Každý den používají hesla stovky milionů lidí – odemykají naše zařízení, e-maily, sociální sítě a dokonce i bankovní účty. Nicméně, hesla jsou čím dál slabší způsob, jak se chránit: Uplyne sotva týden, aniž by se do zpráv nedostal žádný velký bezpečnostní blábol. Tento týden je Cisco — výrobce většiny hardwaru, který v podstatě pohání internet.
Právě teď se téměř každý snaží překročit hranice hesel vícefaktorové ověřování: vyžadující „něco, co máte“ nebo „něco, čím jste“ navíc k něčemu, co znáte. Biometrické technologie, které měří oči, otisky prstů, obličeje a/nebo hlasy, jsou stále praktičtější, ale některým lidem často selhávají a je těžké je přivést ke stovkám milionů uživatelů.
Doporučená videa
Nepřehlížíme samozřejmost? Není řešení vícefaktorové bezpečnosti již v našich kapsách?
Příbuzný
- 15 nejdůležitějších smartphonů, které navždy změnily svět
- SMS 2FA je nejistá a špatná – použijte místo toho těchto 5 skvělých ověřovacích aplikací
- Únava z předplatného aplikace rychle ničí můj smartphone
Internetové bankovnictví
Věřte tomu nebo ne, Američané používají vícefaktorovou autentizaci již léta, kdykoli provádějí online bankovnictví – nebo alespoň jeho zředěné verze. V roce 2001 Federal Financial Institutions Examination Council (FFIEC) požadovala, aby služby online bankovnictví v USA zavedly do roku 2006 skutečnou vícefaktorovou autentizaci.
Je rok 2013 a stále se přihlašujeme do online bankovnictví pomocí hesel. Co se stalo?
"Banky v podstatě lobovaly," řekl Rich Mogull, generální ředitel a analytik společnosti Sekuróza. „Biometrie a bezpečnostní tokeny mohou fungovat dobře i samostatně, ale je velmi těžké je škálovat i na pouhé bankovnictví. Spotřebitelé nechtějí řešit více takových věcí. Většina lidí ani nevkládá přístupové kódy do telefonů.“
Banky tedy zatlačily. Do roku 2005 FFIEC vydal aktualizované pokyny která bankám umožňovala autentizaci heslem a „identifikací zařízení“ – v podstatě profilování systémů uživatelů. Pokud se zákazník přihlásí ze známého zařízení, potřebuje pouze heslo; v opačném případě musí zákazník proskočit více obručemi – obvykle výzvou. Myšlenka je taková, že profilování zařízení znamená ověření uživatelů mít (počítač, chytrý telefon nebo tablet) k heslu vědět.
Banky se staly sofistikovanějšími v identifikaci zařízení stále novější federální směrnice vyžadují, aby banky používaly více než jen snadno zkopírovatelný soubor cookie prohlížeče. Systém je ale stále slabý. Všechno se děje přes jeden kanál, takže pokud se špatný herec může napojit na připojení uživatele (možná krádeží, hackováním nebo malwarem), je po všem. S každým se navíc zachází jako se zákazníkem používajícím nové zařízení – a jako New York Times sloupkař David Pogue může potvrditpravdivě zodpovězené bezpečnostní otázky někdy nabízejí mizivou ochranu.
Omezená forma vícefaktorového zabezpečení online bankovnictví však má velký výhoda pro spotřebitele. Pro většinu uživatelů je profilování zařízení většinou neviditelné a funguje stejně jako heslo – kterému rozumí téměř každý.
Google Authenticator
Digitální tokeny, bezpečnostní karty a další zařízení se používají při vícefaktorové autentizaci již desítky let. Nicméně, stejně jako biometrie, zatím nic neprokázalo, že by fungovalo pro miliony běžných lidí. Neexistují také žádné rozšířené standardy, takže lidé mohou pro přístup ke svým oblíbeným službám potřebovat tucet různých fobů, tokenů, USB klíčů a karet. To nikdo neudělá.
Jak je to tedy s telefony v našich kapsách? Téměř před rokem vědci zjistili téměř 90 procent dospělých Američanů vlastnilo mobilní telefony — téměř polovina měla chytré telefony. Čísla musí být nyní vyšší: určitě se používají pro vícefaktorovou autentizaci?
