Avaliando o custo de um ataque DDoS
O FIDO (Fast Identidade Online) Aliança marcou o seu primeiro aniversário com a publicação de especificações para a tecnologia que espera irá simplificar a autenticação e reduzir as dores de cabeça de senha.
FIDO , que é apoiada por pesos pesados da indústria, como o PayPal, Google e Mastercard, está trabalhando duro para resolver os problemas que os usuários enfrentam com senhas através do desenvolvimento de um conjunto de novos padrões de tecnologia que visa tornar a introdução de autenticação de dois fatores mais simples.
O objetivo é mais simples, mais forte de autenticação de dois ou mais fatores como um substituto para o nome de usuário e senha abordagem tradicional, que está se tornando "obsoletos e pouco confiáveis".
Para as empresas online a tecnologia promete uma infra-estrutura de back-end interoperável para autenticação forte, em vez de uma ligada a uma determinada tecnologia ou (no máximo) um determinado fornecedor.
A aliança foi formada para combater a falta de interoperabilidade entre as tecnologias de autenticação forte, bem como a tentativa de reduzir os problemas os usuários enfrentam com a criação e lembrando vários nomes de usuário e senhas.
A idéia básica é que os usuários podem fazer logon em serviços on-line usando produtos FIDO-compliant, tais como scanners de impressões digitais, voz e reconhecimento facial, assim como tokens de segurança USB, Near Field Communication (NFC), senhas one-time (OTP) e muitos outros existentes e opções tecnológicas do futuro, em vez de fazer o login usando IDs e senhas.
Como vai funcionar
O projecto de especificação explica como isso pode ser feito, permitindo que os usuários façam login na mesma propriedade, utilizando vários métodos (por exemplo, leitor de impressões digitais no smartphone, token USB no computador), preservando a mesma experiência do usuário e sem a necessidade de fornecedores para manter um irremediavelmente caro e complicado backend de autenticação.
FIDO é enfrentar o problema de autenticação (login seguro) através de uma abordagem em duas vertentes. O padrão U2F envolve o uso de um PIN em conjunto com um dongle USB ou um telefone habilitado para NFC ou tablet. Um segundo protocolo relacionado, batizado UAF, suporta uma impressão digital, frase vocal ou iris scan biométrico para verificação de identidade.
A partir daí os usuários só tem que passar o dedo sobre um iPhone 5, por exemplo, para entrar no PayPal. A configuração básica é explicado em um diagrama aqui .
Jamie Cowper, diretor sênior de desenvolvimento de negócios da Nok Nok Labs, explicou que o objetivo da aliança é para "torná-la simples e fácil de se autenticar propriedades on-line".
A publicação da especificação FIDO é um marcador no caminho para a publicação da tecnologia por meio de organismos de normalização, ou o W3C ou IETF. Cowper disse precedentes para o desenvolvimento da tecnologia incluem a ratificação do protocolo SSL (originalmente desenvolvido pela Netscape) como a tecnologia aceito para apoiar operações de comércio eletrônico web.
As novas especificações FIDO enfatizar um modelo centrado no dispositivo e coloque ênfase na usabilidade, segurança e privacidade.
"Os usuários autenticar localmente e isso abre uma troca de chave que é exclusivo para um serviço", explicou Cowper. "A impressão digital ou voz de impressão nunca sai do dispositivo. Nós não estamos construindo grande banco de dados de segredos.
"Ninguém pode usar a tecnologia para rastrear você em torno da rede", acrescentou.
As deficiências do "ID de usuário e senha" combo para entrar em serviços web ter sido aparente por anos. Vazamentos de dados de sites de alto perfil, como Adobe, bem como os avanços na capacidade de quebra de senha contribuíram para os problemas de longo prazo padrão de levar os usuários a escolher senhas fortes.
Então, por que as senhas permaneceu tão onipresente?
"Estamos até usando senhas porque outras tecnologias não são flexíveis o suficiente", segundo Cowper.
O projecto de especificação FIDO está aberto a rever, mas a tecnologia de segurança middleware desenvolvido a partir do que não é open source, mas de propriedade de fornecedores como a Nok Nok Labs, cujo executivo-chefe é ex-PGP Corporation chefe executivo Phil Dunkelberger.
Nok Nok Labs anunciou recentemente uma parceria com a fabricante de PCs Lenovo para pré-instalar o software cliente nos computadores. O FIDO Alliance cresceu de seis para quase 100 membros desde seu lançamento, em fevereiro de 2013. Recentes membros da Aliança incluem Salesforce, ARM e Dell. Microsoft, RSA e Nok Nok Labs todos têm representantes no Conselho FIDO Alliance.
A tecnologia de autenticação é posicionado como um complemento para OAuth, uma tecnologia de autenticação baseada em token. Fichas OAuth são usados, por exemplo, para conectar contas de Twitter para serviços de terceiros sem obrigar os usuários a entregar senhas.
Um vendedor de autenticação disse privadamente El Reg que ele estava relutante em se inscrever para o FIDO Alliance por causa de sua dominação percebida por Nok Nok Labs. Expor o seu próprio portfólio de patentes em se inscrever para o FIDO Alliance e, potencialmente, restringindo a capacidade de competir com Nok Nok na venda de software servidor de autenticação e outros middleware estavam entre as outras questões para o fornecedor, que transmitiu estas preocupações em condição de anonimato.
Cowper fez uma facada decente no rejeitando essas preocupações.
"O FIDO Alliance tem um regime de PI para que ninguém pode afirmar de pagamento ao redor do padrão", disse El Reg. "É necessário ea única maneira algo como isso iria funcionar.
"Não há nada que impeça um membro de software de servidor escrita FIDO em concorrência com Nok Nok", acrescentou. ®
Nenhum comentário:
Postar um comentário