Video: FIDO2 – Sind die Tage der Passwörter wirklich gezählt? | #heiseshow (November 2024)
Könnte die Ära des Passworts hinter uns liegen? Das sagte Michael Barrett, Chief Security Officer von PayPal, während eines der interessantesten Keynotes der dieswöchigen Interop-Show in Las Vegas voraus.
Barrett sagte, dass Passwörter seit 1961 weit verbreitet sind, aber die Verbreitung von Cloud-Diensten hat uns zu viele Websites beschert, für die Passwörter erforderlich sind. Die Leute haben zu viele Passwörter und sind daher frustriert. Infolgedessen sagte er: "Passwörter beginnen uns zu scheitern."
Überlassen Sie es Ihren Geräten, wählen Benutzer schlechte Passwörter aus und verwenden sie überall. Dies bedeutet, dass die Sicherheit ihres wichtigsten Kontos auf die des am wenigsten sicheren Ortes reduziert wird, an dem sie dieses Passwort verwenden. Die Verfügbarkeit billiger Rechenleistung in der Cloud, einschließlich GPUs, hat es den Menschen inzwischen leichter gemacht, Kennwort-Hashes zu knacken.
Eine Alternative - Zwei-Faktor-Systeme mit Passwort-Schlüsselringen - sei "der Traum eines Regulators, aber der Albtraum eines Benutzers", da jeder Standort möglicherweise ein eigenes sicheres Tokensystem habe.
Aus diesem Grund brauchen wir etwas anderes, und hier kommt die FIDO Alliance ins Spiel. Benutzer möchten etwas, das sowohl sicher als auch einfach ist, sagte Barrett. Jede Lösung muss eine stärkere Authentifizierung bieten, aber einfacher zu verwenden sein und dennoch die Privatsphäre der Menschen respektieren.
Die Allianz besteht seit mehr als zwei Jahren, und die ersten derartigen Lösungen stehen kurz vor dem Start.
Beim heutigen Modell werden Passwörter auf einem Gerät eingegeben und dann über das Gerät an den Dienst auf der anderen Seite weitergeleitet. Im FIDO-Modell authentifizieren sich Benutzer mit einer kleinen Anzahl von Geräten und stattdessen mit ihrem Gerät. Ein FIDO-Stack auf dem Gerät kann sich dann beim Dienst authentifizieren. Die Informationen für die Verbindung können im TPM-Chip auf einem PC oder in einem sicheren Container auf einem Smartphone gespeichert werden.
Zur Authentifizierung mit dem Gerät können Sie einen Fingerabdruck verwenden. Barrett schlug vor, dass Apple möglicherweise noch in diesem Jahr einen Fingerabdruckleser für Smartphones herausbringt, Android-Geräte folgen in Kürze. Geräte können auch "Voice Biometrics" (Sprachausgabe), Augenerkennung oder Gesichtserkennung verwenden. Einzelne Websites können einen oder mehrere dieser Signifikanten anfordern, die sie akzeptieren möchten.
Damit dieser Plan funktioniert, müssen beide Geräte den Standard und die Dienste unterstützen, die die FIDO-Authentifizierung akzeptieren. Laut Barrett ist PayPal dabei, FIDO-fähig zu werden. Wenn eine Site aktiviert ist und ein FIDO-Client vorhanden ist, wird dieser verwendet. Andernfalls wird es ignoriert.
Auch wenn er der Meinung ist, dass die Passwörter zur Neige gehen, räumte Barrett ein, dass es einige Jahre dauern wird, bis eine echte Massenadoption einsetzt. Die Chancen sind nur "50/50, ob wir das schaffen können", sagte er.
Aber angesichts der Anzahl der Passwort-Hacks, über die wir ständig lesen, und der Frustrationen, die wir alle mit unseren aktuellen Passwörtern haben, ist es nicht zu leugnen, dass viele von uns etwas Besseres wollen.