To je hlavní myšlenka Dvoufázové ověření Google, která odešle jednorázový PIN kód na telefon pomocí SMS nebo hlasu při přihlášení do služeb Google. Uživatelé zadávají jak své heslo, tak kód pro přihlášení. Telefony se samozřejmě mohou ztratit nebo ukrást, a pokud se vybije baterie nebo není k dispozici žádná mobilní služba, uživatelé se ztratí. Tato služba však funguje i na běžných telefonech a je jistě bezpečnější – i když méně pohodlná – než samotné heslo.
Dvoufázové ověření Google je čím dál zajímavější Google Authenticator, k dispozici pro Android, iOS a BlackBerry. Google Authenticator používá Time-based One-Time Passwords (TOTP), standard podporovaný společností Iniciativa pro otevřenou autentizaci. V podstatě aplikace obsahuje zašifrované tajemství a každých 30 sekund generuje nový šestimístný kód. Uživatelé zadají tento kód spolu se svým heslem, aby prokázali, že mají správné zařízení. Pokud jsou hodiny telefonu správné, Google Authenticator funguje bez telefonních služeb; navíc fungují jeho 30sekundové kódy jiný služby, které podporují TOTP: právě teď, včetně Dropbox, LastPass, a Webové služby Amazon. Podobně mohou s Googlem spolupracovat i další aplikace, které podporují TOTP.
Ale jsou tu problémy. Uživatelé zasílají ověřovací kódy na stejném kanálu jako hesla, takže jsou zranitelní vůči stejným scénářům zachycení jako online bankovnictví. Vzhledem k tomu, že aplikace TOTP obsahují tajemství, kdokoli (kdekoli na světě) by mohl generovat legitimní kódy, pokud se aplikace nebo tajemství prolomí. A žádný systém není dokonalý: Minulý měsíc Google opravil problém, který to mohl dovolit celkové převzetí účtu prostřednictvím hesel pro konkrétní aplikace. Zábava.
Kam máme odsud namířeno?
Největší problém se systémy, jako je dvoufázové ověření Google, je prostě to, že jsou otravné. Chcete si hrát s telefonem a kódy? pokaždé přihlašuješ se do služby? Vaši rodiče, prarodiče, přátelé nebo děti? Většina lidí ne. Dokonce i technofilové, kteří milují cool faktor (a bezpečnost), pravděpodobně zjistí, že tento proces je během několika týdnů nepříjemný.
Čísla naznačují, že bolest je skutečná. V lednu dodal Google drátové Robert MacMillan graf adopce ve dvou krocích, včetně hrotu doprovázet Mata Honana“Epické hackování“ článek loni v srpnu. Všimněte si, která osa nemá žádné popisky? Zástupci společnosti Google odmítli sdělit, kolik lidí používá její dvoufaktorovou autentizaci, ale viceprezident pro bezpečnost Google Eric Grosse řekl MacMillanovi, že se po Honanově článku zaregistrovalo čtvrt milionu uživatelů. Podle této metriky je můj odhad na zadní straně obálky přibližně 20 milionů lidí, kteří se k dnešnímu dni zaregistrovali – stěží propast ve více než 500 milionech lidí Google nároky mít účty Google+. Zaměstnanci Googlu, který si nepřál být jmenován, se toto číslo zdálo být správné: Odhadovala, že se zaregistrovalo méně než deset procent „aktivních“ uživatelů Google+. "A ne všichni se toho drží," poznamenala.
„Když máte nespoutané publikum, nemůžete předpokládat žádný druh chování nad rámec základů – zvláště pokud jste tomuto publiku nedali důvod, aby chtít toto chování,“ řekl Christian Hessler, generální ředitel společnosti pro ověřování mobilních zařízení LiveEnsure. "Neexistuje způsob, jak vycvičit miliardu lidí, aby dělali něco, co dělat nechtějí."
LiveEnsure spoléhá na to, že uživatelé ověřují mimo pásmo pomocí svého mobilního zařízení (nebo dokonce prostřednictvím e-mailu). Zadejte pouze uživatelské jméno (nebo použijte službu jednotného přihlášení, jako je Twitter nebo Facebook), a LiveEnsure využije širší kontext uživatele k ověření: není vyžadováno žádné heslo. Právě teď LiveEnsure používá „přímou viditelnost“ – uživatelé naskenují QR kód na obrazovce pomocí svého telefonu, aby potvrdili své přihlášení – ale brzy budou k dispozici další metody ověření. LiveEnsure se vyhýbá zachycení pomocí samostatného připojení k ověření, ale také se nespoléhá na sdílená tajemství v prohlížečích, zařízeních nebo dokonce ve své službě. Pokud je systém prolomený, LiveEnsure říká, že jednotlivé kusy nemají pro útočníka žádnou hodnotu.
