PayPal a Lenovo spouštějí kampaň proti heslům

Konsorcium, které se skládá kromě jiných společností iz Lenova a PayPalu, zahájilo novou kampaň, zaměřenou proti heslům. Aliance promuje nové technologické standardy, které by měly zvýšit bezpečnost uživatelských účtů.

Společnosti se sdružili pod hlavičkou organizace FIDO Alliance a prezentují názor, že zařízení, které uživatel využije pro přihlášení do svého účtu, by mělo hrát významnější roli z hlediska autentizace. Takový přístup by značně omezil možnosti hackerů, kterým se v posledních měsících často daří krást uživatelská hesla.

Michael Barrett ze společnosti PayPal poukazuje na skutečnost, že útočníci získají heslo uživatele využitím různých rozšířených technik, ať už jde o hádání hesla, nebo o krádež přihlašovacích údajů. Standardy, které se FIDO Alliance snaží prosadit, přiřadí přihlašovací údaje ke konkrétnímu zařízení – technologie pro ověření zařízení využije čip TPM, který se nachází v mnoha počítačích, případně bude od uživatele vyžadovat využití čtečky otisků prstů. Pokud se společnost rozhodne využít nové standardy, může od uživatele vyžadovat autentizaci ve dvou krocích, tedy ověření pomocí hesla a hardwarovou autentizaci zařízením.

Takzvaná verifikace ve dvou krocích není dnes nic neobvyklého – takovou formu zabezpečení využívají zejména banky a velké společnosti, běžní spotřebitelé se s ní mohli setkat při využívání služeb Google, Dropbox nebo Facebook. No jen zlomek uživatelů si touto formou chrání své účty.

Mnohé desktopové počítače a notebooky jsou vybaveny čipem TPM, který se dá využít na verifikaci zařízení. Tento čip se dnes používá převážně při šifrování disku. Podobnou technologii chtějí společnosti ARM a Intel integrovat do tabletů a telefonů.

Kdyby nějaká společnost chtěla využít technologii, kterou FIDO prezentuje, třeba nainstalovat speciální software na servery společnosti i přinutit spotřebitele, aby si nainstalovali software do telefonu a počítače. Taková metoda by však měla zajistit i verifikaci pomocí hesla – pokud se uživatel přihlásí do svého účtu, zašifrované heslo se odešle na server, kde se verifikuje. Během této komunikace však útočníci mohou heslo potenciálně odchytit a dešifrovat. V případě technologie FIDO se o ověření hesla postará software, nainstalovaný v zařízení, který následně odešle na server šifrované ověřovací data.

zdroj:tech­no­lo­gy­re­view.com