Sadat miljoonat ihmiset käyttävät salasanoja joka päivä – he avaavat laitteemme, sähköpostimme, sosiaalisen verkostoitumisen ja jopa pankkitilimme. Salasanat ovat kuitenkin yhä heikommin tapa suojella itseämme: Menee tuskin viikko ilman suuria tietoturvahuijauksia. Tällä viikolla se on Cisco — Suurin osa Internetiä käyttävistä laitteistoista.
Tällä hetkellä melkein kaikki haluavat siirtyä salasanojen ulkopuolelle monitekijäinen todennus: vaaditaan "jotain, mitä sinulla on" tai "jotain, mitä olet" sen lisäksi, mitä tiedät. Biometriset tekniikat, jotka mittaavat silmiä, sormenjälkiä, kasvoja ja/tai ääniä käytännöllisempää, mutta epäonnistuvat usein joillekin ihmisille, ja niitä on vaikea tuoda sadoille miljoonille käyttäjille.
Suositellut videot
Emmekö jätä selvää? Eikö ratkaisu monitekijäiseen tietoturvaan ole jo taskuissamme?
Liittyvät
- 15 tärkeintä älypuhelinta, jotka muuttivat maailman ikuisesti
- SMS 2FA on epävarma ja huono – käytä sen sijaan näitä viittä hienoa todennussovellusta
- Sovellustilausväsymys pilaa älypuhelimeni nopeasti
Verkkopankkitoiminta
Uskokaa tai älkää, amerikkalaiset ovat käyttäneet monitekijätodennusta vuosia aina verkkopankkitoiminnassaan - tai ainakin sen vesitettyinä versioina. Vuonna 2001 Federal Financial Institutions Examination Council (FFIEC) vaati Yhdysvaltain verkkopankkipalveluita ottamaan käyttöön todellisen monitekijätodennuksen vuoteen 2006 mennessä.
On vuosi 2013 ja kirjaudumme edelleen verkkopankkiin salasanoilla. Mitä tapahtui?
"Periaatteessa pankit lobbasivat", sanoi Rich Mogull, toimitusjohtaja ja analyytikko Securosis. "Biometriset tiedot ja turvatunnukset voivat toimia hyvin erikseen, mutta niitä on erittäin vaikea skaalata jopa pelkkään pankkitoimintaan. Kuluttajat eivät halua käsitellä useita tällaisia asioita. Useimmat ihmiset eivät edes laita pääsykoodeja puhelimiin."
Joten pankit työnnettiin takaisin. Vuoteen 2005 mennessä FFIEC julkaisi päivitetyt ohjeet joka antoi pankeille mahdollisuuden todentaa salasanalla ja "laitetunnisteella" – pohjimmiltaan profiloimalla käyttäjien järjestelmiä. Jos asiakas kirjautuu sisään tunnetulta laitteelta, hän tarvitsee vain salasanan; Muussa tapauksessa asiakkaan täytyy hypätä useammin läpi – yleensä haastavia kysymyksiä. Ajatuksena on, että laitteiden profilointi merkitsee käyttäjien todentamista omistaa (tietokone, älypuhelin tai tabletti) salasanan mukana tietää.
Pankit ovat kehittyneet entistä kehittyneempiä laitteiden tunnistamisessa vielä uudemmat liittovaltion ohjeet edellyttävät, että pankit käyttävät muutakin kuin helposti kopioitavaa selainevästettä. Mutta järjestelmä on edelleen heikko. Kaikki tapahtuu yhden kanavan kautta, joten jos huono toimija saa yhteyden käyttäjän yhteyteen (ehkä varkauden, hakkeroinnin tai haittaohjelman avulla), kaikki on ohi. Lisäksi ketään kohdellaan kuin asiakasta, joka käyttää uutta laitetta – ja kuten New Yorkin ajat kolumnisti David Pogue voi todistaa, totuudenmukaisesti vastatut turvakysymykset tarjoavat joskus niukan suojan.
Verkkopankkitoiminnan rajoitetulla monitekijäsuojauksella on kuitenkin iso etu kuluttajille. Useimmille käyttäjille laitteen profilointi on useimmiten näkymätöntä ja toimii aivan kuten salasana – jonka melkein kaikki ymmärtävät.
