The World Must Go Passwordless to End ‘the Morass of Data Breaches’ – an Exclusive Interview With...

Crypto Daily™ · 2024-07-10T19:33:05.000Z

As part of the GoCrypto interview series, Mike Ermolaev spoke with Arshad Noor, CTO of StrongKey. With over 34 years of experience in Information Technology, Arshad has spent the past 23 years focused on solving data protection problems using applied cryptography. He has designed and built Public Key Infrastructures (PKI) – bolstering defenses in banking, defense, telecommunications, pharmaceuticals, biotechnology, and e-commerce – industries that are particularly in need of strong authentication and encryption. Notably, Noor authored the first open-source symmetric key-management system and contributed to numerous security standards. During the interview, Noor shared insights on global digital identity systems, emphasizing the urgency of building a cohesive global digital identity system, along with the acknowledgement that only internationally sanctioned security protocols can safeguard our increasingly digital lives. He also spoke about society tokenization and supported the idea of a retail US Central Bank Digital Currency (CBDC), a topic he's been quite outspoken about lately. This conversation is a continuation of the interview series powered by GoMining, bringing you insights from leading experts in the field of cryptocurrency and data security. Noor's Pioneering Contributions to Digital Identity and Data Protection Noor’s innovations include StrongKey Sign-On (SKSO), a web application for strong user authentication without third-party SSO services, and StrongKey FIDO Server (SKFS), an open-source, FIDO Certified enterprise solution for managing FIDO credentials, along with PKI2FIDO, a web application enabling simpler, stronger authentication for companies and government agencies. Prior to joining StrongKey, Noor worked for industry giants like Sun Microsystems, Citibank, and BASF Corporation, cementing his reputation as a skilled IT solutions architect and global PKI builder. His impressive track record and specialized knowledge establish him as a go-to authority on data protection and digital identity, offering sharp insights into the transformative potential of these systems. Source: Iiot-world.com Global Digital Identity Standards Need Harmonization Speaking about a global identity system, Noor outlined its prospective structure, emphasizing the existence of multiple identity ecosystems serving diverse needs. He explained, "Undoubtedly, there will be many islands of identity ecosystems to serve a variety of needs. Standards exist currently to enable sharing identity attributes – with attestation – so they may be trustworthy across borders – passports are an example." He pointed out that commercial usage of digital identity attributes will require a robust framework agreed upon by nations. “Once such a framework – and a trusted foundation to support that framework – is established, schemas may be created by diverse ecosystems to enable cross-border usage,” Arshad Noor added. He also addressed the benefits and challenges associated with a global digital identity system, highlighting the potential for increased cross-border e-commerce and competition. Noor noted, "A benefit of a framework for sharing identities globally is that it will increase cross-border e-commerce; while it will also increase competition for products and services, everyone – but the uncompetitive – will benefit." However, he emphasized the need for harmonized security and privacy controls to ensure the system's robustness, akin to the harmonization seen in global trade. “At a minimum, what is needed to participate in such a framework is a global baseline for security and privacy controls. It does not make sense to have a standard like GDPR in the EU, while the US has no equivalent regulation. Dozens of nations across the globe have established their unique versions of security and privacy rules; much as global trade required harmonizing rules governing trade and logistics, data security and privacy must be similarly harmonized globally. This implies that the group responsible for harmonization must have representation from every nation – with equal voting rights – to ensure long-term success. While this will take time - and will likely be messy in the beginning – it can be made to work.” Challenges in Passwordless Authentication Noor shed light on the numerous challenges in implementing passwordless authentication, emphasizing several critical barriers: corporate and government inertia, the complexity of integration, groupthink in decision-making, investments in failed technological projects turning IT into a "sink-hole," the missed opportunity with X.509 digital certificates, and the current focus on user experience (UX) over security. Corporate and Government Inertia Passwordless authentication faces major challenges from corporate and government inaction, according to Noor. He remarked, "Authentication schemes to address distributed systems and the frailties of passwords have been invented since the ‘80s. Unfortunately, as large institutions invest in every new ‘shiny bauble’ that comes along, the complexity of integration grows exponentially." Noor explained that investments in failed technological projects have made IT a "sink-hole," causing IT executives to bet their careers on projects they do not always understand, leading to a "herd mentality." He elaborated, "80% of the market will not make a move until they see how the early-adopters fare and there is proven ROI. But with the complexity that exists in the current environment, measuring such ROI is very difficult. Leading to inertia." Missed Opportunities and the Second Chance with FIDO He also reflected on the missed opportunity in the late ‘90s and early ‘00s to introduce passwordless authentication with X.509 digital certificates, noting, "Industry killed that ‘goose that laid