The World Must Go Passwordless to End ‘the Morass of Data Breaches’ – an Exclusive Interview With...

Crypto Daily™ · 2024-07-10T19:33:05.000Z

As part of the GoCrypto interview series, Mike Ermolaev spoke with Arshad Noor, CTO of StrongKey. With over 34 years of experience in Information Technology, Arshad has spent the past 23 years focused on solving data protection problems using applied cryptography. He has designed and built Public Key Infrastructures (PKI) – bolstering defenses in banking, defense, telecommunications, pharmaceuticals, biotechnology, and e-commerce – industries that are particularly in need of strong authentication and encryption. Notably, Noor authored the first open-source symmetric key-management system and contributed to numerous security standards. During the interview, Noor shared insights on global digital identity systems, emphasizing the urgency of building a cohesive global digital identity system, along with the acknowledgement that only internationally sanctioned security protocols can safeguard our increasingly digital lives. He also spoke about society tokenization and supported the idea of a retail US Central Bank Digital Currency (CBDC), a topic he's been quite outspoken about lately. This conversation is a continuation of the interview series powered by GoMining, bringing you insights from leading experts in the field of cryptocurrency and data security. Noor's Pioneering Contributions to Digital Identity and Data Protection Noor’s innovations include StrongKey Sign-On (SKSO), a web application for strong user authentication without third-party SSO services, and StrongKey FIDO Server (SKFS), an open-source, FIDO Certified enterprise solution for managing FIDO credentials, along with PKI2FIDO, a web application enabling simpler, stronger authentication for companies and government agencies. Prior to joining StrongKey, Noor worked for industry giants like Sun Microsystems, Citibank, and BASF Corporation, cementing his reputation as a skilled IT solutions architect and global PKI builder. His impressive track record and specialized knowledge establish him as a go-to authority on data protection and digital identity, offering sharp insights into the transformative potential of these systems. Source: Iiot-world.com Global Digital Identity Standards Need Harmonization Speaking about a global identity system, Noor outlined its prospective structure, emphasizing the existence of multiple identity ecosystems serving diverse needs. He explained, "Undoubtedly, there will be many islands of identity ecosystems to serve a variety of needs. Standards exist currently to enable sharing identity attributes – with attestation – so they may be trustworthy across borders – passports are an example." He pointed out that commercial usage of digital identity attributes will require a robust framework agreed upon by nations. “Once such a framework – and a trusted foundation to support that framework – is established, schemas may be created by diverse ecosystems to enable cross-border usage,” Arshad Noor added. He also addressed the benefits and challenges associated with a global digital identity system, highlighting the potential for increased cross-border e-commerce and competition. Noor noted, "A benefit of a framework for sharing identities globally is that it will increase cross-border e-commerce; while it will also increase competition for products and services, everyone – but the uncompetitive – will benefit." However, he emphasized the need for harmonized security and privacy controls to ensure the system's robustness, akin to the harmonization seen in global trade. “At a minimum, what is needed to participate in such a framework is a global baseline for security and privacy controls. It does not make sense to have a standard like GDPR in the EU, while the US has no equivalent regulation. Dozens of nations across the globe have established their unique versions of security and privacy rules; much as global trade required harmonizing rules governing trade and logistics, data security and privacy must be similarly harmonized globally. This implies that the group responsible for harmonization must have representation from every nation – with equal voting rights – to ensure long-term success. While this will take time - and will likely be messy in the beginning – it can be made to work.” Challenges in Passwordless Authentication Noor shed light on the numerous challenges in implementing passwordless authentication, emphasizing several critical barriers: corporate and government inertia, the complexity of integration, groupthink in decision-making, investments in failed technological projects turning IT into a "sink-hole," the missed opportunity with X.509 digital certificates, and the current focus on user experience (UX) over security. Corporate and Government Inertia Passwordless authentication faces major challenges from corporate and government inaction, according to Noor. He remarked, "Authentication schemes to address distributed systems and the frailties of passwords have been invented since the ‘80s. Unfortunately, as large institutions invest in every new ‘shiny bauble’ that comes along, the complexity of integration grows exponentially." Noor explained that investments in failed technological projects have made IT a "sink-hole," causing IT executives to bet their careers on projects they do not always understand, leading to a "herd mentality." He elaborated, "80% of the market will not make a move until they see how the early-adopters fare and there is proven ROI. But with the complexity that exists in the current environment, measuring such ROI is very difficult. Leading to inertia." Missed Opportunities and the Second Chance with FIDO He also reflected on the missed opportunity in the late ‘90s and early ‘00s to introduce passwordless authentication with X.509 digital certificates, noting, "Industry killed that ‘goose that laid