Hundredvis af millioner mennesker bruger adgangskoder hver dag - de låser vores enheder, e-mail, sociale netværk og endda bankkonti op. Adgangskoder er dog en stadig svagere måde at beskytte os selv på: Der går knap en uge, uden at et større sikkerhedstab rammer nyhederne. I denne uge er det Cisco — producent af meget af den hardware, der i det væsentlige driver internettet.
Lige nu søger næsten alle at gå ud over adgangskoder til multifaktorautentificering: kræver "noget du har" eller "noget du er" ud over noget du kender. Biometriske teknologier, der måler øjne, fingeraftryk, ansigter og/eller stemmer bliver mere praktisk, men fejler ofte for nogle mennesker og er svære at bringe til hundreder af millioner af brugere.
Anbefalede videoer
Overser vi ikke det åbenlyse? Er løsningen på multifaktorsikkerhed ikke allerede i vores lommer?
Relaterede
- De 15 vigtigste smartphones, der ændrede verden for altid
- SMS 2FA er usikker og dårlig - brug disse 5 gode godkendelsesapps i stedet for
- App-abonnementstræthed ødelægger hurtigt min smartphone
Netbank
Tro det eller ej, amerikanere har brugt multi-faktor autentificering i årevis, når de foretager netbank - eller i det mindste udvandede versioner af det. I 2001 krævede Federal Financial Institutions Examination Council (FFIEC) amerikanske onlinebanktjenester udrullet ægte multifaktorautentificering inden 2006.
Det er 2013, og vi logger stadig på netbank med adgangskoder. Hvad skete der?
"Dybest set lobbyede banker," sagde Rich Mogull, administrerende direktør og analytiker hos Securosis. "Biometri og sikkerhedstokens kan fungere fint isoleret, men det er meget svært at skalere dem, selv til bare bank. Forbrugerne ønsker ikke at beskæftige sig med flere sådanne ting. De fleste mennesker sætter ikke engang adgangskoder på telefoner."
Så bankerne skubbede tilbage. I 2005, FFIEC udstedt opdaterede retningslinjer der gjorde det muligt for banker at autentificere med adgangskode og "enhedsidentifikation" - dybest set profilering af brugernes systemer. Hvis en kunde logger ind fra en kendt enhed, skal de blot have en adgangskode; ellers skal kunden springe gennem flere bøjler - normalt udfordre spørgsmål. Ideen er, at profilering af enheder svarer til at verificere noget brugere har (en computer, smartphone eller tablet) til at ledsage adgangskoden, de ved godt.
Banker er blevet mere sofistikerede til at identificere enheder, og stadig nyere føderale retningslinjer kræver, at banker bruger mere end en browser-cookie, der er let at kopiere. Men systemet er stadig svagt. Alt sker over en enkelt kanal, så hvis en dårlig skuespiller kan udnytte en brugers forbindelse (måske ved tyveri, hacks eller malware), er det hele forbi. Yderligere behandles enhver som en kunde, der bruger en ny enhed - og som New York Times klummeskribent David Pogue kan bevidne, sandfærdigt besvarede sikkerhedsspørgsmål giver nogle gange ringe beskyttelse.
Netbanks begrænsede form for multifaktorsikkerhed har dog stor upside for forbrugerne. For de fleste brugere er enhedsprofilering det meste af tiden usynlig og fungerer ligesom en adgangskode - som næsten alle forstår.
Google Authenticator
Digitale tokens, sikkerhedskort og andre enheder er blevet brugt i multifaktorautentificering i årtier. Men ligesom biometri har intet hidtil vist sig brugbart for millioner af almindelige mennesker. Der er heller ingen udbredte standarder, så folk kunne have brug for et dusin forskellige fobs, tokens, USB-sticks og kort for at få adgang til deres yndlingstjenester. Det er der ingen, der kommer til at gøre.
Så hvad med telefonerne i vores lommer? For næsten et år siden fandt forskere næsten 90 procent af amerikanske voksne ejede mobiltelefoner — næsten halvdelen havde smartphones. Tallene skal være højere nu: de skal vel bruges til multifaktorautentificering?
