר לך את סיסמת הדוא"ל שלי ואתה משתמש בה כדי להתחבר, האם אתה הופך להיות אותי? ברור שלא. מה שמראה כי אימות זהות באמצעות סיסמא הוא מגוחך. אימות באמצעות אסימון אבטחה או אובייקט פיזי אחר הוא הרבה יותר מאובטח. מיליון אנשים אולי ילמדו את הסיסמה שלי, אך מכיוון שאין להם את אסימון האבטחה שלהם הם לא יכולים לעשות עם זה דבר. אימות מסוג שני גורמים מסוג זה הוא נושא חם בימינו, ושחרור חדש מ- FIDO Alliance מציע שהוא מתחמם עוד יותר, מכיוון שמפרט U2F (Universal Two-Factor) של הקבוצה מתרחב לכלול Bluetooth ו- NFC.

אוניברסלי דו-פקטורי

ברית FIDO (Fast IDentity Online) קיימת כמעט שלוש שנים. זהו קונסורציום של חברות שמות גדולים המוקדש ל"פיתוח מפרטים המגדירים מערכת פתוחה, ניתנת להרחבה וניתנת להפעלה של מנגנונים המחליפים הסתמכות על סיסמאות לאימות מאובטח של משתמשים בשירותים מקוונים. " בין שלל חברי ההנהלה ברמת הדירקטוריון נמנים גוגל, בנק אוף אמריקה, אינטל, לנובו ופייפאל, וכן החדשנית דו-גורמית יוביקו. מאות חברות טכנולוגיות ופיננסיות אחרות שייכות לברית.

מפרט U2F (Universal Two-Factor) של הקבוצה מאפשר לחברות טק ליצור פתרונות דו-פקטוריים שיחברו עם כל אפליקציה או אתר תומך. נכון לעכשיו, האווטאר הבולט ביותר שלו הוא מפתח האבטחה, מכשיר USB זעיר שניתן להשתמש בו כדי לאמת אותך לצורך התחברות לחשבון גוגל שלך, בין היתר. יוביקו יצר את העיצוב של מפתח האבטחה, אך יצרנים אחרים חופשיים לבנות על עיצוב זה, ואתרים ואפליקציות אחרים יעלו בקרוב.

היזהר מחיכוך

תמיד יש מתח בין ביטחון ונוחות. החשבונות המאובטחים שלך בטוחים בהרבה אם הגישה אליהם מחייבת את מפתח האבטחה שאתה מחזיק במחזיק המפתחות שלך. אבל כעבור זמן מה, גרירת המפתח מהכיס שלך ותקע אותו ביציאת USB עשויה להיראות מייגעת. אפילו מעט חיכוכים בתהליך האימות יכולים להביא למשתמשים לנטוש שני גורמים.

אפליקציות סמארטפון כמו Google Authenticator, Twilio Authy ו- Duo Mobile מאפשרות לך לאמת באמצעות אתרים תומכים על ידי הקלדת קוד ספציפי לזמן. אבל גם כאן, יש חיכוך. עליכם לגרור את הטלפון ולהקליד את הקוד שהוא מציג.

בצד החיצוני, המון אתרים תומכים באימות מבוסס סמארטפונים. חברת זהות סלולרית Telesign הקימה לאחרונה אתר מידע בעל שני גורמים המזהה למעלה ממאה אתרים תומכים, עם הוראות מפורטות כיצד להפעיל אותו על אימות דו-גורמי עבור כל אחד מהם.

אבל באמת, למה שתצטרך להקליד קוד? כל מי שיש לו את מפתח האבטחה שלך יכול לתקוע אותו בחריץ. האם פשוט לא יכול היה להיות בטלפון שברשותך כדי לאמת אותך? למעשה, מצב Duo Push של Duo Security מאפשר לך לאמת רק על ידי לחיצה על כפתור, וטוויליו עובד על משהו דומה. אבל שניהם עובדים רק באתרים שקונים טכנולוגיה.

• Twilio Authy טוויליו Authy
• להיות זהות משלך עם אימות אוניברסלי דו-גורמי בעל זהות משלך עם אימות דו-גורמי אוניברסלי
• אין תירוצים נוספים לא להשתמש באימות דו-גורמי לא עוד תירוצים לא להשתמש באימות דו-גורמי
• דואו נייד

החדשות הגדולות

החדשות הגדולות של FIDO Alliance הן שהמפרט U2F שופר לתמיכה באימות Bluetooth ו- NFC. זה מרחיב מאוד את האפשרויות לאימות דו-גורמי. משתמשים יוכלו לאמת באמצעות U2F אפילו במכשירים שאין להם יציאות USB. והאימות יכול להגיע מכל סמארטפון, טאבלט או מכשיר אחר שמוגדר לפעול כמפתח. על פי ההודעה לעיתונות, U2F חדש ללא קשר זה יכול אפילו להיות "מוטבע בכרטיס אשראי יחד עם יישומונים אחרים."

מכיוון שהמפרט חופשי ופתוח, כל אתר או אפליקציה יכולים להוסיף אימות U2F וכל ספק חומרה יכול לקפוץ פנימה עם הטוויסט שלהם במכשיר U2F. אם U2F הופך להיות אוניברסלי באמת, לא תצטרך רשימת הוראות להפעלתו בכל אתר תומך.

סטינה ארנסווארד, מנכ"לית ומייסדת יוביקו, הייתה מזמן מנגנת לאימות דו-גורמי קל. "תמיכה ב- Bluetooth ו- NFC מאמצת את הסיפור הנייד והאלחוטי סביב פרוטוקול האימות U2F של FIDO, " אמר ארנסווארד. "כעת משתמשי קצה יכולים ליהנות מהאבטחה הגבוהה, שלמות החשבון וקלות השימוש באימות חזק של U2F בכל אחד מהמכשירים שלהם. יוביקו מתלהב מהתמיכה של FIDO U2F בפרוטוקולי Bluetooth ו- NFC ומהאפשרויות שהם מייצגים להגנת הפרטיות, נתונים אישיים וחשבונות משתמש. " הנה בתקווה ש- U2F אכן תשים סוף להסתמכות הרעילה שלנו על סיסמאות לאימות.