the golden eggs’ by over-pricing and under-delivering PKI." According to Noor, there is a second chance with FIDO but some large tech companies overfocus on user experience (UX) rather than educating consumers about security needs and behavior adaptation. He stated, "The world now has a second chance with FIDO; but once again, some of the largest companies in the technology industry are blowing it again by choosing to focus on user experience (UX) rather than focusing on educating consumers about the need for security, and consequently, adaptation in behavior." Transitioning to Passwordless Authentication is Essential, but Implementation Details Matter Discussing the future of PKI and passwordless authentication, Noor said, "PKI, FIDO, and passwordless authentication are analogous – they are simply different styles of ‘shirts’ cut from the same ‘cloth’." He stressed that compared to what preceded public-key cryptography, there is no alternative, asserting, "The world must transition to passwordless authentication to alleviate the morass of data breaches we drown in currently. However, implementation details matter. Much as a firearm can be used to defend oneself from marauders, it is equally possible to shoot oneself with the same instrument." Rational Evaluation Needed for Blockchain vs. Traditional Technologies As Noor pointed out, while blockchain technology can technically facilitate business operations, distributed databases and digitally signed transactions can achieve the same objective. “Almost anything that can be implemented with blockchain was possible to be implemented with traditional databases leveraging public-key cryptography in the late ‘90s – the market could not adopt such capability because of recessions following the “dot com” and real-estate related mortgage-backed securities meltdowns,” he explained. “In the early ‘10s, blockchain captured the imagination of some people in the technology industry. While business processes spanning companies can be implemented technically with blockchain, they can be similarly implemented with distributed databases and digitally signed transactions,” Noor added. However, according to him, the hype and speculative investments around Bitcoin overshadowed the practical and technical applications of blockchain technology, leading to a feverish and sometimes irrational adoption of blockchain without sufficient consideration of its actual value and implementation. He stated, "Once that fever subsides, blockchain solutions with reasonable ROI will emerge to solve some problems." When discussing specific applications or innovations that hold the most promise for leveraging these technologies to address current and future challenges in data protection and identity management, Noor emphasized that business processes requiring workflows involving multiple parties are the natural problem to solve with distributed systems and public-key cryptography. He concluded, "Whether it should use blockchain or traditional – yet proven – technology is an implementation detail that must be analyzed like any other corporate financial investment." The Fed Should Automate Interest Rates for a Smoother Economic Ride Arshad Noor envisioned financial markets becoming more efficient and benefiting consumers globally over time with the introduction of a retail US CBDC. He acknowledged, “There will be some bumps in implementation in the early stages; but as these bumps settle down (while keeping consumers whole), the system will become productive.” Noor also foresaw the Federal Reserve shifting focus from its current process for establishing interest rates. He suggested establishing a system for automatically and transparently calculating inflation rates on a periodic basis. He stated, "I envision the Federal Reserve choosing to defocus on their current process for establishing interest rates, and simply paying 2% over whatever the current rate of inflation may be on any given day. The efficiency gained from this strategy will be similar to automobiles going from manual to automatic transmission. Savers will always be rewarded with a reasonable rate of return, while spenders will bear what they must for their profligacy. Knowing that individual buying decisions no longer need be dependent on a small group of central bankers meeting a few times a year, it will allow the economy to achieve a “smoother ride” as rates shift automatically corresponding to inflation rates prevalent in the market.” Noor provided detailed comments addressing cybersecurity concerns associated with a CBDC to the Federal Reserve, available on their website. He said, "While retail CBDC transactions will be transparent in nature, with appropriate encryption and psuedonymization techniques supported by a new and transparent regulatory framework for decrypting such transactions, law-abiding citizens may rest assured that their personal transactions will be secured and kept private with appropriate technology and regulations." However, he warned that nefarious activities are unlikely to disappear from the internet: "This is inherent in human nature where arbitrage in economic conditions and outcomes are possible. The question society must answer is: how much money is it willing to spend to preserve individual privacy?" He concluded that in the pre-computer/pre-internet age, protecting sensitive information was relatively inexpensive, requiring only nominal amounts for locks/keys and simple procedures. In the digital age, the cost will be significant. Noor emphasized, "While open-source technologies can drastically reduce costs, establishing, operating and enforcing the regulatory framework to preserve privacy – and the security controls it will entail – will require significant commitment for the long-term.” Disclaimer: This article is provided for informational purposes only. It is not offered or intended to be used as legal, tax, investment, financial, or other advice.