the golden eggs’ by over-pricing and under-delivering PKI." According to Noor, there is a second chance with FIDO but some large tech companies overfocus on user experience (UX) rather than educating consumers about security needs and behavior adaptation. He stated, "The world now has a second chance with FIDO; but once again, some of the largest companies in the technology industry are blowing it again by choosing to focus on user experience (UX) rather than focusing on educating consumers about the need for security, and consequently, adaptation in behavior." Transitioning to Passwordless Authentication is Essential, but Implementation Details Matter Discussing the future of PKI and passwordless authentication, Noor said, "PKI, FIDO, and passwordless authentication are analogous – they are simply different styles of ‘shirts’ cut from the same ‘cloth’." He stressed that compared to what preceded public-key cryptography, there is no alternative, asserting, "The world must transition to passwordless authentication to alleviate the morass of data breaches we drown in currently. However, implementation details matter. Much as a firearm can be used to defend oneself from marauders, it is equally possible to shoot oneself with the same instrument." Rational Evaluation Needed for Blockchain vs. Traditional Technologies As Noor pointed out, while blockchain technology can technically facilitate business operations, distributed databases and digitally signed transactions can achieve the same objective. “Almost anything that can be implemented with blockchain was possible to be implemented with traditional databases leveraging public-key cryptography in the late ‘90s – the market could not adopt such capability because of recessions following the “dot com” and real-estate related mortgage-backed securities meltdowns,” he explained. “In the early ‘10s, blockchain captured the imagination of some people in the technology industry. While business processes spanning companies can be implemented technically with blockchain, they can be similarly implemented with distributed databases and digitally signed transactions,” Noor added. However, according to him, the hype and speculative investments around Bitcoin overshadowed the practical and technical applications of blockchain technology, leading to a feverish and sometimes irrational adoption of blockchain without sufficient consideration of its actual value and implementation. He stated, "Once that fever subsides, blockchain solutions with reasonable ROI will emerge to solve some problems." When discussing specific applications or innovations that hold the most promise for leveraging these technologies to address current and future challenges in data protection and identity management, Noor emphasized that business processes requiring workflows involving multiple parties are the natural problem to solve with distributed systems and public-key cryptography. He concluded, "Whether it should use blockchain or traditional – yet proven – technology is an implementation detail that must be analyzed like any other corporate financial investment." The Fed Should Automate Interest Rates for a Smoother Economic Ride Arshad Noor envisioned financial markets becoming more efficient and benefiting consumers globally over time with the introduction of a retail US CBDC. He acknowledged, “There will be some bumps in implementation in the early stages; but as these bumps settle down (while keeping consumers whole), the system will become productive.” Noor also foresaw the Federal Reserve shifting focus from its current process for establishing interest rates. He suggested establishing a system for automatically and transparently calculating inflation rates on a periodic basis. He stated, "I envision the Federal Reserve choosing to defocus on their current process for establishing interest rates, and simply paying 2% over whatever the current rate of inflation may be on any given day. The efficiency gained from this strategy will be similar to automobiles going from manual to automatic transmission. Savers will always be rewarded with a reasonable rate of return, while spenders will bear what they must for their profligacy. Knowing that individual buying decisions no longer need be dependent on a small group of central bankers meeting a few times a year, it will allow the economy to achieve a “smoother ride” as rates shift automatically corresponding to inflation rates prevalent in the market.” Noor provided detailed comments addressing cybersecurity concerns associated with a CBDC to the Federal Reserve, available on their website. He said, "While retail CBDC transactions will be transparent in nature, with appropriate encryption and psuedonymization techniques supported by a new and transparent regulatory framework for decrypting such transactions, law-abiding citizens may rest assured that their personal transactions will be secured and kept private with appropriate technology and regulations." However, he warned that nefarious activities are unlikely to disappear from the internet: "This is inherent in human nature where arbitrage in economic conditions and outcomes are possible. The question society must answer is: how much money is it willing to spend to preserve individual privacy?" He concluded that in the pre-computer/pre-internet age, protecting sensitive information was relatively inexpensive, requiring only nominal amounts for locks/keys and simple procedures. In the digital age, the cost will be significant. Noor emphasized, "While open-source technologies can drastically reduce costs, establishing, operating and enforcing the regulatory framework to preserve privacy – and the security controls it will entail – will require significant commitment for the long-term.” Disclaimer: This article is provided for informational purposes only. It is not offered or intended to be used as legal, tax, investment, financial, or other advice.

