Apple, Google en Microsoft werken samen om wachtwoordloze FIDO-aanmeldingen te ondersteunen

Op 5 mei – Wereldwachtwoorddag – zijn we misschien een stap dichter bij het feit dat wachtwoorden tot het verleden behoren.

In een gezamenlijke inspanning hebben techreuzen appelGoogle en Microsoft donderdagochtend aangekondigd Ze hebben toegezegd om het komende jaar ondersteuning te bieden voor inloggen zonder wachtwoord op alle mobiele, desktop- en browserplatforms die ze beheren. In feite betekent dat het Authenticatie zonder wachtwoord Het zal in de niet al te verre toekomst alle belangrijke hardwareplatforms bereiken: mobiele Android- en iOS-platforms; Chrome-, Edge- en Safari-browsers; Windows- en macOS-desktopomgevingen.

“Net zoals we onze producten zo ontwerpen dat ze intuïtief en capabel zijn, zo ontwerpen we ze ook privé en veilig”, zegt Kurt Knight, senior director platformproductmarketing bij Apple. “Samenwerken met de industrie om nieuwe, veiligere inlogmethoden te creëren die betere bescherming bieden en kwetsbaarheden in wachtwoorden elimineren, is van fundamenteel belang voor onze toewijding om producten te bouwen die maximale veiligheid en een transparante gebruikerservaring bieden – allemaal met het doel om de “persoonlijke informatie van gebruikers” te behouden. veilig.”

Dankzij het wachtwoordloze inlogproces kunnen gebruikers hun telefoon kiezen als het belangrijkste authenticatieapparaat voor apps, websites en andere digitale diensten, legt Google uit in Blogpost Donderdag geplaatst. De telefoon ontgrendelen met wat als standaard is ingesteld – een pincode invoeren, een patroon tekenen of het ontgrendelen van een vingerafdruk gebruiken – is voldoende om in te loggen op webservices zonder dat u een wachtwoord hoeft in te voeren, wat mogelijk wordt gemaakt door het gebruik van een uniek token van Zijn type wordt een wachtwoordsleutel genoemd die wordt gedeeld tussen de telefoon en de website.

Door logins afhankelijk te maken van een fysiek apparaat, is het de bedoeling dat gebruikers tegelijkertijd profiteren van eenvoud en veiligheid. Zonder wachtwoord is er geen verplichting om uw inloggegevens via de Diensten te onthouden of uw veiligheid in gevaar te brengen door hetzelfde wachtwoord op meerdere plaatsen te hergebruiken. Evenzo zou een systeem zonder wachtwoord het voor hackers moeilijker maken om op afstand inloggegevens te hacken, omdat voor inloggen toegang tot een fysiek apparaat vereist is; In theorie zouden phishing-aanvallen waarbij gebruikers naar een nepwebsite worden geleid om wachtwoorden te achterhalen, veel moeilijker zijn.

Vasu Jakal, Microsoft’s Vice President of Security and Compliance, Identity and Privacy, benadrukte de mate van platformonafhankelijke compatibiliteit. “Door wachtwoordsleutels op uw mobiele apparaat te gebruiken, kunt u op vrijwel elk apparaat inloggen op een app of service, ongeacht op welk platform of welke browser het apparaat ook draait”, zei Jackal in een verklaring per e-mail. Gebruikers kunnen zich bijvoorbeeld aanmelden bij de Google Chrome-browser die wordt uitgevoerd op Microsoft Windows, met een wachtwoordsleutel op een Apple-apparaat.

Cross-platform functionaliteit mogelijk gemaakt door een bestand Standaard genaamd FIDO, dat gebruikmaakt van cryptografieprincipes met openbare sleutels om wachtwoordloze authenticatie en multi-factor authenticatie in verschillende contexten mogelijk te maken. De telefoon van de gebruiker kan een unieke FIDO-compatibele toegangscode opslaan en deze alleen delen met een authenticatiewebsite wanneer de telefoon is ontgrendeld. Volgens het bericht van Google kunnen wachtwoordsleutels ook eenvoudig worden gesynchroniseerd met een nieuw apparaat vanaf een cloudback-up voor het geval de telefoon verloren gaat.

Hoewel veel van de applicaties al populair zijn Ondersteuning voor FIDO-authenticatie inbegrepenvereist de eerste aanmelding het gebruik van een wachtwoord voordat FIDO kan worden geconfigureerd – wat betekent dat gebruikers nog steeds kwetsbaar zijn voor phishing-aanvallen waarbij wachtwoorden onderweg worden onderschept of gestolen.

Maar de nieuwe maatregelen zullen de initiële wachtwoordvereiste elimineren, zei Sampath Srinivas, Google’s directeur productbeheer voor veilige authenticatie en president van de FIDO Alliance, in een e-mailverklaring die is verzonden naar de rand.

“Deze uitgebreide FIDO-ondersteuning die vandaag is aangekondigd, stelt websites in staat om voor het eerst een uitgebreide wachtwoordvrije proefversie met phishing-resistente beveiliging te implementeren”, aldus Srinivas. “Dit omvat zowel de eerste login op de website als de inlogfrequentie. Wanneer wachtwoordsleutelondersteuning in 2022 en 2023 in de hele branche beschikbaar komt, hebben we eindelijk een online platform voor een toekomst zonder wachtwoord.”

Tot nu toe hebben Apple, Google en Microsoft gezegd dat ze verwachten dat de nieuwe inlogmogelijkheden volgend jaar op alle platforms beschikbaar zullen zijn, hoewel er geen specifiekere roadmap is aangekondigd. hoewel Plot om wachtwoord te doden Jaren geleden, en er zijn aanwijzingen dat het deze keer eindelijk gelukt is.