Εκατοντάδες εκατομμύρια άνθρωποι χρησιμοποιούν κωδικούς πρόσβασης καθημερινά — ξεκλειδώνουν τις συσκευές μας, τα email, τα κοινωνικά δίκτυα, ακόμη και τους τραπεζικούς μας λογαριασμούς. Ωστόσο, οι κωδικοί πρόσβασης είναι ένα όλο και πιο αδύναμος τρόπος να προστατευτούμε: Περνάει μόλις μια εβδομάδα χωρίς μια μεγάλη γκάφα ασφαλείας να βγει στην επικαιρότητα. Αυτή την εβδομάδα, είναι Cisco — κατασκευαστής μεγάλου μέρους του υλικού που ουσιαστικά τροφοδοτεί το Διαδίκτυο.
Αυτήν τη στιγμή, σχεδόν όλοι προσπαθούν να προχωρήσουν πέρα από τους κωδικούς πρόσβασης πολυπαραγοντικός έλεγχος ταυτότητας: απαιτεί «κάτι που έχεις» ή «κάτι που είσαι» εκτός από κάτι που ξέρεις. Οι βιομετρικές τεχνολογίες που μετρούν μάτια, δακτυλικά αποτυπώματα, πρόσωπα ή/και φωνές είναι γίνονται πιο πρακτικά, αλλά συχνά αποτυγχάνουν για μερικούς ανθρώπους και είναι δύσκολο να προσεγγιστούν εκατοντάδες εκατομμύρια χρήστες.
Προτεινόμενα βίντεο
Δεν παραβλέπουμε το προφανές; Η λύση για την ασφάλεια πολλαπλών παραγόντων δεν βρίσκεται ήδη στις τσέπες μας;
Σχετίζεται με
- Τα 15 πιο σημαντικά smartphone που άλλαξαν τον κόσμο για πάντα
- Το SMS 2FA είναι ανασφαλές και κακό — χρησιμοποιήστε αυτές τις 5 εξαιρετικές εφαρμογές ελέγχου ταυτότητας
- Η κούραση από τη συνδρομή εφαρμογών καταστρέφει γρήγορα το smartphone μου
Ηλεκτρονική τραπεζική
Είτε το πιστεύετε είτε όχι, οι Αμερικανοί χρησιμοποιούν έλεγχο ταυτότητας πολλαπλών παραγόντων εδώ και χρόνια όποτε κάνουν τραπεζικές συναλλαγές μέσω διαδικτύου - ή, τουλάχιστον, αποδυναμωμένες εκδόσεις του. Το 2001, το Ομοσπονδιακό Συμβούλιο Εξέτασης Χρηματοπιστωτικών Ιδρυμάτων (FFIEC) ζήτησε από τις διαδικτυακές τραπεζικές υπηρεσίες των Η.Π.Α. να αναπτύξουν αληθινό έλεγχο ταυτότητας πολλαπλών παραγόντων έως το 2006.
Είναι 2013 και εξακολουθούμε να συνδεόμαστε στο online banking με κωδικούς πρόσβασης. Τι συνέβη?
«Βασικά, οι τράπεζες άσκησαν πιέσεις», δήλωσε ο Rich Mogull, Διευθύνων Σύμβουλος και αναλυτής στο Securosis. «Τα βιομετρικά στοιχεία και τα διακριτικά ασφαλείας μπορούν να λειτουργήσουν καλά μεμονωμένα, αλλά είναι πολύ δύσκολο να τα κλιμακώσεις ακόμη και σε τραπεζικές συναλλαγές. Οι καταναλωτές δεν θέλουν να ασχολούνται με πολλά τέτοια πράγματα. Οι περισσότεροι άνθρωποι δεν βάζουν καν κωδικούς πρόσβασης στα τηλέφωνα».
Έτσι, οι τράπεζες απώθησαν. Μέχρι το 2005, το FFIEC εξέδωσε επικαιροποιημένες οδηγίες που επέτρεψε στις τράπεζες να ελέγχουν την ταυτότητα με κωδικό πρόσβασης και «αναγνώριση συσκευής» — βασικά, δημιουργώντας προφίλ στα συστήματα των χρηστών. Εάν ένας πελάτης συνδεθεί από μια γνωστή συσκευή, χρειάζεται απλώς έναν κωδικό πρόσβασης. Διαφορετικά, ο πελάτης πρέπει να περάσει από περισσότερα στεφάνια — συνήθως προκαλεί ερωτήσεις. Η ιδέα είναι ότι η δημιουργία προφίλ συσκευών ισοδυναμεί με την επαλήθευση των χρηστών έχω (υπολογιστής, smartphone ή tablet) για να συνοδεύουν τον κωδικό πρόσβασης που έχουν ξέρω.