В рамках серии интервью GoCrypto Майк Ермолаев поговорил с Аршадом Нуром, техническим директором StrongKey. Имея более чем 34-летний опыт работы в сфере информационных технологий, Аршад последние 23 года посвятил решению проблем защиты данных с использованием прикладной криптографии. Он спроектировал и построил инфраструктуру открытых ключей (PKI), укрепляющую защиту в банковской, оборонной, телекоммуникационной, фармацевтической, биотехнологической и электронной коммерции – отраслях, которые особенно нуждаются в надежной аутентификации и шифровании. Примечательно, что Нур является автором первой симметричной системы управления ключами с открытым исходным кодом и внес вклад в разработку многочисленных стандартов безопасности. 
В ходе интервью Нур поделился своими мыслями о глобальных системах цифровой идентификации, подчеркнув безотлагательность создания целостной глобальной системы цифровой идентификации, а также признав, что только международно-санкционированные протоколы безопасности могут защитить нашу все более цифровую жизнь. Он также рассказал о токенизации общества и поддержал идею розничной цифровой валюты Центрального банка США (CBDC), тему, о которой он довольно откровенно высказывался в последнее время. Этот разговор является продолжением серии интервью, организованной GoMining, в которой вы поделитесь мнениями ведущих экспертов в области криптовалют и безопасности данных.
Новаторский вклад Нура в цифровую идентификацию и защиту данных
Инновации Нура включают StrongKey Sign-On (SKSO), веб-приложение для строгой аутентификации пользователей без сторонних служб SSO, и StrongKey FIDO Server (SKFS), корпоративное решение с открытым исходным кодом, сертифицированное FIDO для управления учетными данными FIDO, а также PKI2FIDO. , веб-приложение, обеспечивающее более простую и надежную аутентификацию для компаний и государственных учреждений. До прихода в StrongKey Нур работал в таких отраслевых гигантах, как Sun Microsystems, Citibank и BASF Corporation, закрепив за собой репутацию опытного архитектора ИТ-решений и глобального создателя PKI. Его впечатляющий послужной список и специальные знания делают его авторитетным специалистом в области защиты данных и цифровой идентификации, предлагая четкое представление о преобразовательном потенциале этих систем.
Источник: Iiot-world.com
Глобальные стандарты цифровой идентификации нуждаются в гармонизации
Говоря о глобальной системе идентификации, Нур обрисовал ее перспективную структуру, подчеркнув существование множества экосистем идентификации, обслуживающих разнообразные потребности. Он объяснил,
«Несомненно, будет много островков экосистемы идентификации для удовлетворения различных потребностей. В настоящее время существуют стандарты, позволяющие обмениваться атрибутами идентификации – с аттестацией – чтобы они могли быть заслуживающими доверия через границы – примером могут служить паспорта». 
Он отметил, что коммерческое использование атрибутов цифровой идентичности потребует надежной структуры, согласованной странами.
«Как только такая структура – ​​и надежная основа для ее поддержки – будет создана, различные экосистемы могут создавать схемы для обеспечения трансграничного использования»,
Аршад Нур добавил. 
Он также остановился на преимуществах и проблемах, связанных с глобальной системой цифровой идентификации, подчеркнув потенциал роста трансграничной электронной коммерции и конкуренции. Нур отметил:
«Преимущество системы обмена идентификационными данными в глобальном масштабе заключается в том, что она увеличит трансграничную электронную коммерцию; хотя она также усилит конкуренцию за продукты и услуги, от этого выиграют все, кроме тех, кто неконкурентоспособен». 
Однако он подчеркнул необходимость гармонизированного контроля безопасности и конфиденциальности для обеспечения надежности системы, аналогичной гармонизации, наблюдаемой в глобальной торговле.
«Как минимум, для участия в такой системе необходима глобальная основа для контроля безопасности и конфиденциальности. Нет смысла иметь такой стандарт, как GDPR, в ЕС, пока в США нет аналогичного регулирования. Десятки стран по всему миру установили свои уникальные версии правил безопасности и конфиденциальности; Точно так же, как глобальная торговля требует гармонизации правил, регулирующих торговлю и логистику, безопасность и конфиденциальность данных должны быть аналогичным образом гармонизированы во всем мире. Это означает, что группа, ответственная за гармонизацию, должна иметь представителей всех стран – с равными правами голоса – для обеспечения долгосрочного успеха. Хотя это займет время и, скорее всего, поначалу будет неприятным, все же можно заставить работать».