У рамках серії інтерв’ю GoCrypto Майк Єрмолаєв поспілкувався з Аршадом Нуром, технічним директором StrongKey. Маючи понад 34 роки досвіду в інформаційних технологіях, останні 23 роки Аршад присвятив вирішенню проблем захисту даних за допомогою прикладної криптографії. Він розробив і побудував інфраструктури відкритих ключів (PKI) – зміцнення захисту в банківській справі, обороні, телекомунікаціях, фармацевтиці, біотехнологіях та електронній комерції – галузях, які особливо потребують надійної автентифікації та шифрування. Примітно, що Нур є автором першої симетричної системи керування ключами з відкритим вихідним кодом і зробив внесок у численні стандарти безпеки. 
Під час інтерв’ю Нур поділився думками про глобальні системи цифрової ідентифікації, наголошуючи на необхідності побудови цілісної глобальної системи цифрової ідентифікації разом із визнанням того, що лише міжнародно схвалені протоколи безпеки можуть захистити наше все більш цифрове життя. Він також говорив про токенізацію суспільства та підтримав ідею роздрібної цифрової валюти Центрального банку США (CBDC), тему, про яку він останнім часом досить відкрито. Ця розмова є продовженням серії інтерв’ю, створених на базі GoMining, і пропонує вам ідеї провідних експертів у сфері криптовалюти та безпеки даних.
Піонерський внесок Noor у цифрову ідентифікацію та захист даних
Інновації Noor включають StrongKey Sign-On (SKSO), веб-додаток для надійної автентифікації користувачів без сторонніх служб SSO, і StrongKey FIDO Server (SKFS), корпоративне рішення з відкритим вихідним кодом, сертифіковане FIDO, для керування обліковими даними FIDO разом із PKI2FIDO , веб-додаток, що забезпечує простішу та надійнішу автентифікацію для компаній і державних установ. До того як приєднатися до StrongKey, Нур працював у галузевих гігантах, таких як Sun Microsystems, Citibank і BASF Corporation, закріпивши свою репутацію досвідченого архітектора ІТ-рішень і глобального розробника PKI. Його вражаючий послужний список і спеціальні знання зробили його провідним авторитетом із захисту даних і цифрової ідентичності, пропонуючи чітке уявлення про трансформаційний потенціал цих систем.
Джерело: Iiot-world.com
Глобальні стандарти цифрової ідентифікації потребують гармонізації
Говорячи про глобальну систему ідентичності, Нур окреслив її перспективну структуру, наголошуючи на існуванні кількох екосистем ідентичності, які обслуговують різноманітні потреби. Він пояснив,
«Безсумнівно, буде багато острівців ідентифікаційних екосистем, які задовольнять різноманітні потреби. Наразі існують стандарти, які дозволяють обмінюватися ідентифікаційними атрибутами – з атестацією – щоб вони могли бути надійними через кордони – прикладом є паспорти». 
Він зазначив, що комерційне використання атрибутів цифрової ідентифікації потребуватиме надійної структури, узгодженої країнами.
«Після створення такої структури — і надійної основи для підтримки цієї структури — різні екосистеми можуть створювати схеми для забезпечення транскордонного використання»,
– додав Аршад Нур. 
Він також розглянув переваги та проблеми, пов’язані з глобальною системою цифрової ідентифікації, підкресливши потенціал для зростання транскордонної електронної комерції та конкуренції. Нур зазначив,
«Перевага системи для глобального обміну ідентифікаційними даними полягає в тому, що вона збільшить транскордонну електронну комерцію; водночас вона також збільшить конкуренцію за продукти та послуги, виграють усі, крім неконкурентоспроможних». 
Однак він наголосив на необхідності узгодженого контролю безпеки та конфіденційності для забезпечення надійності системи, подібної до гармонізації, яка спостерігається у світовій торгівлі.
«Щонайменше те, що потрібно для участі в такій структурі, — це глобальна базова лінія для контролю безпеки та конфіденційності. Немає сенсу мати такий стандарт, як GDPR, у ЄС, тоді як у США немає еквівалентного регулювання. Десятки країн по всьому світу встановили свої унікальні версії правил безпеки та конфіденційності; подібно до того, як глобальна торгівля вимагає узгодження правил торгівлі та логістики, безпека даних і конфіденційність повинні бути аналогічно гармонізовані в усьому світі. Це означає, що група, відповідальна за гармонізацію, повинна мати представництво від кожної нації – з рівними правами голосу – для забезпечення довгострокового успіху. Хоча це займе час – і, ймовірно, буде безладним на початку – це можна змусити працювати».