Οι τράπεζες έχουν γίνει πιο εξελιγμένες στον εντοπισμό συσκευών και ακόμη νεότερες ομοσπονδιακές κατευθυντήριες γραμμές απαιτούν από τις τράπεζες να χρησιμοποιούν περισσότερα από ένα cookie προγράμματος περιήγησης που αντιγράφεται εύκολα. Αλλά το σύστημα είναι ακόμα αδύναμο. Όλα συμβαίνουν σε ένα μόνο κανάλι, οπότε αν ένας κακός ηθοποιός μπορεί να αξιοποιήσει τη σύνδεση ενός χρήστη (ίσως από κλοπή, εισβολές ή κακόβουλο λογισμικό), όλα έχουν τελειώσει. Επιπλέον, οποιοσδήποτε αντιμετωπίζεται σαν πελάτης που χρησιμοποιεί μια νέα συσκευή — και ως Νιου Γιορκ Ταιμς αρθρογράφος Ο David Pogue μπορεί να το επιβεβαιώσει, οι ειλικρινείς απαντημένες ερωτήσεις ασφαλείας μερικές φορές προσφέρουν ελάχιστη προστασία.
Ωστόσο, η περιορισμένη μορφή πολυπαραγοντικής ασφάλειας της ηλεκτρονικής τραπεζικής έχει μεγάλο ανοδική για τους καταναλωτές. Για τους περισσότερους χρήστες τις περισσότερες φορές, το προφίλ της συσκευής είναι αόρατο και λειτουργεί ακριβώς όπως ένας κωδικός πρόσβασης — τον οποίο καταλαβαίνουν σχεδόν όλοι.
Επαληθευτής Google
Ψηφιακά μάρκες, κάρτες ασφαλείας και άλλες συσκευές χρησιμοποιούνται στον έλεγχο ταυτότητας πολλαπλών παραγόντων εδώ και δεκαετίες. Ωστόσο, όπως τα βιομετρικά, μέχρι στιγμής τίποτα δεν έχει αποδειχτεί εφαρμόσιμο για εκατομμύρια καθημερινούς ανθρώπους. Επίσης, δεν υπάρχουν ευρέως διαδεδομένα πρότυπα, επομένως οι άνθρωποι θα μπορούσαν να χρειαστούν μια ντουζίνα διαφορετικά fobs, token, USB sticks και κάρτες για να έχουν πρόσβαση στις αγαπημένες τους υπηρεσίες. Κανείς δεν πρόκειται να το κάνει αυτό.
Τι γίνεται λοιπόν με τα τηλέφωνα στις τσέπες μας; Σχεδόν πριν από ένα χρόνο οι ερευνητές ανακάλυψαν σχεδόν το 90 τοις εκατό των Αμερικανών ενηλίκων είχαν κινητά τηλέφωνα — σχεδόν οι μισοί είχαν smartphone. Οι αριθμοί πρέπει να είναι μεγαλύτεροι τώρα: σίγουρα χρησιμοποιούνται για έλεγχο ταυτότητας πολλαπλών παραγόντων;
Αυτή είναι η ιδέα πίσω Η επαλήθευση σε δύο βήματα της Google, το οποίο στέλνει έναν κωδικό PIN μία φορά σε ένα τηλέφωνο μέσω SMS ή φωνής κατά τη σύνδεση στις υπηρεσίες Google. Οι χρήστες εισάγουν και τον κωδικό πρόσβασής τους και τον κωδικό για να συνδεθούν. Φυσικά, τα τηλέφωνα μπορεί να χαθούν ή να κλαπούν και εάν η μπαταρία πέσει ή δεν υπάρχει διαθέσιμη υπηρεσία κινητής τηλεφωνίας, οι χρήστες κλειδώνονται έξω. Αλλά η υπηρεσία λειτουργεί ακόμη και με τηλέφωνα με δυνατότητες και είναι σίγουρα πιο ασφαλής - αν είναι λιγότερο βολική - από έναν κωδικό πρόσβασης μόνο.
