Key Takeaways
- Aliansi FIDO telah menerbitkan buku putih yang menganalisis kekurangan yang mencegah standar otentikasi tanpa kata sandi menjadi arus utama.
- Mekanisme otentikasi tanpa kata sandi gagal mengganti kata sandi karena tidak nyaman, saran whitepaper.
-
Ini mengusulkan penggunaan ponsel cerdas sebagai kunci keamanan jelajah.
Kata sandi yang kuat tidak nyaman untuk dibuat dan dikelola, tetapi menambahkan langkah dan perangkat tambahan ke proses otentikasi adalah masalah yang lebih besar.
Itulah kesimpulan dari whitepaper oleh Fast ID Online Alliance (FIDO), yang menyalahkan masalah kegunaan untuk mencegah mekanisme otentikasi tanpa kata sandi menjadi arus utama. Namun, aliansi tersebut telah menemukan solusi untuk menyelesaikan masalah ini sekali dan untuk semua dan membuat standar otentikasi FIDO dapat digunakan di mana-mana seperti kata sandi.
"FIDO telah melampaui semua harapan awal," Bill Leddy, VP Produk di LoginID, mengatakan kepada Lifewire melalui email setelah membaca dengan teliti whitepaper. "[Ini] hampir menyelesaikan semua [masalah] otentikasi, tetapi membutuhkan sedikit lebih banyak."
Membatalkan Kata Sandi
Leddy percaya bahwa kata sandi telah digunakan lebih lama. Dia menyalahkan industri keamanan karena mengecewakan orang dengan terlalu lama mendorong opsi yang lemah.
Kata sandi sekarang berusia 60 tahun tetapi tetap menjadi pilihan otentikasi utama untuk sebagian besar akun. Konsumen memiliki banyak akun yang berbeda dan diharapkan untuk mengingat kata sandi yang unik untuk masing-masing akun. Itu bukan solusi praktis,” tegas Leddy. Ia menambahkan bahwa di internet saat ini, di mana situs web dapat dengan mudah dikloning, tugas industri keamanan adalah membekali orang dengan alat yang tepat untuk mencegah pembobolan akun.
Aliansi FIDO, sebuah asosiasi industri terbuka, yang dibuat untuk mengurangi ketergantungan pada kata sandi, telah menangani masalah ini selama sekitar satu dekade sekarang. Itu telah menciptakan standar otentikasi FIDO, yang tidak dapat memperoleh daya tarik. Dalam whitepaper, aliansi berpikir bahwa mereka akhirnya mengidentifikasi bagian yang hilang dari teka-teki dan juga menguraikan strategi untuk mengatasinya.
Menurut aliansi, mekanisme otentikasi tanpa kata sandi FIDO saat ini memiliki masalah kegunaan yang melekat yang membuatnya tidak dapat diadopsi secara luas.
"[Kami] telah mengamati adopsi terbatas [di ruang konsumen], karena ketidaknyamanan yang dirasakan dari kunci keamanan fisik (membeli, mendaftarkan, membawa, memulihkan), dan tantangan yang dihadapi konsumen dengan autentikator platform (mis.g., harus mendaftarkan ulang setiap perangkat baru; tidak ada cara mudah untuk memulihkan perangkat yang hilang atau dicuri) sebagai faktor kedua, "tulis kertas itu.
Untuk mengatasi masalah tersebut, whitepaper meminta untuk menggunakan ponsel cerdas kami sebagai autentikator jelajah atau kunci keamanan portabel.
"Perangkat pengguna sebagai roaming authenticator adalah pengalaman pengguna yang luar biasa dan jauh lebih aman daripada kata sandi pada perangkat semi-tepercaya jika dilakukan dengan benar. Karena ponsel cerdas baru secara native mendukung FIDO dan konsumen jarang berada jauh dari ponsel mereka, itu adalah pilihan yang bagus, " setuju Leddy.
Jalan Ke Depan
Namun, whitepaper menyarankan agar ponsel cerdas menjadi sukses sebagai kunci keamanan portabel, FIDO harus merancang proses yang lancar agar orang dapat menambahkan atau beralih di antara perangkat seluler mereka.
Ini berpendapat bahwa jika proses untuk tugas-tugas penting, seperti menyiapkan telepon baru atau beralih ke yang baru, tidak mudah, maka orang kemungkinan akan mengabaikan seluruh gagasan sebagai tidak nyaman. Untuk menghindari hal ini, makalah ini mengusulkan untuk memperkenalkan teknik baru yang mereka sebut kredensial FIDO multi-perangkat, atau "kunci sandi".
"Kredensial 'kunci sandi' multi-perangkat menjawab pertanyaan lama seputar FIDO. Pertanyaannya adalah bagaimana cara pindah ke perangkat baru jika saya mendaftarkan 50 kredensial khusus domain di perangkat lama saya dan kemudian mendapatkan yang baru perangkat. Tidak ada yang mau melalui pemulihan akun untuk 50 layanan berbeda untuk mengembalikan kredensial FIDO baru, "jelas Leddy.
FIDO menegaskan bahwa kunci sandi akan membantu menghindari situasi ini sama sekali dengan memastikan bahwa ketika kita beralih dari satu perangkat ke perangkat lain, kredensial FIDO kita sudah ada di sana menunggu kita. Tentu saja, makalah ini konseptual, dan menurut Leddy mekanisme seperti itu lebih mudah diusulkan daripada diterapkan.
"Akan disayangkan jika solusi kunci sandi adalah khusus vendor sehingga konsumen tidak dapat beralih di antara produsen perangkat atau bahkan kumpulan perangkat yang heterogen (ponsel MacBook dan Android), " memperingatkan Leddy.
Namun, dia yakin bahwa aliansi FIDO, yang termasuk kelas berat seperti Apple, Meta, Google, PayPal, Wells Fargo, American Express, dan Bank of America, di antara para anggotanya, akan memberikan solusi yang tidak t hanya universal tetapi juga diperiksa secara menyeluruh terhadap serangan.
FIDO percaya kredensial FIDO multi-perangkat akan menjadi paku terakhir di peti mati untuk kata sandi. "Dengan memperkenalkan kemampuan baru ini, kami berharap dapat memberdayakan situs web dan aplikasi untuk menawarkan opsi end-to-end yang benar-benar tanpa kata sandi; tidak diperlukan kata sandi atau kode sandi satu kali (OTP)," kata aliansi tersebut.