Det er tanken bag Googles totrinsbekræftelse, som sender en engangs-PIN-kode til en telefon via SMS eller stemme, når du logger ind på Google-tjenester. Brugere indtaster både deres adgangskode og koden for at logge ind. Selvfølgelig kan telefoner gå tabt eller stjålet, og hvis batteriet dør eller ingen mobiltjeneste er tilgængelig, bliver brugerne låst ude. Men tjenesten fungerer selv med funktionstelefoner og er bestemt mere sikker - hvis mindre praktisk - end en adgangskode alene.
Googles totrinsbekræftelse bliver mere interessant med Google Authenticator, tilgængelig til Android, iOS og BlackBerry. Google Authenticator bruger Time-based One-Time Passwords (TOTP), en standard understøttet af Initiativ for åben godkendelse. Grundlæggende indeholder appen en krypteret hemmelighed og genererer en ny sekscifret kode hvert 30. sekund. Brugere indtaster denne kode sammen med deres adgangskode for at bevise, at de har den rigtige enhed. Så længe telefonens ur er korrekt, fungerer Google Authenticator uden telefontjeneste; hvad mere er, dets 30-sekunders koder fungerer med Andet tjenester, der understøtter TOTP: lige nu, det inkluderer Dropbox, LastPass, og Amazon Web Services. Ligeledes kan andre apps, der understøtter TOTP, arbejde med Google.
Men der er problemer. Brugere indsender bekræftelseskoder på samme kanal som adgangskoder, så de er sårbare over for de samme aflytningsscenarier som netbank. Da TOTP-apps indeholder en hemmelighed, kan enhver (hvor som helst i verden) generere legitime koder, hvis appen eller hemmeligheden bliver knækket. Og intet system er perfekt: Sidste måned rettede Google et problem, der kunne tillade det samlede kontoovertagelser via app-specifikke adgangskoder. Sjovt.
Hvor går vi hen herfra?
Det største problem med systemer som Google to-trinsbekræftelse er simpelthen, at de er en smerte i røven. Vil du fifle med din telefon og koder hver eneste gang logger du på en tjeneste? Gør dine forældre, bedsteforældre, venner eller børn? De fleste mennesker gør ikke. Selv teknofiler, der elsker den seje faktor (og sikkerheden), finder sandsynligvis processen akavet på kun et par uger.
Tal tyder på, at smerten er reel. I januar leverede Google Wired's Robert MacMillan en graf over to-trins adoption, inklusive en spids ledsager Mat Honans "Episk hacking” artikel i august sidste år. Læg mærke til, hvilken akse der ikke har nogen etiketter? Google-repræsentanter afviste at sige, hvor mange mennesker der bruger dens to-faktor-autentificering, men Googles sikkerhedsdirektør Eric Grosse fortalte MacMillan, at en kvart million brugere tilmeldte sig efter Honans artikel. Ud fra den metrisk er mit bag-af-konvolutten-estimat omkring 20 millioner mennesker har tilmeldt sig til dato - knapt en bule i 500+ millioner mennesker Google påstande har Google+ konti. Det tal virkede nogenlunde rigtigt for en Google-medarbejder, der ikke ønskede at blive navngivet: Hun anslåede, at mindre end ti procent af "aktive" Google+-brugere havde tilmeldt sig. "Og det er ikke alle, der holder ved det," bemærkede hun.
"Når du har et uhæmmet publikum, kan du ikke påtage dig nogen form for adfærd ud over det grundlæggende - især hvis du ikke har givet det publikum en grund til at vil have den adfærd,” sagde Christian Hessler, administrerende direktør for mobilgodkendelsesfirmaet LiveEnsure. "Der er ingen måde, du kommer til at træne en milliard mennesker til at gøre noget, de ikke vil."
LiveEnsure er afhængig af, at brugere bekræfter out-of-band ved hjælp af deres mobile enhed (eller endda via e-mail). Indtast kun et brugernavn (eller brug en enkelt login-tjeneste som Twitter eller Facebook), og LiveEnsure udnytter brugerens bredere kontekst til at godkende: ingen adgangskode kræves. Lige nu bruger LiveEnsure "line-of-sight" - brugere scanner en QR-kode på skærmen ved hjælp af deres telefon for at bekræfte deres login - men andre bekræftelsesmetoder kommer snart. LiveEnsure omgår aflytning ved at bruge en separat forbindelse til verifikation, men er heller ikke afhængig af delte hemmeligheder i browsere, enheder eller endda dens service. Hvis systemet er revnet, siger LiveEnsure, at de enkelte brikker ikke har nogen værdi for en angriber.