Η επαλήθευση σε δύο βήματα της Google γίνεται πιο ενδιαφέρουσα Επαληθευτής Google, διαθέσιμο για Android, iOS και BlackBerry. Το Google Authenticator χρησιμοποιεί κωδικούς πρόσβασης μίας χρήσης (TOTP), ένα πρότυπο που υποστηρίζεται από το Πρωτοβουλία για Open Authentication. Βασικά, η εφαρμογή περιέχει ένα κρυπτογραφημένο μυστικό και δημιουργεί έναν νέο εξαψήφιο κωδικό κάθε 30 δευτερόλεπτα. Οι χρήστες εισάγουν αυτόν τον κωδικό μαζί με τον κωδικό πρόσβασής τους για να αποδείξουν ότι έχουν τη σωστή συσκευή. Εφόσον το ρολόι του τηλεφώνου είναι σωστό, το Google Authenticator λειτουργεί χωρίς τηλεφωνική υπηρεσία. Επιπλέον, λειτουργούν οι κωδικοί των 30 δευτερολέπτων άλλα υπηρεσίες που υποστηρίζουν TOTP: αυτή τη στιγμή, αυτό περιλαμβάνει Dropbox, LastPass, και Υπηρεσίες Ιστού της Amazon. Ομοίως, άλλες εφαρμογές που υποστηρίζουν TOTP μπορούν να συνεργαστούν με την Google.
Υπάρχουν όμως ζητήματα. Οι χρήστες υποβάλλουν κωδικούς επαλήθευσης στο ίδιο κανάλι με τους κωδικούς πρόσβασης, επομένως είναι ευάλωτοι στα ίδια σενάρια υποκλοπής με τις ηλεκτρονικές τραπεζικές συναλλαγές. Δεδομένου ότι οι εφαρμογές TOTP περιέχουν ένα μυστικό, οποιοσδήποτε (οπουδήποτε στον κόσμο) θα μπορούσε να δημιουργήσει νόμιμους κωδικούς εάν η εφαρμογή ή το μυστικό σπάσουν. Και κανένα σύστημα δεν είναι τέλειο: Τον περασμένο μήνα η Google διόρθωσε ένα πρόβλημα που θα μπορούσε να επιτρέψει συνολικές εξαγορές λογαριασμών μέσω κωδικών πρόσβασης για συγκεκριμένες εφαρμογές. Διασκέδαση.
Πού πάμε από εδώ;
Το μεγαλύτερο πρόβλημα με συστήματα όπως η επαλήθευση σε δύο βήματα της Google είναι απλώς ότι είναι βαριά. Θέλετε να ασχοληθείτε με το τηλέφωνο και τους κωδικούς σας κάθε φορά συνδέεστε σε μια υπηρεσία; Οι γονείς, οι παππούδες, οι φίλοι ή τα παιδιά σας; Οι περισσότεροι άνθρωποι δεν το κάνουν. Ακόμη και οι τεχνόφιλοι που αγαπούν τον cool παράγοντα (και την ασφάλεια) πιθανότατα βρίσκουν τη διαδικασία δύσκολη σε λίγες μόνο εβδομάδες.
Οι αριθμοί δείχνουν ότι ο πόνος είναι πραγματικός. Τον Ιανουάριο, η Google παρείχε Ενσύρματα Robert MacMillan ένα γράφημα υιοθέτησης δύο βημάτων, συμπεριλαμβανομένης μιας ακίδας συνοδεύοντας το Mat Honan's "Epic Hacking» άρθρο τον περασμένο Αύγουστο. Παρατηρήστε ποιος άξονας δεν έχει ετικέτες; Οι εκπρόσωποι της Google αρνήθηκαν να πουν πόσα άτομα χρησιμοποιούν τον έλεγχο ταυτότητας δύο παραγόντων, αλλά ο αντιπρόεδρος ασφαλείας της Google, Eric Grosse, είπε στον MacMillan ότι ένα τέταρτο εκατομμυρίου χρηστών εγγράφηκαν μετά το άρθρο του Honan. Με αυτή τη μέτρηση, η εκτίμησή μου στο πίσω μέρος του φακέλου είναι ότι περίπου 20 εκατομμύρια άτομα έχουν εγγραφεί μέχρι σήμερα — μόλις ένα βαθούλωμα σε 500+ εκατομμύρια άτομα Google αξιώσεις έχετε λογαριασμούς Google+. Αυτός ο αριθμός φαινόταν σωστός σε μια υπάλληλο της Google που δεν ήθελε να κατονομαστεί: Υπολογίστηκε ότι λιγότερο από το δέκα τοις εκατό των «ενεργών» χρηστών του Google+ είχαν εγγραφεί. «Και δεν μένουν όλοι σε αυτό», σημείωσε.
