Sajad miljonid inimesed kasutavad iga päev paroole – nad avavad meie seadmed, e-posti, suhtlusvõrgustiku ja isegi pangakontod. Kuid paroolid on üha nõrgemaks viis end kaitsta: möödub vaevalt nädal, kui uudiseid ei tabaks suuri turvaprobleeme. Sel nädalal on Cisco — suure osa riistvarast, mis põhiliselt Internetti toidab.
Praegu soovivad peaaegu kõik paroolidest kaugemale minna mitmefaktoriline autentimine: nõuab lisaks sellele, mida teate, "midagi, mis teil on" või "midagi, mis sa oled". Biomeetrilised tehnoloogiad, mis mõõdavad silmi, sõrmejälgi, nägusid ja/või hääli muutub praktilisemaks, kuid mõnel inimesel need sageli ebaõnnestuvad ja neid on raske sadade miljonite kasutajateni tuua.
Soovitatavad videod
Kas me ei jäta ilmselget tähelepanuta? Kas mitmefaktorilise turvalisuse lahendus pole juba meie taskutes?
Seotud
- 15 kõige olulisemat nutitelefoni, mis muutsid maailma igaveseks
- SMS 2FA on ebaturvaline ja halb – kasutage selle asemel neid 5 suurepärast autentimisrakendust
- Rakenduse tellimise väsimus rikub kiiresti mu nutitelefoni
E-pangandus
Uskuge või mitte, ameeriklased on aastaid kasutanud mitmefaktorilist autentimist Interneti-panganduses – või vähemalt selle nõrgenenud versioone. 2001. aastal nõudis föderaalne finantsasutuste eksaminõukogu (FFIEC), et USA internetipangateenused võtaksid 2006. aastaks kasutusele tõelise mitmefaktorilise autentimise.
On aasta 2013 ja me logime endiselt internetipanka sisse paroolidega. Mis juhtus?
"Põhimõtteliselt tegid pangad lobitööd," ütles Rich Mogull, ettevõtte tegevjuht ja analüütik Securosis. „Biomeetria ja turvamärgid võivad eraldiseisvalt hästi toimida, kuid neid on väga raske skaleerida isegi panganduseks. Tarbijad ei taha tegeleda mitme sellise asjaga. Enamik inimesi isegi ei pane telefonidesse pääsukoode.
Niisiis lükkasid pangad tagasi. 2005. aastaks on FFIEC välja ajakohastatud juhised mis võimaldas pankadel autentida parooli ja "seadme tuvastamise" abil – põhimõtteliselt kasutajate süsteemide profileerimisega. Kui klient logib sisse teadaolevast seadmest, vajab ta lihtsalt parooli; vastasel juhul peab klient hüppama läbi rohkemate rõngaste – tavaliselt väljakutseküsimused. Idee seisneb selles, et seadmete profiilide koostamine tähendab kasutajate millegi kontrollimist on (arvuti, nutitelefon või tahvelarvuti) koos parooliga tea.
Pangad on seadmete tuvastamisel muutunud keerukamaks ja ikka uuemad föderaalsed juhised nõuavad, et pangad kasutaksid enamat kui lihtsalt kopeeritud brauseri küpsist. Kuid süsteem on endiselt nõrk. Kõik toimub ühe kanali kaudu, nii et kui halb näitleja saab kasutajaga ühendust võtta (võib-olla varguse, häkkimise või pahavara kaudu), on kõik läbi. Lisaks koheldakse kõiki kui kliente, kes kasutavad uut seadet – ja nagu New York Times kolumnist David Pogue võib kinnitada, pakuvad ausalt vastatud turvaküsimused mõnikord vähest kaitset.
Internetipanganduse piiratud mitmefaktorilise turvalisuse vorm on aga olemas suur tarbijate jaoks. Enamiku kasutajate jaoks on seadme profiilide koostamine enamasti nähtamatu ja toimib täpselt nagu parool – millest peaaegu kõik aru saavad.
Google Authenticator
Digimärke, turvakaarte ja muid seadmeid on mitmefaktorilises autentimises kasutatud aastakümneid. Kuid nagu biomeetria, pole miski siiani osutunud toimivaks miljonite igapäevaste inimeste jaoks. Samuti puuduvad laialt levinud standardid, nii et inimesed võivad oma lemmikteenustele juurdepääsuks vajada tosinat erinevat pulti, žetoone, USB-mälupulki ja kaarte. Keegi ei kavatse seda teha.
Kuidas on siis lood meie taskutes olevate telefonidega? Peaaegu aasta tagasi leidsid teadlased peaaegu 90 protsendil Ameerika täiskasvanutest olid mobiiltelefonid — peaaegu pooltel olid nutitelefonid. Numbrid peavad nüüd olema suuremad: kindlasti kasutatakse neid mitmefaktoriliseks autentimiseks?
