Время устранения пароля: новый отчет об аутентификации нового поколения для цифровых финансовых услуг

“Мы не хотим цифровых финансовых услуг, которые должны быть построены на ложном фундаменте, который является паролем”, - говорит Эбби barbir прямая, докладчика МСЭ по стандартизации работы по идентификации управления архитектуры и механизмов (В10/17).

В 2016 году было украдено более 3 миллиардов имен пользователей и паролей, а количество нарушений данных в 2017 году выросло на 44,7% по сравнению с 2016 годом.

” Мы отодвигаемся от "общей секретной " модели аутентификации", - говорит Digital ID strategist and standards expert, Эндрю Хьюз из InTurn Consulting, ссылаясь главным образом на модель аутентификации имени пользователя-пароля.

"Учитывая распространенность нарушений данных, больше нет секретов”, - говорит Хьюз.

За исключением паролей, спецификации, разработанной альянса FIDO (‘быстрая онлайн-идентификация’) разрешить пользователям проходить проверку подлинности локально, чтобы их устройства с использованием биометрических данных, с устройством после аутентификации пользователя онлайн шифрования с открытым ключом.

Эта модель не подвержена фишингу, атакам "человек в середине" или другим формам атак, нацеленных на учетные данные пользователя.

” Это самая большая трансформация, которую мы видели в аутентификации за 20 лет", - говорит Джереми Грант, управляющий директор бизнес-стратегии технологии в Venable.

"Google, Microsoft и Apple являются одними из компаний, которые теперь выпекают спецификации FIDO в свои продукты”, - говорит Грант. "Эти спецификации поставляются в большинстве устройств и браузеров, используемых сегодня.”

Работа FIGI над аутентификацией следующего поколения оказала влияние на внедрение спецификаций FIDO в процесс стандартизации МСЭ. В декабре 2018 утверждении Фидо спецификации как ITU международные стандарты МСЭ Х. 1277 и 1278 МСЭ х., Как ожидается, стимулировать их принятие во всем мире.

На прошлой неделе фиги симпозиуме в Каирепредставил участникам новый доклад о следующего поколения технологии проверки подлинности, который вышел из фиги рабочей группы по вопросам безопасности, инфраструктуры и доверия.

Группа приглашает к обратной связи по докладу.

"Мы предоставили солидный справочный документ”, - говорит Хьюз. "Вы можете использовать его, чтобы убедить своих партнеров, что сильная аутентификация должна быть сделана, и что это может и было сделано.”

В докладе также содержится руководство по стандартам, касающимся удостоверения подлинности, с указанием категорий этих стандартов и соображений, касающихся их применения.

"Стандарты дают нам основу для знания уровня уверенности, силы процесса проверки и фактического управления верительными грамотами”, - говорит Барбир.

Доклад призван повлиять на текущие и будущие инициативы в области стандартизации.

” Для интероперабельности требуется больше работы по стандартизации, - говорит Хьюз. "Если вы аутентифицируетесь с помощью биометрических отпечатков, используя один набор технологий, это должно перевести в способность аутентифицироваться через другой набор технологий, реализованных в вашем банке, например.”

Проблема с паролем решена, говорит Хьюз.

"Проблема сейчас в принятии и реализации. Пришло время, чтобы получить стандарты, получить продукты прокатки и убедитесь, что они работают вместе.”


Источник: https://news.itu.int/new-report-next-generation-authentication/