«Όταν έχεις ένα αχαλίνωτο κοινό, δεν μπορείς να υποθέσεις κανενός είδους συμπεριφορά πέρα από τα βασικά — ειδικά αν δεν έχεις δώσει λόγο σε αυτό το κοινό να θέλω αυτή τη συμπεριφορά», δήλωσε ο Christian Hessler, Διευθύνων Σύμβουλος της εταιρείας ελέγχου ταυτότητας κινητής τηλεφωνίας LiveEnsure. «Δεν υπάρχει περίπτωση να εκπαιδεύσετε ένα δισεκατομμύριο ανθρώπους να κάνουν κάτι που δεν θέλουν να κάνουν».
Το LiveEnsure βασίζεται σε χρήστες που επαληθεύουν εκτός ζώνης χρησιμοποιώντας την κινητή συσκευή τους (ή ακόμα και μέσω email). Εισαγάγετε απλώς ένα όνομα χρήστη (ή χρησιμοποιήστε μια ενιαία υπηρεσία σύνδεσης όπως το Twitter ή το Facebook) και το LiveEnsure αξιοποιεί το ευρύτερο πλαίσιο του χρήστη για έλεγχο ταυτότητας: δεν απαιτείται κωδικός πρόσβασης. Αυτήν τη στιγμή, το LiveEnsure χρησιμοποιεί το "line-of-sight" - οι χρήστες σαρώνουν έναν κωδικό QR στην οθόνη χρησιμοποιώντας το τηλέφωνό τους για να επιβεβαιώσουν τη σύνδεσή τους - αλλά σύντομα θα έρθουν και άλλες μέθοδοι επαλήθευσης. Το LiveEnsure παρακάμπτει την παρακολούθηση χρησιμοποιώντας μια ξεχωριστή σύνδεση για την επαλήθευση, αλλά επίσης δεν βασίζεται σε κοινά μυστικά σε προγράμματα περιήγησης, συσκευές ή ακόμα και στην υπηρεσία του. Εάν το σύστημα είναι σπασμένο, το LiveEnsure λέει ότι τα μεμονωμένα κομμάτια δεν έχουν αξία για έναν εισβολέα.
«Ό, τι υπάρχει στη βάση δεδομένων μας θα μπορούσε να ταχυδρομηθεί σε CD ως χριστουγεννιάτικο δώρο και θα ήταν άχρηστο», είπε ο Χέσλερ. «Κανένα μυστικό δεν περνάει, η μόνη συναλλαγή είναι ένα απλό ναι ή όχι».
Η προσέγγιση του LiveEnsure είναι ευκολότερη από την εισαγωγή PIN, αλλά εξακολουθεί να απαιτεί από τους χρήστες να ασχολούνται με κινητές συσκευές και εφαρμογές για να συνδεθούν. Άλλοι στοχεύουν να κάνουν τη διαδικασία πιο διαφανή.
Toopher αξιοποιεί την επίγνωση των κινητών συσκευών για την τοποθεσία τους μέσω GPS ή Wi-Fi ως τρόπο διαφανούς ελέγχου ταυτότητας των χρηστών — τουλάχιστον, από προεγκεκριμένες τοποθεσίες.
«Η Toopher φέρνει περισσότερο πλαίσιο στην απόφαση ελέγχου ταυτότητας για να την καταστήσει αόρατη», δήλωσε ο ιδρυτής και CTO Evan Grimm. "Εάν ένας χρήστης είναι συνήθως στο σπίτι και κάνει τραπεζικές συναλλαγές μέσω Διαδικτύου, ένας χρήστης μπορεί να το αυτοματοποιήσει για να κάνει την απόφαση αόρατη."
Δεν απαιτείται αυτοματισμός: Οι χρήστες μπορούν να επιβεβαιώνουν στην κινητή συσκευή τους κάθε φορά, αν θέλουν. Αλλά αν οι χρήστες λένε στον Toopher τι είναι φυσιολογικό, χρειάζεται μόνο να έχουν το τηλέφωνό τους στην τσέπη τους και ο έλεγχος ταυτότητας γίνεται με διαφάνεια. Οι χρήστες απλώς εισάγουν έναν κωδικό πρόσβασης και όλα τα άλλα είναι αόρατα. Εάν η συσκευή βρίσκεται σε άγνωστη τοποθεσία, οι χρήστες πρέπει να επιβεβαιώσουν στο τηλέφωνό τους — και αν δεν υπάρχει συνδεσιμότητα, το Toopher επιστρέφει σε ένα PIN που βασίζεται στον χρόνο που χρησιμοποιεί την ίδια τεχνολογία με την Google Επαληθευτής.