"Det, der er i vores database, kunne sendes ud på cd'er som julegave, og det ville være nytteløst," sagde Hessler. "Ingen hemmeligheder går over ledningen, den eneste transaktion er et simpelt ja eller nej."
LiveEnsures tilgang er nemmere end at indtaste PIN-koder, men kræver stadig, at brugerne roder med mobile enheder og apps for at logge ind. Andre har til formål at gøre processen mere gennemsigtig.
Toopher udnytter mobile enheders bevidsthed om deres placering via GPS eller Wi-Fi som en måde til gennemsigtigt at autentificere brugere - i det mindste fra forhåndsgodkendte steder.
"Toopher bringer mere kontekst til autentificeringsbeslutningen for at gøre den usynlig," sagde grundlægger og CTO Evan Grimm. "Hvis en bruger typisk er hjemme og laver netbank, kan en bruger automatisere det for at gøre beslutningen usynlig."
Automatisering er ikke påkrævet: Brugere kan bekræfte på deres mobilenhed hver gang, hvis de vil. Men hvis brugere fortæller Toopher, hvad der er normalt, behøver de kun at have deres telefon i lommen, og autentificeringen sker gennemsigtigt. Brugere indtaster blot en adgangskode, og alt andet er usynligt. Hvis enheden er på et ukendt sted, skal brugerne bekræfte på deres telefon - og hvis der ikke er nogen forbindelse, falder Toopher tilbage til en tidsbaseret PIN-kode ved hjælp af samme teknologi som Google Authenticator.
"Toopher forsøger ikke fundamentalt at ændre brugeroplevelsen," sagde Grimm. "Problemet med andre multifaktorløsninger var ikke, at de ikke tilføjede beskyttelse, men at de ændrede brugeroplevelsen og derfor havde hindringer for adoption."
Du skal være med i spillet
Adgangskoder forsvinder ikke, men de vil blive udvidet med lokationer, engangs-PIN-koder, line-of-sight og line-of-sound-løsninger, biometri eller endda oplysninger om nærliggende Bluetooth- og Wi-Fi-enheder. Smartphones og mobile enheder synes at være den mest sandsynlige måde at tilføje mere kontekst til godkendelse.
Selvfølgelig skal du være med i spillet, hvis du vil spille. Ikke alle har smartphones, og ny autentificeringsteknologi kan udelukke brugere uden nyere teknologi, hvilket efterlader resten af verden mere sårbar over for hacks og identitetstyveri. Digital sikkerhed kunne nemt blive noget, der adskiller haves fra have-nots.
Og indtil videre er der ikke noget at sige til, hvilke løsninger der vil vinde. Toopher og LiveEnsure er blot to af mange spillere, og de står alle over for et kylling-og-æg-problem: Uden adoption af både brugere og tjenester hjælper de ingen. Toopher sikrede sig for nylig $2 millioner i startup-finansiering; LiveEnsure taler med nogle store navne og håber snart at komme ud af stealth mode. Men det er for tidligt at sige, hvor nogen ender.
I mellemtiden, hvis en tjeneste, du er afhængig af, tilbyder nogen form for multifaktorautentificering - uanset om det er via SMS, en smartphone-app eller endda et telefonopkald - skal du overveje det seriøst. Det er næsten helt sikkert bedre beskyttelse end et kodeord alene … selvom det også næsten helt sikkert er en smerte i røven.
Billede via Shutterstock / Adam Radosavljevic
[Opdateret 24. marts 2013 for at afklare detaljer om FFIEC og LiveEnsure og rette en produktionsfejl.]
Redaktørens anbefalinger
- Sådan finder du downloadede filer på din iPhone eller Android smartphone
- Dit Google One-abonnement har lige fået 2 store sikkerhedsopdateringer for at holde dig sikker online
- Hvordan din smartphone kunne erstatte et professionelt kamera i 2023
- Googles Pixel 6 er en god smartphone, men vil den være nok til at overbevise købere?
- Googles leder siger, at han er "skuffet" over Apples nye iPhone-sikkerhedsprogram