Проблеми в автентифікації без пароля
Нур пролив світло на численні проблеми впровадження автентифікації без пароля, наголошуючи на кількох критичних бар’єрах: корпоративна та державна інерція, складність інтеграції, групове мислення в прийнятті рішень, інвестиції в невдалі технологічні проекти, які перетворюють ІТ на «раковину», втрачене можливості з цифровими сертифікатами X.509, і нинішній акцент на взаємодії з користувачем (UX) над безпекою.
Корпоративна та урядова інерція
За словами Нура, автентифікація без пароля стикається з серйозними проблемами через бездіяльність компаній і уряду. Він зауважив,
«Схеми автентифікації для розподілених систем і недоліків паролів були винайдені з 80-х років. На жаль, оскільки великі установи інвестують у кожну нову «блискучу дрібничку», яка з’являється, складність інтеграції зростає експоненціально». 
Нур пояснив, що інвестиції в невдалі технологічні проекти перетворили ІТ на «раковину», що змушує ІТ-керівників робити ставку на проекти, які вони не завжди розуміють, що призводить до «стадного менталітету».
Він уточнив,
«80% ринку не зроблять жодного кроку, доки не побачать, як живуть перші користувачі та не буде підтверджена рентабельність інвестицій. Але з урахуванням складності, яка існує в поточному середовищі, виміряти таку рентабельність інвестицій дуже важко. Це призводить до інерції». 
Втрачені можливості та другий шанс із FIDO
Він також згадав про втрачену можливість наприкінці 90-х і на початку 2000-х запровадити автентифікацію без пароля за допомогою цифрових сертифікатів X.509, зазначивши, 
«Промисловість убила «гуску, яка знесла золоті яйця», завищивши ціни та не надаючи PKI».
За словами Нура, у FIDO є другий шанс, але деякі великі технологічні компанії зосереджуються на досвіді користувача (UX), а не на навчанні споживачів щодо потреб безпеки та адаптації поведінки. Він заявив,
«Тепер у світу є другий шанс із FIDO; але деякі з найбільших компаній у технологічній індустрії знову втрачають його, вирішуючи зосередитися на досвіді користувача (UX), а не на навчанні споживачів щодо необхідності безпеки, і, отже, адаптація в поведінці».
Перехід на автентифікацію без пароля є важливим, але деталі реалізації мають значення
Обговорюючи майбутнє PKI та автентифікації без пароля, Нур сказав:
«PKI, FIDO та автентифікація без пароля аналогічні – це просто різні стилі «сорочок», викроєних з однієї «тканини». 
Він підкреслив, що порівняно з тим, що передувало криптографії з відкритим ключем, немає альтернативи, стверджуючи,
«Світ повинен перейти на автентифікацію без пароля, щоб полегшити трясовину витоку даних, у якій ми зараз потопаємо. Однак деталі реалізації мають значення. Наскільки вогнепальну зброю можна використовувати для захисту від мародерів, так само можна застрелитися з того ж знаряддя. ."
Необхідна раціональна оцінка для блокчейну проти традиційних технологій
Як зазначив Нур, хоча технологія блокчейн може технічно полегшити бізнес-операції, розподілені бази даних і транзакції з цифровим підписом можуть досягти тієї ж мети. 
«Майже все, що можна реалізувати за допомогою блокчейну, можна було реалізувати за допомогою традиційних баз даних із використанням криптографії з відкритим ключем наприкінці 90-х – ринок не міг прийняти таку можливість через рецесію після «доткомов» та іпотеки, пов’язаної з нерухомістю. -знищення забезпечених цінних паперів»,
— пояснив він. 
«На початку 10-х років блокчейн захопив уяву деяких людей у ​​технологічній індустрії. Хоча бізнес-процеси, що охоплюють компанії, можуть бути реалізовані технічно за допомогою блокчейну, вони також можуть бути реалізовані за допомогою розподілених баз даних і транзакцій із цифровим підписом»,
– додав Нур. 