Google Authenticator
Digitaalisia tunnuksia, turvakortteja ja muita laitteita on käytetty monitekijätodennuksessa vuosikymmeniä. Mikään ei kuitenkaan ole toistaiseksi osoittautunut toimivaksi miljoonille jokapäiväisille ihmisille, kuten biometriset tiedot. Myöskään laajalle levinneitä standardeja ei ole, joten ihmiset saattavat tarvita tusinaa erilaista kaukosäädintä, tokeneita, USB-tikkuja ja kortteja käyttääkseen suosikkipalveluitaan. Kukaan ei aio tehdä niin.
Entä sitten taskuissamme olevat puhelimet? Lähes vuosi sitten tutkijat löysivät Lähes 90 prosenttia amerikkalaisista aikuisista omisti matkapuhelimia – lähes puolella oli älypuhelin. Numeroiden on oltava nyt suurempia: käytetäänkö niitä varmasti monitekijätodennukseen?
Siinä ajatus takana Googlen kaksivaiheinen vahvistus, joka lähettää kertaluonteisen PIN-koodin puhelimeen tekstiviestillä tai äänellä kirjautuessasi Google-palveluihin. Käyttäjät syöttävät sekä salasanansa että koodinsa kirjautuakseen sisään. Tietysti puhelimia voi kadota tai varastaa, ja jos akku tyhjenee tai mobiilipalvelua ei ole saatavilla, käyttäjät jäävät ulos. Mutta palvelu toimii myös ominaisuuspuhelimissa ja on varmasti turvallisempi - jos vähemmän kätevä - kuin pelkkä salasana.
Googlen kaksivaiheinen vahvistus muuttuu kiinnostavammaksi Google Authenticator, saatavilla Androidille, iOS: lle ja BlackBerrylle. Google Authenticator käyttää Time-based One-Time Passwords (TOTP) -standardia, jota tukee Aloite Open Authentication. Pohjimmiltaan sovellus sisältää salatun salaisuuden ja luo uuden kuusinumeroisen koodin 30 sekunnin välein. Käyttäjät syöttävät koodin salasanansa kanssa todistaakseen, että heillä on oikea laite. Niin kauan kuin puhelimen kello on oikein, Google Authenticator toimii ilman puhelinpalvelua. Lisäksi sen 30 sekunnin koodit toimivat muu palvelut, jotka tukevat TOTP: tä: juuri nyt se sisältää Dropbox, LastPass, ja Amazon Web Services. Samoin muut TOTP: tä tukevat sovellukset voivat toimia Googlen kanssa.
Mutta ongelmia on. Käyttäjät lähettävät vahvistuskoodit samaan kanavaan kuin salasanat, joten he ovat alttiina samoihin sieppausskenaarioihin kuin verkkopankki. Koska TOTP-sovellukset sisältävät salaisuuden, kuka tahansa (missä tahansa maailmassa) voi luoda laillisia koodeja, jos sovellus tai salaisuus murretaan. Eikä mikään järjestelmä ole täydellinen: Google korjasi viime kuussa ongelman, joka saattoi sallia tilien haltuunotot yhteensä sovelluskohtaisten salasanojen kautta. Hauskaa.
Minne menemme täältä?
Googlen kaksivaiheisen vahvistuksen kaltaisten järjestelmien suurin ongelma on yksinkertaisesti se, että ne ovat tuskallisia. Haluatko hehkuttaa puhelintasi ja koodeja joka ikinen kerta kirjaudutko palveluun? Ovatko vanhempasi, isovanhempasi, ystäväsi tai lapsesi? Useimmat ihmiset eivät. Jopa teknofiilit, jotka rakastavat viileää tekijää (ja turvallisuutta), pitävät prosessia todennäköisesti kiusallisena vain muutamassa viikossa.
