Engångslösenordet: det är praktiskt, men det har sina gränser
FIDO Alliance, som inser användbarheten av engångslösenordet, är bekymrad över själva modellen för Lösenordinte säker från piratkopiering.
Denna lilla sexsiffriga åtkomstkod, som kallas ett engångslösenord, är visserligen väldigt praktisk för autentisering på en onlinetjänst, eller för att bekräfta en transaktion med din bank, till exempel. Om det är populärt och väldigt användbart, lider det av en gräns: lösenordet lämnar spår. FIDO Alliance, känd för sina autentiseringslösningar och protokoll, förespråkar alltid standarder som syftar till att minska vårt beroende av lösenord. Hon förklarar om det.
Engångslösenordet lider av samma begränsningar som det traditionella lösenordet
Även om det finns en säkerhetsskala som beror på faktorer som längd eller variation av tecken, kan det mest komplexa lösenordet lätt attackeras eller stjälas från en skadad databas. , och sedan avslöjas. Detta lösenord kan hittas på den mörka webben, där hackare byter ut det mot några cent eller några euro.
Därifrån berättar Andrew Shikiar, verkställande direktör för FIDO Alliance, att ” någon form av multifaktorautentisering är att föredra framför att använda enbart lösenord “. Enligt honom kommer denna teknik att tillåta för att motverka majoriteten av de vanligaste avståndsattackerna, såsom nätfiske
“.
Man kan tycka att engångslösenord är en stark säkerhetslösning. Som en påminnelse är detta en unik kod, vanligtvis sexsiffrigt, skickad via SMS eller via autentiseringsapplikationer, som gör det möjligt att verifiera användarens identitet. ” Dessa former av multi-faktor autentisering är mycket populära, eftersom de använder lättillgänglig teknik förklarar Andrew Shikiar. Förutom att engångslösenordet i slutändan lider av samma defekter och samma begränsningar som det traditionella lösenordet. ” Det är fortfarande en form av kunskapsbaserad autentisering, som förlitar sig på att användaren skriver in mänskligt läsbar text som måste matcha “hemligheten” på en server. »
Föredrar autentiseringsmetoder utan lösenord
Varaktigheten är den största skillnaden mellan engångslösenord och traditionella lösenord. Men de första städerna, med kort livslängd, kan också manipuleras av pirater, ” eller genom nätfiskeattacker (där hackare skapar ett realistiskt utseende parodi på en webbplats som skjuter kod till den riktiga webbplatsen i bakgrunden så att de kan ta kontroll över ett användarkonto. ‘användare), antingen genom tekniska metoder som “SIM-byte “, eller SIM-omdirigeringsprogramvara, som de enkelt kan skaffa på den mörka webben för en handfull dollar “, förklarar Andrew Shikiar.
För att vara fullt effektiv och säker måste multifaktorautentisering i första hand, enligt FIDO Alliance, förlita sig på innehav, snarare än något användaren känner till, till exempel lösenordet. Ett biometriskt kort, ett smartkort eller en säkerhetsnyckel erbjuder denna fördel med innehav. ” Smartkort lagrar en användares autentiseringsuppgifter och PIN-kod. » De fungerar som en nyckel för att autentisera användaren på kortet när PIN-koden matas in.
Andrew Shikiar tillägger att lösenordslösa autentiseringsmetoder, därför baserade på innehav, förblir immuna mot fjärrattacker och annat nätfiske. Användarinformation lagras faktiskt inte i molnet eller på en företagsserver, vilket utesluter att den är föremål för en dataläcka. De är också lättare att komma ihåg: Istället för att behöva komma ihåg och hantera olika lösenord räcker det ofta med att trycka på en knapp för att autentisera sig säkert. »
Clubic jämför oberoende och objektivt de 3 bästa lösenordshanterarna. Klicka för mer information.
Läs mer
Källa: FIDO Alliance