«Ο Toopher δεν προσπαθεί να αλλάξει ριζικά την εμπειρία του χρήστη, είπε ο Grimm. "Το πρόβλημα με άλλες πολυπαραγοντικές λύσεις δεν ήταν ότι δεν πρόσθεσαν προστασία, αλλά ότι άλλαξαν την εμπειρία του χρήστη και επομένως είχαν εμπόδια στην υιοθέτηση."
Πρέπει να είσαι μέσα στο παιχνίδι
Οι κωδικοί πρόσβασης δεν θα εξαφανιστούν, αλλά θα αυξηθούν με τοποθεσίες, PIN μιας χρήσης, λύσεις οπτικής επαφής και γραμμής ήχου, βιομετρικά στοιχεία ή ακόμα και πληροφορίες σχετικά με κοντινές συσκευές Bluetooth και Wi-Fi. Τα smartphone και οι κινητές συσκευές φαίνονται ο πιο πιθανός τρόπος για να προσθέσετε περισσότερο πλαίσιο για έλεγχο ταυτότητας.
Φυσικά, πρέπει να είσαι μέσα στο παιχνίδι αν θέλεις να παίξεις. Δεν έχουν όλοι smartphone και η νέα τεχνολογία ελέγχου ταυτότητας μπορεί να αποκλείει χρήστες χωρίς πρόσφατη τεχνολογία, αφήνοντας τον υπόλοιπο κόσμο πιο ευάλωτο σε hacks και κλοπή ταυτότητας. Η ψηφιακή ασφάλεια θα μπορούσε εύκολα να γίνει κάτι που ξεχωρίζει τους κατέχοντες από τους μη έχοντες.
Και, μέχρι στιγμής, δεν υπάρχει καμία ένδειξη ποιες λύσεις θα κερδίσουν. Το Toopher και το LiveEnsure είναι μόνο δύο από τους πολλούς παίκτες και όλοι αντιμετωπίζουν ένα πρόβλημα με το κοτόπουλο και το αυγό: Χωρίς υιοθέτηση τόσο από τους χρήστες όσο και από τις υπηρεσίες, δεν βοηθούν κανέναν. Ο Toopher εξασφάλισε πρόσφατα 2 εκατομμύρια δολάρια σε χρηματοδότηση εκκίνησης. Το LiveEnsure συνομιλεί με μερικά μεγάλα ονόματα και ελπίζει να βγει σύντομα από τη λειτουργία stealth. Αλλά είναι πολύ νωρίς για να πούμε πού θα καταλήξει κάποιος.
Εν τω μεταξύ, εάν μια υπηρεσία στην οποία βασίζεστε προσφέρει οποιαδήποτε μορφή ελέγχου ταυτότητας πολλαπλών παραγόντων - είτε μέσω SMS, μιας εφαρμογής smartphone ή ακόμα και μιας τηλεφωνικής κλήσης - εξετάστε το σοβαρά. Είναι σχεδόν σίγουρα καλύτερη προστασία από τον κωδικό πρόσβασης μόνο… ακόμα κι αν είναι επίσης σχεδόν σίγουρα ένας πόνος.
Εικόνα μέσω Shutterstock / Adam Radosavljevic
[Ενημερώθηκε στις 24-Μαρ-2013 για να διευκρινιστούν οι λεπτομέρειες σχετικά με το FFIEC και το LiveEnsure και να διορθωθεί ένα σφάλμα παραγωγής.]
Συστάσεις των συντακτών
- Πώς να βρείτε αρχεία που έχετε κατεβάσει στο smartphone σας iPhone ή Android
- Το σχέδιό σας Google One μόλις έλαβε 2 μεγάλες ενημερώσεις ασφαλείας για να είστε ασφαλείς στο διαδίκτυο
- Πώς το smartphone σας θα μπορούσε να αντικαταστήσει μια επαγγελματική κάμερα το 2023
- Το Pixel 6 της Google είναι ένα καλό smartphone, αλλά θα είναι αρκετό για να πείσει τους αγοραστές;
- Ο επικεφαλής της Google λέει ότι είναι «απογοητευμένος» με το νέο πρόγραμμα ασφάλειας iPhone της Apple
