¿Cuándo fue la última vez que alguien creó un protocolo de seguridad que lo hizo fácil de usar?
Desde que se lanzó la Alianza FIDO hace 18 meses, no se ha presumido demasiado de sus logros, mientras que se ha dedicado silenciosamente a sus negocios atrayendo socios participantes.
Si bien el gerente de seguridad de PayPal estuvo allí al principio, desde entonces ha atraído a personas como Alibaba y Winfrasoft y la industria ha hablado cada vez más sobre contraseñas y una mejor autenticación.
La investigación realizada por Intercede de 2.000 consumidores del Reino Unido encontró que el 60 por ciento de los consumidores del Reino Unido confirmó que solo usaban contraseñas que podían ‘recordar’, mientras que el 30 por ciento admitió conocer las contraseñas de un amigo, familiar, socio o colega de trabajo.
Hablando con Phil Dunkelberger, miembro de la junta de la Alianza FIDO, admitió que en lugar de tomar 18 meses para producir soluciones visibles, el proyecto ha estado en operación durante dos años y medio “con un grupo de muchachos hablando ad hoc sobre cómo mejorar la seguridad y cómo construir un estándar como SSL ”. Explicó que está en el centro de la alianza, ¿cómo sería el comercio si no hubiera SSL?
“Entonces, si dijiste ‘¿Cuáles son los objetivos, Phil?’ Yo diría que el primero es reconstruir la autenticación e implementarla a escala de Internet, esto no es construir un widget que se pega en la empresa o ponerlo como una aplicación en la tienda de aplicaciones, esa es una buena tecnología pero es rudimentaria en comparación con construir algo para el ecosistema ”, dijo.
“El primero en salir de la caja fue Samsung. Todos los jugadores se unieron para una solución que dice ‘he dado la posibilidad a millones de usuarios y sitios web de poder deslizar el dedo y comprar con Paypal directamente’ (oa través de un sitio web integrado) y habilitarlo durante la noche, de modo que es algo muy importante. Lo construimos a escala «.
Dunkelberger dijo que el concepto se trata de devolver el poder a la gente, ya que hemos disuelto el perímetro y muchas de las contramedidas, y dado que se roban los nombres de usuario y las contraseñas, esa sigue siendo la forma número uno para que comiencen las infracciones.
“La gente decía ‘tenemos que conseguir un método que se amplíe, que evite los ataques escalables sin crear grandes almacenes de datos en el back-end con las credenciales de las personas’”, dijo. “Detengamos los ataques man in the middle porque sin una clave pública y privada, no se puede hacer nada con los datos y dejemos de phishing. Sin embargo, todas estas cosas fritas, pero luego hay una idea aún mayor, hagámosla más fácil de usar. ¿Cuándo fue la última vez que alguien creó un protocolo de seguridad que lo hizo fácil de usar? «
Jamie Cowper, director de marketing de Nok Nok Labs, miembro de la Alianza FIDO, dijo que los dispositivos existen, ya sea un token o un biométrico integrado, y están ahí para usarse en un sitio web o una aplicación.
Dunkelberger dijo que se trata de hacer que funcione una pendiente, en lugar de un paso, y no necesita la adopción de toda la industria, pero es un protocolo que todos pueden adoptar y hacer que la adopción de IoT funcione. “Hagamos que la autenticación funcione ahora, ya que es uno de los pilares centrales de la informática”, dijo.
“¿Se seguirá abusando de los datos de las personas? La industria debe hacer algo para solucionarlo y abordar los problemas de costo, seguridad, privacidad y usabilidad, y para eso se diseñó FIDO ”.
Le pregunté a Dunkelberger su opinión sobre las críticas al fracaso de la Alianza FIDO para entregar un producto en los 18 meses
de su obra pública. Cowper dijo que es necesario observar la evolución de los organismos de normalización, y dijo que no conocía a nadie que hubiera visto algo pasar de cero a 150 miembros en menos de dos años y estar a punto de publicar la versión uno de su protocolo. . “En ese mundo del desarrollo de estándares, eso es extraordinario”, dijo.
Dunkelberger se refirió a su antiguo proyecto de PGP y abrir GPG en el dominio público, diciendo que tomó una «cantidad ridícula de años para que se ratificara» cuando los grupos de trabajo técnicos de todo el mundo se reunieron para preguntar «¿cómo podemos hacer esto más universal ¿disponible?»
Dijo: “El trato se trata más de personas en el sentido de que no es algo malo, pero la gente no sabe cómo evolucionan los estándares. ¿Cómo se puede hacer que la gente entre en una sala y se ponga de acuerdo sobre las cosas y ellos estén de acuerdo?
“Mire los componentes básicos de la gente y la gente se pregunta ‘¿cómo podemos hacer esta alineación de forma segura y apoyar un protocolo que nos ayude a todos a hacer un mejor trabajo? Cuando subí a bordo, la gente dijo que estaba tratando de hacer PGP nuevamente. PGP cambió el mundo, no hay discusión sobre eso, ya que llevó el cifrado a las masas y es históricamente significativo, pero paso a paso, se trata de construir bloques y hacerlo de la manera correcta.
“Me preguntaron si estaba satisfecho y soy una persona impaciente, pero cuando mostré los estándares que he tenido en toda mi carrera, se puede ver cómo se está moviendo esto”.
Cowper admitió que quienes trabajan con estándares no quieren hacer las cosas rápidamente; quieren hacerlo bien y ese es el instinto correcto.
Dunkelberger señaló que alguien está tratando de hacer algo al respecto, para que la autenticación sea más fácil de usar con una mejor seguridad debajo, todo lo almacenado localmente y todas las convenciones de privacidad dicen que es lo correcto.
“Muchas de las cosas que nos propusimos hacer: aumentar la membresía, atraer a los actores de la industria, lograr que la gente esté de acuerdo en una especificación proviene de todos los que viven en ese mundo”, dijo.
Phil Dunkelberger, miembro de la junta de FIDO Alliance, estaba hablando con Dan Raywood