Lar Securitywatch Rsac: yubico e a aliança fido prometem o fim das senhas

Rsac: yubico e a aliança fido prometem o fim das senhas

Vídeo: Esqueça sua senha - Esse é o futuro - Passwordless (Novembro 2024)

Vídeo: Esqueça sua senha - Esse é o futuro - Passwordless (Novembro 2024)
Anonim

A Yubico introduziu o dispositivo de autenticação de hardware Yubikey em 2008, mas na época não havia muito que o consumidor médio pudesse usá-lo, exceto fazendo login no LastPass. A empresa cresceu muito desde então e em breve oferecerá uma técnica de autenticação exclusiva "segundo fator universal". Na conferência da RSA em São Francisco, a CEO e fundadora da Yubico, Stina Ehrensvärd, compartilhou com entusiasmo o que está vindo da Yubico.

"Queríamos trazer a tecnologia de autenticação de cartão inteligente para o mercado consumidor de massa, mas remover drivers, middleware… algo que tem a mesma segurança que um cartão inteligente sem a complexidade", disse ela. "Iniciamos este projeto com o Google e agora está sendo usado dentro do Google."

Conexão FIDO

A Aliança FIDO (Fast IDentity Online) inclui grandes players, entre eles Microsoft, Mastercard, PayPal, Bank of America e muitos outros. "Unimos nossos esforços à FIDO", disse Ehrensvärd. "O resultado é o FIDO Universal Segundo Fator, ou U2F, implementado em nosso dispositivo Yubikey Neo. O problema com os Yubikeys existentes e outros dispositivos de segurança de hardware é que você tem um dispositivo para cada serviço. Você pode usar um telefone e ter vários aplicativos de segurança para serviços diferentes, mas os telefones podem ser invadidos ".

"Com um dispositivo U2F, você pode ter um dispositivo para serviços ilimitados ", disse ela. "Eu sempre quis isso. Na verdade, o nome da empresa Yubico vem da palavra 'onipresente'".

Autenticação Simples

Quando você registra um Yubikey Neo em um site de suporte, ele gera um par de chaves pública / privada exclusivo. Para smartphones Android, ele se conecta via NFC; para PCs e Macs, via USB. (O suporte para iOS está em andamento, mas Ehrensvärd não estava livre para discutir detalhes). Digite seu PIN, se necessário, toque no dispositivo e ele o autentica.

"O importante", disse Ehrensvärd, "é que o dispositivo interage diretamente com cada site. Não há armazenamento de terceiros que possa ser invadido. Também não é necessário um leitor especial, como acontece com um chip e um cartão de crédito PIN".

"O Yubikey Neo não estará disponível ao público até o final deste ano", disse ela, "mas vários grandes parceiros já o estão usando internamente, para sua equipe. Funciona muito bem. É como um cartão inteligente sem motorista".

Privacidade também

"As pessoas estão cada vez mais conscientes das questões de privacidade, em parte devido às revelações da NSA", disse Ehrensvärd. "Com o U2F, os usuários controlam sua identidade. Eles podem comprar seu dispositivo seguro em muitos lugares; somos os primeiros, mas haverá outros. Em seguida, use-o para autenticar sem revelar detalhes sobre sua identidade. É seguro, mas anônimo. Não é de propriedade ou controlado pelo governo, pelo banco ou pela nuvem. É uma identidade de propriedade do usuário."

"Isso é perturbador!", Ela continuou. "Bancos e empresas não precisam insistir. O usuário vai querer comprá-lo. Eles não terão que se preocupar com senhas. Ah, é complementar aos gerenciadores de senhas, mas eventualmente você pode nem precisar de um gerenciador de senhas."

Implementação fácil e gratuita

"Os provedores de serviços podem suportar facilmente o U2F usando componentes gratuitos e de código aberto", explicou Ehrensvärd. "Ou eles podem pagar para configurá-los para eles. Minha visão era chegar aqui, perceber o que é agora o FIDO U2F. Muitos fornecedores de dispositivos podem competir e coexistir."

"Se os padrões estão presos a um fornecedor, pode custar caro", disse ela. "Dizemos que a tecnologia é gratuita. O único que deve pagar é o usuário, e é um custo único. Vamos lançá-la ainda este ano. É útil que tantos grandes nomes já estejam na Aliança FIDO, porque, para que o dispositivo seja útil, você precisa de muitos sites com suporte para a grande implantação ".

Quase todo mundo concorda que as senhas são uma dor. As soluções biométricas, da impressão digital à pulsação do coração e à análise do globo ocular são muito mais complexas do que a solução proposta pela Yubico. E as coisas malditas são duráveis; Eu carrego meu chaveiro por cinco anos. Esta é apenas a invenção que indica o fim de senhas estúpidas.

Rsac: yubico e a aliança fido prometem o fim das senhas