Однак, за його словами, ажіотаж і спекулятивні інвестиції навколо біткойна затьмарили практичне і технічне застосування технології блокчейну, що призвело до гарячкового, а часом і нераціонального впровадження блокчейну без належного розгляду його фактичної цінності та впровадження.
Він заявив,
«Як тільки ця лихоманка вщухне, для вирішення деяких проблем з’являться блокчейн-рішення з прийнятною рентабельністю інвестицій».
Обговорюючи конкретні додатки чи інновації, які є найбільш перспективними для використання цих технологій для вирішення поточних і майбутніх проблем із захистом даних і керування ідентифікацією, Нур підкреслив, що бізнес-процеси, які вимагають робочих процесів із залученням кількох сторін, є природною проблемою, яку потрібно вирішити за допомогою розподілених систем і публічних систем. ключ криптографії.
Він зробив висновок,
«Чи слід використовувати блокчейн чи традиційну – але перевірену – технологію – це деталь реалізації, яку потрібно проаналізувати, як і будь-які інші корпоративні фінансові інвестиції».
ФРС має автоматизувати процентні ставки для більш плавної економічної їзди
Аршад Нур передбачив, що фінансові ринки з часом стануть більш ефективними та принесуть користь споживачам у всьому світі завдяки впровадженню роздрібної CBDC у США. Він визнав,
«На ранніх етапах у реалізації будуть певні труднощі; але коли ці нерівності врегульовуються (при цьому споживачі залишаються цілими), система стане продуктивною».
Нур також передбачив, що Федеральна резервна система змінить фокус зі свого поточного процесу встановлення процентних ставок. Він запропонував створити систему автоматичного і прозорого періодичного розрахунку рівня інфляції.
Він заявив,
«Я уявляю, що Федеральна резервна система вирішить зосередитися на своєму поточному процесі встановлення процентних ставок і просто сплачуватиме 2% понад будь-який поточний рівень інфляції в будь-який день. Ефективність, отримана від цієї стратегії, буде подібна до ефективності автомобілів, що виходять з Заощаджувачі завжди будуть винагороджені розумною нормою прибутку, тоді як марнотратники будуть нести те, що вони повинні за свою марнотратність, знаючи, що індивідуальні рішення про купівлю більше не повинні залежати від невеликої групи керівників центральних банків року, це дозволить економіці досягти «більш плавної їзди», оскільки ставки автоматично змінюються відповідно до рівня інфляції, що панує на ринку». 
Нур надав Федеральному резерву докладні коментарі щодо проблем кібербезпеки, пов’язаних із CBDC, доступні на їхньому веб-сайті. Він сказав:
 «Хоча роздрібні транзакції CBDC будуть прозорими за своєю природою, з відповідними методами шифрування та псевдонімізації, підтримуваними новою та прозорою нормативною базою для розшифровки таких транзакцій, законослухняні громадяни можуть бути впевнені, що їхні особисті транзакції будуть захищені та зберігаються конфіденційними за допомогою відповідної технології і правила».
Однак він попередив, що негідна діяльність навряд чи зникне з Інтернету:
«Це властиво людській природі, де можливий арбітраж в економічних умовах і результатах. Питання, на яке суспільство має відповісти: скільки грошей воно готове витрачати на збереження конфіденційності особи?»
 Він дійшов висновку, що в епоху до комп’ютерів/до Інтернету захист конфіденційної інформації був відносно недорогим, вимагаючи лише номінальних сум для замків/ключів і простих процедур. У цифрову епоху вартість буде значною. Нур підкреслив,
«Хоча технології з відкритим вихідним кодом можуть значно скоротити витрати, створення, функціонування та забезпечення дотримання нормативної бази для збереження конфіденційності та засобів контролю безпеки, які це спричинить, вимагатимуть значних зобов’язань у довгостроковій перспективі».
 
Відмова від відповідальності: ця стаття надається лише для інформаційних цілей. Він не пропонується та не призначений для використання як юридичні, податкові, інвестиційні, фінансові чи інші поради.

Перегляньте більше від автора

Останні новини

Перегляньте більше від автора

Останні новини

Популярні статті