Проблемы беспарольной аутентификации
Нур пролила свет на многочисленные проблемы при внедрении аутентификации без пароля, подчеркнув несколько критических препятствий: корпоративная и государственная инерция, сложность интеграции, групповое мышление при принятии решений, инвестиции в неудачные технологические проекты, превращающие ИТ в «воронку», упущенные возможности. возможности с цифровыми сертификатами X.509 и нынешний акцент на пользовательском опыте (UX), а не на безопасности.
Корпоративная и государственная инерция
По словам Нура, беспарольная аутентификация сталкивается с серьезными проблемами из-за бездействия корпораций и правительств. Он заметил:
«Схемы аутентификации для доступа к распределенным системам и слабости паролей были изобретены с 80-х годов. К сожалению, по мере того, как крупные учреждения инвестируют в каждую новую «блестящую безделушку», которая появляется, сложность интеграции растет в геометрической прогрессии». 
Нур объяснил, что инвестиции в неудачные технологические проекты превратили ИТ в «воронку», заставляя ИТ-руководителей ставить свою карьеру на проекты, которые они не всегда понимают, что приводит к «стадному менталитету».
Он уточнил:
«80% рынка не сделают шаг вперед, пока не увидят, как поживают первые пользователи и не будет доказана рентабельность инвестиций. Но учитывая сложность, существующую в нынешних условиях, измерить такую ​​рентабельность инвестиций очень сложно. Это приводит к инерции». 
Упущенные возможности и второй шанс с FIDO
Он также поразмышлял об упущенной в конце 90-х и начале 2000-х годов возможности внедрить аутентификацию без пароля с помощью цифровых сертификатов X.509, отметив: 
«Промышленность убила «курицу, несущую золотые яйца», завысив цены и недопоставив PKI».
По словам Нура, у FIDO есть второй шанс, но некоторые крупные технологические компании слишком сосредотачиваются на пользовательском опыте (UX), а не на обучении потребителей потребностям безопасности и адаптации поведения. Он постановил,
«Теперь у мира есть второй шанс с FIDO; но в очередной раз некоторые крупнейшие компании в технологической отрасли снова упускают его, предпочитая сосредоточиться на пользовательском опыте (UX), а не на обучении потребителей необходимости безопасности. и, следовательно, адаптация в поведении».
Переход на беспарольную аутентификацию необходим, но детали реализации имеют значение
Обсуждая будущее PKI и аутентификации без пароля, Нур сказал:
«PKI, FIDO и аутентификация без пароля аналогичны — это просто разные стили «рубашек», сшитых из одной и той же «ткани». 
Он подчеркнул, что по сравнению с тем, что предшествовало криптографии с открытым ключом, альтернативы нет, заявив:
«Мир должен перейти на аутентификацию без пароля, чтобы облегчить трясину утечек данных, в которой мы утопаем в настоящее время. Однако детали реализации имеют значение. Подобно тому, как огнестрельное оружие можно использовать для защиты от мародеров, в равной степени можно застрелиться из того же инструмента. ."
Необходима рациональная оценка блокчейна по сравнению с традиционными технологиями
Как отметил Нур, хотя технология блокчейна может технически облегчить бизнес-операции, распределенные базы данных и транзакции с цифровой подписью могут достичь той же цели. 
«Почти все, что можно реализовать с помощью блокчейна, можно было реализовать с помощью традиционных баз данных, использующих криптографию с открытым ключом, в конце 90-х годов – рынок не мог принять такую ​​возможность из-за рецессии, последовавшей за «дот-комами» и ипотекой, связанной с недвижимостью. обвалы ценных бумаг»,
он объяснил. 
«В начале 10-х годов блокчейн захватил воображение некоторых людей в технологической отрасли. Хотя бизнес-процессы, охватывающие компании, технически могут быть реализованы с помощью блокчейна, их можно аналогичным образом реализовать с помощью распределенных баз данных и транзакций с цифровой подписью».
— добавил Нур. 
