Стотици милиони хора използват пароли всеки ден — те отключват нашите устройства, имейли, социални мрежи и дори банкови сметки. Паролите обаче са все по-слаби начин да се защитим: Едва ли минава седмица без сериозен гаф в сигурността да излезе в новините. Тази седмица е Cisco — производител на голяма част от хардуера, който по същество захранва интернет.
В момента почти всеки търси да премине отвъд паролите към многофакторно удостоверяване: изискване на „нещо, което имате“ или „нещо, което сте“ в допълнение към нещо, което знаете. Биометричните технологии, които измерват очи, пръстови отпечатъци, лица и/или гласове, са стават по-практични, но често се провалят за някои хора и са трудни за достигане до стотици милиони потребители.
Препоръчани видеоклипове
Не пренебрегваме ли очевидното? Не е ли решението за многофакторна сигурност вече в джобовете ни?
Свързани
- 15-те най-важни смартфона, които промениха света завинаги
- SMS 2FA е несигурен и лош — вместо това използвайте тези 5 страхотни приложения за удостоверяване
- Умората от абонамент за приложения бързо съсипва моя смартфон
Онлайн банкиране
Вярвате или не, американците използват многофакторно удостоверяване от години, когато извършват онлайн банкиране - или поне негови смекчени версии. През 2001 г. Федералният съвет за проверка на финансовите институции (FFIEC) изиска услугите за онлайн банкиране в САЩ да въведат истинско многофакторно удостоверяване до 2006 г.
2013 г. е и ние все още влизаме в онлайн банкирането с пароли. Какво стана?
„По принцип банките лобираха“, каза Рич Могул, главен изпълнителен директор и анализатор в Секуроза. „Биометричните данни и токените за сигурност могат да работят добре изолирано, но е много трудно да ги мащабирате дори само за банкиране. Потребителите не искат да се занимават с множество подобни неща. Повечето хора дори не поставят пароли на телефоните.
И така, банките се отдръпнаха. До 2005 г. FFIEC издаде актуализирани насоки което позволява на банките да се удостоверяват с парола и „идентификация на устройството“ – основно профилиране на потребителски системи. Ако клиент влезе от известно устройство, той просто се нуждае от парола; в противен случай клиентът трябва да премине през повече обръчи - обикновено въпроси с предизвикателство. Идеята е, че профилирането на устройства се свежда до проверка на нещо потребители имат (компютър, смартфон или таблет), които да придружават паролата зная.
Банките са станали по-усъвършенствани в идентифицирането на устройства и все още по-нови федерални насоки изискват банките да използват нещо повече от лесно копирана бисквитка на браузъра. Но системата все още е слаба. Всичко се случва по един-единствен канал, така че ако лош актьор може да влезе във връзката на потребител (може би чрез кражба, хакове или злонамерен софтуер), всичко е свършено. Освен това всеки се третира като клиент, използващ ново устройство - и като Ню Йорк Таймс колумнист Дейвид Поуг може да потвърди, въпросите за сигурност с верен отговор понякога предлагат оскъдна защита.
Въпреки това ограничената форма на многофакторна сигурност на онлайн банкирането има голям предимство за потребителите. За повечето потребители през повечето време профилирането на устройството е невидимо и работи точно като парола - която почти всеки разбира.
Google Authenticator
Цифрови токени, карти за сигурност и други устройства се използват за многофакторно удостоверяване от десетилетия. Въпреки това, подобно на биометричните данни, досега нищо не се е оказало работещо за милиони обикновени хора. Освен това няма широко разпространени стандарти, така че хората може да се нуждаят от дузина различни брелони, токени, USB памети и карти за достъп до любимите си услуги. Никой няма да го направи.
И така, какво да кажем за телефоните в джобовете ни? Преди почти година изследователите установиха почти 90 процента от възрастните американци притежаваха мобилни телефони — почти половината са имали смартфони. Числата трябва да са по-високи сега: със сигурност се използват за многофакторно удостоверяване?