See on idee Google'i kaheastmeline kinnitamine, mis saadab Google'i teenustesse sisselogimisel SMS-i või häälega telefoni ühekordse PIN-koodi. Kasutajad sisestavad sisselogimiseks nii oma parooli kui ka koodi. Muidugi võivad telefonid kaotsi minna või varastada ning kui aku tühjeneb või mobiiliteenust pole saadaval, jäävad kasutajad lukustatuks. Kuid teenus töötab isegi funktsioonitelefonidega ja on kindlasti turvalisem - kui vähem mugav - kui üksi parool.
Google'i kaheastmeline kinnitamine muutub huvitavamaks Google Authenticator, saadaval Androidi, iOS-i ja BlackBerry jaoks. Google Authenticator kasutab ajapõhiseid ühekordseid paroole (TOTP), mis on standard, mida toetab Avatud autentimise algatus. Põhimõtteliselt sisaldab rakendus krüpteeritud saladust ja genereerib iga 30 sekundi järel uue kuuekohalise koodi. Kasutajad sisestavad selle koodi koos parooliga, et tõestada, et neil on õige seade. Kuni telefoni kell on õige, töötab Google Authenticator ilma telefoniteenuseta. Veelgi enam, selle 30-sekundilised koodid töötavad muud TOTP-d toetavad teenused: praegu hõlmab see Dropbox, LastPass, ja Amazoni veebiteenused. Samamoodi saavad Google'iga töötada ka teised TOTP-d toetavad rakendused.
Kuid probleeme on. Kasutajad esitavad kinnituskoodid paroolidega samal kanalil, nii et nad on haavatavad samade pealtkuulamisstsenaariumide suhtes nagu Interneti-panganduse puhul. Kuna TOTP-rakendused sisaldavad saladust, võib igaüks (ükskõikjal maailmas) luua seaduslikke koode, kui rakendus või saladus puruneb. Ja ükski süsteem pole täiuslik: eelmisel kuul lahendas Google probleemi, mis võis lubada kontode ülevõtmised kokku rakendusepõhiste paroolide kaudu. Lõbus.
Kuhu me siit läheme?
Suurim probleem selliste süsteemide puhul nagu Google'i kaheastmeline kinnitamine on lihtsalt see, et need on valusad. Kas soovite oma telefoni ja koodidega askeldada? iga kord logite teenusesse sisse? Kas teie vanemad, vanavanemad, sõbrad või lapsed? Enamik inimesi seda ei tee. Isegi tehnofiilid, kes armastavad lahedat tegurit (ja turvalisust), peavad protsessi tõenäoliselt ebamugavaks vaid mõne nädala pärast.
Numbrid näitavad, et valu on tõeline. Jaanuaris tarnis Google Juhtmega Robert MacMillan kaheastmelise kasutuselevõtu graafik, sealhulgas naelu kaasas Mat Honani "Eepiline häkkimine” artikkel mullu augustis. Pange tähele, millisel teljel pole silte? Google'i esindajad keeldusid ütlemast, kui palju inimesi kasutab selle kahefaktorilist autentimist, kuid Google'i turvalisuse asepresident Eric Grosse ütles MacMillanile, et pärast Honani artiklit registreerus veerand miljonit kasutajat. Selle mõõdiku järgi on minu ümbrikutaguse hinnangu kohaselt praeguseks registreerunud umbes 20 miljonit inimest – see on vaevalt mõlk 500+ miljonile inimesele, Google väited teil on Google+ kontod. See arv tundus õige Google'i töötajale, kes ei soovinud oma nime avaldada: tema hinnangul oli registreerunud alla kümne protsendi "aktiivsetest" Google+ kasutajatest. "Ja mitte kõik neist ei pea seda kinni," märkis ta.
"Kui teil on ohjeldamatu publik, ei saa te eeldada mingit käitumist, mis ületab põhitõdesid, eriti kui te pole andnud sellele publikule põhjust tahan see käitumine,” ütles mobiiliautentimise ettevõtte tegevjuht Christian Hessler LiveEnsure. "Sa ei saa mingil juhul koolitada miljardit inimest tegema midagi, mida nad teha ei taha."
LiveEnsure tugineb sellele, et kasutajad kinnitavad oma mobiilseadme abil (või isegi e-posti teel) ribavälist kinnitust. Sisestage lihtsalt kasutajanimi (või kasutage ühe sisselogimise teenust, nagu Twitter või Facebook) ja LiveEnsure kasutab autentimiseks kasutaja laiemat konteksti: parooli pole vaja. Praegu kasutab LiveEnsure nn vaatevälja – kasutajad skannivad sisselogimise kinnitamiseks telefoniga ekraanil QR-koodi –, kuid peagi on tulemas ka muud kinnitusmeetodid. LiveEnsure väldib pealtkuulamist, kasutades kinnitamiseks eraldi ühendust, kuid ei tugine ka jagatud saladustele brauserites, seadmetes ega isegi oma teenuses. Kui süsteem on murtud, ütleb LiveEnsure, et üksikutel osadel pole ründaja jaoks väärtust.
