Ασφαλής μετακίνηση κωδικών πρόσβασης με τη νέα πρόταση FIDO

Η Fast IDentity Online (FIDO) Alliance δημοσίευσε ένα προσχέδιο εργασίας μιας νέας προδιαγραφής που στοχεύει να επιτρέψει την ασφαλή μεταφορά κλειδιών πρόσβασης μεταξύ διαφορετικών παρόχων.

Οι κωδικοί πρόσβασης είναι μια μέθοδος ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης που αξιοποιεί την κρυπτογράφηση δημόσιου κλειδιού για τον έλεγχο ταυτότητας των χρηστών χωρίς να απαιτείται από αυτούς να θυμούνται ή να διαχειρίζονται μεγάλες σειρές χαρακτήρων.

FIDO εκθέσεις ότι οι συνδέσεις έχουν γίνει 75% πιο γρήγορες και 20% πιο επιτυχημένες από τους ελέγχους ταυτότητας με κωδικό πρόσβασης, υπογραμμίζοντας τα οφέλη αυτής της νέας τεχνολογίας.

Αν και βολικό και ανθεκτικό στο phishing, μία από τις μεγαλύτερες προκλήσεις με τους κωδικούς πρόσβασης είναι ότι δεν υπάρχει ασφαλής τρόπος μεταφοράς τους σε διαφορετικές πλατφόρμες και παρόχους υπηρεσιών.

Για παράδειγμα, οι χρήστες που δημιούργησαν κωδικούς πρόσβασης στο Password Manager της Google δεν μπορούσαν να τους μεταφέρουν με ασφάλεια στο iCloud Keychain της Apple κατά την εναλλαγή συσκευών, δημιουργώντας ένα είδος «κλειδώματος προμηθευτή» ή ακόμα και «κλείδωμα συσκευής».

Ως εκ τούτου, αντί να παρέχουν περισσότερη ελευθερία, τα κλειδιά πρόσβασης δημιούργησαν ανεπιθύμητο κατακερματισμό στην εμπειρία του χρήστη και εισήγαγαν κινδύνους ασφαλείας κατά την απόπειρα μεταφοράς τους σε διαφορετική πλατφόρμα.

Τυποποίηση φορητότητας κωδικού πρόσβασης

Η νέα προδιαγραφή που προτείνει η FIDO αντιμετωπίζει ουσιαστικά την έλλειψη ευρέως αποδεκτών ασφαλών προτύπων για τη μεταφορά διαπιστευτηρίων, εξαλείφοντας τις επιπλοκές ή τους πρακτικούς περιορισμούς κατά την εναλλαγή μεταξύ παρόχων.

Οι προδιαγραφές παρουσιάζονται στο δύο ξεχωριστά προσχέδιαδηλαδή το Πρωτόκολλο ανταλλαγής διαπιστευτηρίων (CXP) και Μορφή ανταλλαγής διαπιστευτηρίων (CXF).

Το CXP ορίζει μια μέθοδο για την ασφαλή μεταφορά διαπιστευτηρίων μεταξύ διαφορετικών παρόχων χρησιμοποιώντας την ανταλλαγή κλειδιών Diffie-Hellman και την κρυπτογράφηση υβριδικού δημόσιου κλειδιού (HPKE), έτσι ώστε τα δεδομένα να είναι ασφαλή κατά τη μεταφορά.

Η CXF ορίζει μια τυποποιημένη δομή για την ασφαλή μεταφορά διαπιστευτηρίων μεταξύ παρόχων κατά τη μετάβαση, διασφαλίζοντας τη διαλειτουργικότητα και την ακεραιότητα των δεδομένων. Οι προτεινόμενες μορφές περιλαμβάνουν JSON εντός ZIP, με κάθε τμήμα να κρυπτογραφείται όπως καθορίζεται από το CXP.

Τα προσχέδια αναπτύχθηκαν με τη συμβολή ειδικών από συνεργαζόμενα μέλη του FIDO και ενδιαφερόμενους όπως Dashlane, Bitwarden1Password, NordPass και Google.

Η FIDO Alliance, η οποία αποτελείται από ηγέτες στον τεχνολογικό χώρο όπως η Google, η Microsoft, η Apple, η Visa, η Mastercard, η PayPal, η Intel, η Samsung, η Meta και η Amazon, ελπίζει ότι η νέα προδιαγραφή θα τροφοδοτήσει την υιοθέτηση κωδικών πρόσβασης, τα οποία σήμερα είναι χρησιμοποιείται για την προστασία περισσότερων από 12 δισεκατομμυρίων διαδικτυακών λογαριασμών.

Οι προτεινόμενες προδιαγραφές είναι επί του παρόντος σε μορφή προσχέδιο και υπόκεινται σε αλλαγές.

Όσοι ενδιαφέρονται να συμμετάσχουν στη διαμόρφωση των προδιαγραφών μπορούν να υποβάλουν τα σχόλιά τους μέσω αυτού Σελίδα GitHub. Τα προσχέδια θα ενημερωθούν σταδιακά για να αντικατοπτρίζουν προσθήκες και αλλαγές έως ότου στερεοποιηθούν, αλλά προς το παρόν δεν έχουν δοθεί χρονοδιαγράμματα γι’ αυτό.