W ciągu ostatnich dwóch lat rozpowszechniła się technologia zabijania haseł, znana jako „klucze dostępu”, opracowana przez stowarzyszenie branży technologicznej znane jako FIDO Alliance jako łatwiejsza i bezpieczniejsza alternatywa uwierzytelniania. I choć zastąpienie jakiejkolwiek technologii tak zakorzenionej jak hasła jest trudne, nowe funkcje i zasoby wprowadzone w tym tygodniu sprawiają, że hasła zbliżają się do punktu krytycznego.
W poniedziałek na konferencji FIDO Alliance Authenticate w Carlsbad w Kalifornii badacze ogłaszają dwa projekty, które ułatwią organizacjom oferowanie kluczy i będą łatwiejsze w użyciu dla wszystkich. Jedną z nich jest nowa specyfikacja techniczna o nazwie Credential Exchange Protocol (CXP), która umożliwi przenoszenie kluczy dostępu między ekosystemami cyfrowymi, a jest to funkcja, której użytkownicy coraz bardziej oczekują. Druga to strona internetowa o nazwie Centralny klucz dostępugdzie programiści i administratorzy systemów mogą znaleźć zasoby, takie jak wskaźniki i przewodniki po implementacji, które ułatwiają dodawanie obsługi kluczy dostępu na istniejących platformach cyfrowych.
„Dla mnie oba ogłoszenia są częścią szerszej historii współpracy branży na rzecz położenia kresu naszej zależności od haseł” – powiedział WIRED przed poniedziałkowymi ogłoszeniami Andrew Shikiar, dyrektor generalny FIDO Alliance. „A jeśli chodzi o CXP, mamy wszystkie te firmy, które stanowią zaciekłą konkurencję i chcą współpracować w zakresie wymiany referencji”.
CXP obejmuje zestaw projektów specyfikacji opracowanych przez „Grupę Specjalnych Dostawców Poświadczeń” FIDO Alliance. Opracowywanie standardów technicznych często może być skomplikowanym procesem biurokratycznym, ale wydaje się, że utworzenie CXP przebiegło pozytywnie i opierało się na współpracy. Nad CXP pracowali badacze z menedżerów haseł 1Password, Bitwarden, Dashlane, NordPass i Enpass, podobnie jak badacze z dostawców tożsamości Okta, a także Apple, Google, Microsoft, Samsung i SK Telecom.
Specyfikacje są istotne z kilku powodów. Rozwiązanie CXP zostało stworzone z myślą o kluczach dostępu i ma na celu odpowiedź na utrzymującą się od dawna krytykę, jakoby klucze dostępu mogły przyczyniać się do blokowania użytkowników, utrudniając ludziom poruszanie się pomiędzy dostawcami systemów operacyjnych i typami urządzeń. Jednak pod wieloma względami ten problem już istnieje w przypadku haseł. Funkcje eksportu, które umożliwiają przenoszenie wszystkich haseł z jednego menedżera do drugiego, są często niebezpiecznie narażone i zasadniczo po prostu zrzucają listę wszystkich haseł do pliku w postaci zwykłego tekstu.
Synchronizacja kluczy haseł między urządzeniami za pomocą jednego menedżera haseł stała się znacznie łatwiejsza, ale celem CXP jest ujednolicenie procesu technicznego bezpiecznego przesyłania ich między platformami, aby użytkownicy mogli swobodnie i bezpiecznie poruszać się po cyfrowym krajobrazie. Co ważne, chociaż CXP został zaprojektowany z myślą o hasłach, tak naprawdę jest to specyfikacja, którą można dostosować do bezpiecznej wymiany innych tajemnic, w tym haseł lub innych typów danych.
