Apple, Google und Microsoft arbeiten zusammen, um passwortlose FIDO-Anmeldungen zu unterstützen

Am 5. Mai, dem World Password Day, sind wir vielleicht einen Schritt näher daran, dass Passwörter der Vergangenheit angehören.

In einer gemeinsamen Anstrengung, Tech-Giganten ApfelGoogle und Microsoft Donnerstagmorgen angekündigt Sie haben sich verpflichtet, im kommenden Jahr Unterstützung für die passwortlose Anmeldung auf allen Mobil-, Desktop- und Browserplattformen aufzubauen, die sie kontrollieren. Effektiv bedeutet das es Authentifizierung ohne Passwort Es wird in nicht allzu ferner Zukunft alle wichtigen Hardwareplattformen erreichen: Android- und iOS-Mobilplattformen; Chrome-, Edge- und Safari-Browser; Windows- und macOS-Desktopumgebungen.

„So wie wir unsere Produkte so gestalten, dass sie intuitiv und leistungsfähig sind, gestalten wir sie auch privat und sicher“, sagte Kurt Knight, Senior Director of Platform Product Marketing von Apple. „Die Zusammenarbeit mit der Industrie, um neue, sicherere Login-Methoden zu entwickeln, die einen besseren Schutz bieten und Passwort-Schwachstellen eliminieren, ist grundlegend für unser Engagement, Produkte zu entwickeln, die maximale Sicherheit und ein transparentes Benutzererlebnis bieten – alles mit dem Ziel, die „persönlichen Daten“ der Benutzer zu bewahren sicher.“

Der passwortlose Anmeldeprozess ermöglicht es Benutzern, ihr Telefon als Hauptauthentifizierungsgerät für Apps, Websites und andere digitale Dienste auszuwählen, erklärte Google in Blogeintrag Donnerstag gepostet. Das Entsperren des Telefons mit einer beliebigen Standardeinstellung – Eingabe einer PIN, Zeichnen eines Musters oder Entsperren per Fingerabdruck – reicht aus, um sich bei Webdiensten anzumelden, ohne überhaupt ein Passwort eingeben zu müssen, was durch die Verwendung eines eindeutigen Tokens ermöglicht wird wird als Hauptschlüssel bezeichnet, der zwischen dem Telefon und der Website geteilt wird.

Indem Anmeldungen von einem physischen Gerät abhängig gemacht werden, sollen Benutzer gleichzeitig von Einfachheit und Sicherheit profitieren. Ohne ein Passwort besteht keine Verpflichtung, sich Ihre Anmeldedaten über die Dienste zu merken oder Ihre Sicherheit zu gefährden, indem Sie dasselbe Passwort an mehreren Stellen wiederverwenden. Ebenso würde ein passwortloses System es Hackern erschweren, Anmeldedaten aus der Ferne zu hacken, da für die Anmeldung der Zugriff auf ein physisches Gerät erforderlich ist. Theoretisch wären Phishing-Angriffe, bei denen Benutzer auf eine gefälschte Website geleitet werden, um Passwörter zu erbeuten, viel schwieriger.

Vasu Jakal, Vice President of Security and Compliance, Identity and Privacy von Microsoft, betonte den Grad der plattformübergreifenden Kompatibilität. „Durch die Verwendung von Passkeys auf Ihrem Mobilgerät können Sie sich auf praktisch jedem Gerät bei einer App oder einem Dienst anmelden, unabhängig davon, welche Plattform oder welcher Browser auf dem Gerät ausgeführt wird“, sagte Jackal in einer per E-Mail gesendeten Erklärung. Beispielsweise können sich Benutzer beim Google Chrome-Browser anmelden, der unter Microsoft Windows ausgeführt wird – mit einem Hauptschlüssel auf einem Apple-Gerät.

Plattformübergreifende Funktionalität, die durch eine Datei ermöglicht wird Standard namens FIDO, das die Prinzipien der Kryptografie mit öffentlichen Schlüsseln verwendet, um die passwortlose Authentifizierung und die Multi-Faktor-Authentifizierung in einer Reihe von Kontexten zu ermöglichen. Das Telefon des Benutzers kann einen eindeutigen FIDO-konformen Passkey speichern und teilt ihn nur dann mit einer Authentifizierungswebsite, wenn das Telefon entsperrt ist. Laut dem Beitrag von Google können Passkeys auch einfach aus einem Cloud-Backup mit einem neuen Gerät synchronisiert werden, falls das Telefon verloren geht.

Obwohl viele der Anwendungen bereits beliebt sind FIDO-Authentifizierungsunterstützung enthaltenerfordert die anfängliche Anmeldung ein Passwort, bevor FIDO konfiguriert wird – was bedeutet, dass Benutzer immer noch anfällig für Phishing-Angriffe sind, bei denen Passwörter unterwegs abgefangen oder gestohlen werden.

Aber die neuen Maßnahmen werden die anfängliche Passwortanforderung beseitigen, sagte Sampath Srinivas, Googles Direktor für Produktmanagement für sichere Authentifizierung und Präsident der FIDO Alliance, in einer E-Mail-Erklärung, die an gesendet wurde die Kante.

„Diese heute angekündigte erweiterte FIDO-Unterstützung wird es Websites ermöglichen, zum ersten Mal eine umfassende passwortfreie Testversion mit Phishing-resistenter Sicherheit zu implementieren“, sagte Srinivas. „Dies umfasst sowohl den ersten Website-Login als auch die Login-Häufigkeit. Wenn die Passkey-Unterstützung in den Jahren 2022 und 2023 branchenweit verfügbar wird, werden wir endlich eine Online-Plattform für eine wirklich passwortfreie Zukunft haben.“

Bisher haben Apple, Google und Microsoft erklärt, dass sie davon ausgehen, dass die neuen Anmeldefunktionen nächstes Jahr plattformübergreifend verfügbar sein werden, obwohl keine genauere Roadmap angekündigt wurde. obwohl Planen Sie, um das Passwort zu töten Vor Jahren, und es gibt Anzeichen dafür, dass es ihm diesmal endlich gelungen sein könnte.