„To, co je v naší databázi, bychom mohli poslat poštou na CD jako vánoční dárek a bylo by to zbytečné,“ řekl Hessler. "Žádná tajemství nejdou přes drát, jedinou transakcí je jednoduché ano nebo ne."
Přístup LiveEnsure je snazší než zadávání PIN, ale stále vyžaduje, aby se uživatelé přihlásili do mobilních zařízení a aplikací. Jiné mají za cíl učinit proces transparentnějším.
Toopher využívá povědomí mobilních zařízení o jejich poloze prostřednictvím GPS nebo Wi-Fi jako způsob, jak transparentně ověřit uživatele – alespoň z předem schválených míst.
„Toopher vnáší do rozhodnutí o ověřování více kontextu, aby bylo neviditelné,“ řekl zakladatel a technický ředitel Evan Grimm. "Pokud je uživatel obvykle doma a dělá online bankovnictví, může jej zautomatizovat, aby rozhodnutí bylo neviditelné."
Automatizace není vyžadována: Uživatelé mohou kdykoli potvrdit na svém mobilním zařízení, pokud chtějí. Pokud však uživatelé řeknou Toopherovi, co je normální, stačí jim mít telefon v kapse a ověření proběhne transparentně. Uživatelé pouze zadají heslo a vše ostatní je neviditelné. Pokud je zařízení na neznámém místě, uživatelé musí potvrdit na svém telefonu – a pokud tam není připojení, Toopher se vrátí k časovému PIN pomocí stejné technologie jako Google Authenticator.
"Toopher se nesnaží zásadně změnit uživatelskou zkušenost," řekl Grimm. "Problém s jinými multifaktorovými řešeními nebyl v tom, že nepřidala ochranu, ale v tom, že změnila uživatelskou zkušenost, a proto měla překážky pro přijetí."
Musíte být ve hře
Hesla nezmizí, ale budou rozšířena o umístění, jednorázové kódy PIN, řešení přímé viditelnosti a zvuku, biometrie nebo dokonce informace o blízkých zařízeních Bluetooth a Wi-Fi. Chytré telefony a mobilní zařízení se jeví jako nejpravděpodobnější způsob, jak přidat další kontext pro ověřování.
Samozřejmě musíte být ve hře, pokud chcete hrát. Ne každý má chytré telefony a nová technologie ověřování může vyloučit uživatele bez nejnovějších technologií, takže zbytek světa bude zranitelnější vůči hackům a krádežím identity. Digitální bezpečnost by se snadno mohla stát něčím, co odlišuje majetné od nemajetných.
A zatím se nedá říct, jaká řešení zvítězí. Toopher a LiveEnsure jsou jen dva z mnoha hráčů a všichni čelí problému slepice a vejce: Bez přijetí jak uživateli, tak službami nikomu nepomohou. Toopher nedávno zajistil financování ve výši 2 milionů dolarů; LiveEnsure mluví s některými velkými jmény a doufá, že se brzy vynoří z režimu utajení. Ale je příliš brzy říkat, kde kdo skončí.
Mezitím, pokud služba, na kterou se spoléháte, nabízí jakoukoli formu vícefaktorové autentizace – ať už prostřednictvím SMS, aplikace pro chytré telefony nebo dokonce telefonního hovoru – vážně ji zvažte. Je to téměř jistě lepší ochrana než samotné heslo… i když je to také téměř jistě otrava.
Obrázek přes Shutterstock / Adam Radosavljevič
[Aktualizováno 24. března 2013, aby byly objasněny podrobnosti o FFIEC a LiveEnsure a opravena chyba produkce.]
Doporučení redakce
- Jak najít stažené soubory na vašem iPhone nebo smartphonu Android
- Váš tarif Google One právě dostal 2 velké bezpečnostní aktualizace, díky kterým budete online v bezpečí
- Jak by váš smartphone mohl v roce 2023 nahradit profesionální fotoaparát
- Google Pixel 6 je dobrý smartphone, ale bude stačit k přesvědčení kupujících?
- Vedoucí společnosti Google říká, že je „zklamán“ novým bezpečnostním programem společnosti Apple pro iPhone