Това е идеята зад Проверката в две стъпки на Google, който изпраща еднократен ПИН код до телефон чрез SMS или глас при влизане в услугите на Google. Потребителите въвеждат както своята парола, така и кода за влизане. Разбира се, телефоните могат да бъдат изгубени или откраднати и ако батерията се изтощи или няма налична мобилна услуга, потребителите се блокират. Но услугата работи дори с функционални телефони и със сигурност е по-сигурна – макар и по-малко удобна – от само парола.
Потвърждаването в две стъпки на Google става по-интересно с Google Authenticator, наличен за Android, iOS и BlackBerry. Google Authenticator използва базирани на времето еднократни пароли (TOTP), стандарт, поддържан от Инициатива за отворено удостоверяване. По принцип приложението съдържа криптирана тайна и генерира нов шестцифрен код на всеки 30 секунди. Потребителите въвеждат този код заедно с паролата си, за да докажат, че имат правилното устройство. Докато часовникът на телефона е правилен, Google Authenticator работи без телефонна услуга; Нещо повече, неговите 30-секундни кодове работят с друго услуги, които поддържат TOTP: точно сега, това включва Dropbox, LastPass, и Amazon Web Services. По същия начин други приложения, които поддържат TOTP, могат да работят с Google.
Но има проблеми. Потребителите изпращат кодове за потвърждение на същия канал като паролите, така че са уязвими към същите сценарии за прихващане като онлайн банкирането. Тъй като приложенията TOTP съдържат тайна, всеки (навсякъде по света) може да генерира легитимни кодове, ако приложението или тайната бъдат разбити. И никоя система не е перфектна: Миналия месец Google коригира проблем, който може да позволи тотални поглъщания на акаунти чрез пароли за конкретни приложения. забавление.
От тук накъде?
Най-големият проблем със системи като потвърждаването в две стъпки на Google е просто, че те са болка в задника. Искате ли да си играете с телефона и кодовете си всеки път влизаш ли в услуга? Вашите родители, баби и дядовци, приятели или деца? Повечето хора не го правят. Дори технофилите, които обичат готиния фактор (и сигурността), вероятно намират процеса за неудобен само след няколко седмици.
Цифрите показват, че болката е истинска. През януари Google достави Wired’s Робърт Макмилан графика на осиновяване в две стъпки, включително шип придружаващ „ на Мат ХонанЕпично хакване” статия миналия август. Забележете коя ос няма етикети? Представители на Google отказаха да кажат колко хора използват двуфакторното удостоверяване, но вицепрезидентът по сигурността на Google Ерик Грос каза на MacMillan четвърт милион потребители, записани след статията на Хонан. По този показател, моята оценка на гърба на плика е около 20 милиона души, които са се регистрирали до момента - едва малка част от 500+ милиона души Google искове имат акаунти в Google+. Тази цифра изглеждаше подходяща за служител на Google, който не искаше да бъде назован: тя изчисли, че по-малко от десет процента от „активните“ потребители на Google+ са се регистрирали. „И не всички се придържат към него“, отбеляза тя.
„Когато имате необуздана аудитория, не можете да приемете каквото и да е поведение извън основното – особено ако не сте дали на тази публика причина да искам това поведение“, каза Кристиан Хеслер, главен изпълнителен директор на компанията за мобилно удостоверяване LiveEnsure. „Няма начин да обучите милиард хора да правят нещо, което не искат.“
LiveEnsure разчита на потребителите, които потвърждават извън лентата, използвайки мобилното си устройство (или дори чрез имейл). Въведете само потребителско име (или използвайте услуга за единично влизане като Twitter или Facebook) и LiveEnsure използва по-широкия контекст на потребителя за удостоверяване: не се изисква парола. В момента LiveEnsure използва „линия на видимост“ — потребителите сканират QR код на екрана, използвайки телефона си, за да потвърдят влизането си — но скоро ще се появят и други методи за проверка. LiveEnsure заобикаля прихващането, като използва отделна връзка за проверка, но също така не разчита на споделени тайни в браузъри, устройства или дори услугата си. Ако системата е кракната, LiveEnsure казва, че отделните части нямат стойност за нападателя.