Однако, по его словам, шумиха и спекулятивные инвестиции вокруг Биткойна затмили практическое и техническое применение технологии блокчейна, что привело к лихорадочному, а иногда и иррациональному внедрению блокчейна без достаточного учета его фактической ценности и реализации.
Он постановил,
«Как только эта лихорадка утихнет, появятся блокчейн-решения с разумной рентабельностью инвестиций для решения некоторых проблем».
Обсуждая конкретные приложения или инновации, которые наиболее перспективны для использования этих технологий для решения текущих и будущих проблем в области защиты данных и управления идентификацией, Нур подчеркнул, что бизнес-процессы, требующие рабочих процессов с участием нескольких сторон, являются естественной проблемой, которую необходимо решить с помощью распределенных систем и общедоступных технологий. ключевая криптография.
Он заключил:
«Независимо от того, следует ли использовать блокчейн или традиционную, но проверенную технологию, это деталь реализации, которую необходимо анализировать, как и любые другие корпоративные финансовые инвестиции».
ФРС должна автоматизировать процентные ставки для более плавного развития экономики
Аршад Нур предполагал, что финансовые рынки со временем станут более эффективными и принесут пользу потребителям во всем мире с введением розничной CBDC в США. Он признал,
«На ранних этапах реализации будут некоторые препятствия; но когда эти неровности утихнут (при сохранении целостности потребителей), система станет продуктивной».
Нур также предвидел, что Федеральная резервная система сместит акцент с текущего процесса установления процентных ставок. Он предложил создать систему автоматического и прозрачного расчета темпов инфляции на периодической основе.
Он постановил,
«Я предполагаю, что Федеральная резервная система решит отвлечься от текущего процесса установления процентных ставок и просто будет платить 2% сверх текущего уровня инфляции в любой конкретный день. Эффективность, полученная от этой стратегии, будет аналогична эффективности автомобилей, переходящих от Вкладчики всегда будут вознаграждены разумной нормой прибыли, в то время как тратители будут нести то, что им придется за свою расточительность, зная, что индивидуальные решения о покупке больше не должны зависеть от небольшой группы руководителей центральных банков, встречающихся несколько раз в год. В следующем году это позволит экономике достичь «более плавного движения», поскольку ставки автоматически изменятся в соответствии с темпами инфляции, преобладающими на рынке». 
Нур предоставил Федеральной резервной системе подробные комментарии по вопросам кибербезопасности, связанные с CBDC, которые доступны на их веб-сайте. Он сказал,
 «Хотя розничные транзакции CBDC будут прозрачными по своей природе, с соответствующими методами шифрования и псевдонимизации, поддерживаемыми новой и прозрачной нормативной базой для расшифровки таких транзакций, законопослушные граждане могут быть уверены, что их личные транзакции будут защищены и останутся конфиденциальными с помощью соответствующих технологий. и правила».
Однако он предупредил, что гнусная деятельность вряд ли исчезнет из Интернета:
«Это заложено в человеческой природе, где возможен арбитраж экономических условий и результатов. Общество должно ответить на вопрос: сколько денег оно готово потратить на сохранение конфиденциальности личности?»
 Он пришел к выводу, что в эпоху до появления компьютеров и Интернета защита конфиденциальной информации была относительно недорогой, требуя лишь номинальных сумм на замки/ключи и простых процедур. В эпоху цифровых технологий стоимость будет значительной. Нур подчеркнул:
«Хотя технологии с открытым исходным кодом могут радикально снизить затраты, создание, функционирование и обеспечение соблюдения нормативной базы для сохранения конфиденциальности – и мер безопасности, которые это повлечет за собой – потребуют значительных обязательств в долгосрочной перспективе».
 
Отказ от ответственности: данная статья предназначена только для информационных целей. Он не предлагается и не предназначен для использования в качестве юридических, налоговых, инвестиционных, финансовых или других рекомендаций.

Мир должен отказаться от паролей, чтобы положить конец «трясине утечек данных» — эксклюзивное интервью с...

Другие публикации автора

Последние новости

Мир должен отказаться от паролей, чтобы положить конец «трясине утечек данных» — эксклюзивное интервью с...

Другие публикации автора

Последние новости

Популярные статьи