"Meie andmebaasis leiduva võiks jõulukingiks CD-del posti teel saata ja see oleks kasutu," ütles Hessler. "Ükski saladus ei lähe üle traadi, ainus tehing on lihtne jah või ei."
LiveEnsure'i lähenemine on lihtsam kui PIN-koodide sisestamine, kuid nõuab sisselogimiseks siiski mobiilseadmete ja rakenduste kallal askeldamist. Teiste eesmärk on muuta protsess läbipaistvamaks.
Toopher suurendab mobiilseadmete teadlikkust oma asukohast GPS-i või Wi-Fi kaudu, et kasutajaid läbipaistvalt autentida – vähemalt eelnevalt kinnitatud asukohtadest.
"Toopher toob autentimisotsusele rohkem konteksti, et muuta see nähtamatuks," ütles asutaja ja tehnikadirektor Evan Grimm. "Kui kasutaja on tavaliselt kodus Interneti-panganduses, saab kasutaja selle automatiseerida, et muuta otsus nähtamatuks."
Automatiseerimine pole vajalik: kasutajad saavad soovi korral oma mobiilseadmes iga kord kinnitada. Kuid kui kasutajad ütlevad Toopherile, mis on normaalne, peab neil olema vaid telefon taskus ja autentimine toimub läbipaistvalt. Kasutajad sisestavad lihtsalt parooli ja kõik muu on nähtamatu. Kui seade asub teadmata asukohas, peavad kasutajad oma telefonis selle kinnitama – ja kui seda pole ühenduvus, naaseb Toopher ajapõhisele PIN-koodile, kasutades sama tehnoloogiat nagu Google Autentija.
"Toopher ei ürita kasutajakogemust põhjalikult muuta, ütles Grimm. "Teiste mitmefaktoriliste lahenduste probleem ei seisnenud selles, et need ei lisanud kaitset, vaid see, et need muutsid kasutajakogemust ja seetõttu takistasid nende kasutuselevõttu."
Sa pead olema mängus
Paroolid ei kao kuhugi, kuid neid täiendavad asukohad, ühekordsed PIN-koodid, vaatevälja ja helilahendused, biomeetria või isegi teave lähedal asuvate Bluetoothi ja Wi-Fi seadmete kohta. Nutitelefonid ja mobiilseadmed tunduvad kõige tõenäolisemad viisid autentimiseks konteksti lisamiseks.
Muidugi pead sa mängus olema, kui tahad mängida. Kõigil ei ole nutitelefone ja uus autentimistehnoloogia võib välistada kasutajad, kellel pole uusimat tehnoloogiat, jättes ülejäänud maailma häkkimise ja identiteedivarguse suhtes haavatavamaks. Digitaalne turvalisus võib kergesti muutuda millekski, mis eristab omajagu vaestest.
Ja siiani pole öelda, millised lahendused võidavad. Toopher ja LiveEnsure on vaid kaks mängijat paljudest ning nad kõik seisavad silmitsi kana ja muna probleemiga: ilma kasutajate ja teenuste omaksvõtmiseta ei aita nad kedagi. Toopher kindlustas hiljuti 2 miljonit dollarit stardirahastust; LiveEnsure räägib mõne suure nimega ja loodab varsti hiilimisrežiimist väljuda. Kuid on liiga vara öelda, kuhu keegi välja jõuab.
Vahepeal, kui teenus, millele tuginete, pakub mis tahes mitmefaktorilist autentimist – olgu siis SMS-i, nutitelefoni rakenduse või isegi telefonikõne kaudu –, kaaluge seda tõsiselt. See on peaaegu kindlasti parem kaitse kui parool üksi … isegi kui see on peaaegu kindlasti ka valus.
Pilt läbi Shutterstock / Adam Radosavljevic
[Värskendatud 24. märts 2013, et selgitada FFIECi ja LiveEnsure'i üksikasju ning parandada tootmisviga.]
Toimetajate soovitused
- Kuidas leida allalaaditud faile oma iPhone'ist või Androidi nutitelefonist
- Teie Google One’i pakett sai just kaks suurt turvavärskendust, et teid võrgus turvaliselt hoida
- Kuidas võiks teie nutitelefon 2023. aastal professionaalset kaamerat asendada
- Google'i Pixel 6 on hea nutitelefon, kuid kas sellest piisab ostjate veenmiseks?
- Google'i juht ütleb, et on Apple'i uues iPhone'i turbeprogrammis pettunud