„Това, което е в нашата база данни, може да бъде изпратено на компактдискове като коледен подарък и би било безполезно“, каза Хеслер. „Никакви тайни не минават по кабела, единствената транзакция е просто да или не.“
Подходът на LiveEnsure е по-лесен от въвеждането на ПИН кодове, но все пак изисква потребителите да се занимават с мобилни устройства и приложения, за да влязат. Други имат за цел да направят процеса по-прозрачен.
Toopher използва информираността на мобилните устройства за тяхното местоположение чрез GPS или Wi-Fi като начин за прозрачно удостоверяване на потребителите - поне от предварително одобрени местоположения.
„Toopher внася повече контекст в решението за удостоверяване, за да го направи невидимо“, каза основателят и технически директор Евън Грим. „Ако потребителят обикновено е вкъщи и прави онлайн банкиране, той може да го автоматизира, за да направи решението невидимо.“
Не е необходима автоматизация: Потребителите могат да потвърждават на мобилното си устройство всеки път, ако желаят. Но ако потребителите кажат на Toopher какво е нормално, трябва само да носят телефона си в джоба си и удостоверяването става прозрачно. Потребителите просто въвеждат парола и всичко останало е невидимо. Ако устройството е на неизвестно място, потребителите трябва да потвърдят на телефона си - и ако няма свързаност, Toopher се връща към базиран на времето ПИН, използвайки същата технология като Google Удостоверител.
„Toopher не се опитва да промени фундаментално потребителското изживяване, каза Грим. „Проблемът с други многофакторни решения не беше, че не добавиха защита, а че промениха потребителското изживяване и следователно имаха пречки за приемане.“
Трябва да си в играта
Паролите няма да изчезнат, но ще бъдат подсилени от местоположения, еднократни ПИН кодове, решения за линия на видимост и линия на звук, биометрични данни или дори информация за близките Bluetooth и Wi-Fi устройства. Смартфоните и мобилните устройства изглеждат най-вероятният начин за добавяне на повече контекст за удостоверяване.
Разбира се, трябва да сте в играта, ако искате да играете. Не всеки има смартфони и новата технология за удостоверяване може да изключи потребители без нови технологии, оставяйки останалия свят по-уязвим за хакове и кражба на самоличност. Цифровата сигурност може лесно да се превърне в нещо, което отличава имащите от нямащите.
И досега не може да се каже какви решения ще спечелят. Toopher и LiveEnsure са само двама от многото играчи и всички те са изправени пред проблем с кокошката и яйцето: без приемане както от потребителите, така и от услугите, те не помагат на никого. Toopher наскоро осигури 2 милиона долара финансиране за стартиране; LiveEnsure разговаря с някои големи имена и се надява скоро да излезе от стелт режима. Но е твърде рано да се каже къде ще попадне някой.
Междувременно, ако услуга, на която разчитате, предлага някаква форма на многофакторно удостоверяване – независимо дали чрез SMS, приложение за смартфон или дори телефонно обаждане – обмислете я сериозно. Това почти сигурно е по-добра защита от паролата сама по себе си... дори и почти сигурно да е болка в задника.
Изображение чрез Shutterstock / Адам Радосавлевич
[Актуализирано на 24 март 2013 г., за да се изяснят подробностите относно FFIEC и LiveEnsure и да се коригира производствена грешка.]
Препоръки на редакторите
- Как да намерите изтеглени файлове на вашия iPhone или смартфон с Android
- Вашият план за Google One току-що получи 2 големи актуализации за сигурност, за да сте в безопасност онлайн
- Как вашият смартфон може да замени професионална камера през 2023 г
- Pixel 6 на Google е добър смартфон, но ще бъде ли достатъчно, за да убеди купувачите?
- Ръководителят на Google казва, че е „разочарован“ от новата програма за сигурност на iPhone на Apple