Numerot viittaavat siihen, että kipu on todellista. Tammikuussa Google toimitti Langalliset Robert MacMillan kaavio kaksivaiheisesta adoptiosta, mukaan lukien piikki mukana Mat Honanin "Eeppinen hakkerointi” artikkeli viime elokuussa. Huomaa, millä akselilla ei ole tarroja? Googlen edustajat kieltäytyivät kertomasta, kuinka monet ihmiset käyttävät sen kaksivaiheista todennusta, mutta Googlen turvallisuusjohtaja Eric Grosse kertoi MacMillanille neljännesmiljoonalle käyttäjälle, joka on rekisteröitynyt Honanin artikkelin jälkeen. Tällä mittarilla arvioin, että noin 20 miljoonaa ihmistä on rekisteröitynyt tähän mennessä – tuskin lommo yli 500 miljoonassa Googlessa väitteet sinulla on Google+ -tilit. Tämä luku vaikutti oikealta Googlen työntekijästä, joka ei halunnut tulla nimetyksi: hän arvioi, että alle kymmenen prosenttia "aktiivisista" Google+ -käyttäjistä oli rekisteröitynyt. "Ja kaikki eivät pidä siitä kiinni", hän huomautti.
"Kun sinulla on hillitön yleisö, et voi olettaa mitään muuta kuin perusasiat - varsinkaan jos et ole antanut tälle yleisölle syytä haluta tämä käyttäytyminen", sanoi Christian Hessler, mobiilitunnistusyrityksen toimitusjohtaja LiveEnsure. "Et voi mitenkään kouluttaa miljardia ihmistä tekemään jotain, mitä he eivät halua."
LiveEnsure luottaa siihen, että käyttäjät vahvistavat kaistan ulkopuolella mobiililaitteellaan (tai jopa sähköpostitse). Anna vain käyttäjätunnus (tai käytä kertakirjautumispalvelua, kuten Twitter tai Facebook), ja LiveEnsure hyödyntää käyttäjän laajempaa kontekstia todentamiseen: salasanaa ei tarvita. Tällä hetkellä LiveEnsure käyttää näköyhteyttä – käyttäjät skannaavat QR-koodin näytöllä puhelimella vahvistaakseen kirjautumisensa – mutta muita vahvistusmenetelmiä on tulossa pian. LiveEnsure kiertää sieppauksen käyttämällä erillistä yhteyttä vahvistukseen, mutta se ei myöskään luota jaettuihin salaisuuksiin selaimissa, laitteissa tai edes palveluissaan. Jos järjestelmä on murtunut, LiveEnsure sanoo, että yksittäisillä osilla ei ole arvoa hyökkääjälle.
"Se, mitä tietokannassamme on, voitaisiin postittaa CD-levyille joululahjaksi, ja se olisi hyödytöntä", Hessler sanoi. "Mikään salaisuus ei mene ohi, ainoa kauppa on yksinkertainen kyllä tai ei."
LiveEnsuren lähestymistapa on helpompaa kuin PIN-koodien syöttäminen, mutta vaatii silti käyttäjien näpertelevän mobiililaitteita ja sovelluksia kirjautuakseen sisään. Toiset pyrkivät tekemään prosessista avoimemman.
Toopher hyödyntää mobiililaitteiden tietoisuutta sijainnistaan GPS: n tai Wi-Fi: n kautta keinona todentaa käyttäjät läpinäkyvästi – ainakin ennalta hyväksytyistä paikoista.
"Toopher tuo enemmän kontekstia todennuspäätökseen tehdäkseen siitä näkymätön", sanoi perustaja ja teknologiajohtaja Evan Grimm. "Jos käyttäjä on tyypillisesti kotona tekemässä verkkopankkia, käyttäjä voi automatisoida sen tehdäkseen päätöksen näkymättömäksi."
Automaatiota ei vaadita: Käyttäjät voivat halutessaan vahvistaa mobiililaitteellaan joka kerta. Mutta jos käyttäjät kertovat Toopherille, mikä on normaalia, heidän tarvitsee olla vain puhelin taskussaan ja todennus tapahtuu läpinäkyvästi. Käyttäjät syöttävät vain salasanan ja kaikki muu on näkymätöntä. Jos laite on tuntemattomassa paikassa, käyttäjien on vahvistettava puhelimellaan – ja jos ei ole yhteydet, Toopher palaa aikaperusteiseen PIN-koodiin käyttäen samaa tekniikkaa kuin Google Authenticator.
"Toopher ei yritä muuttaa käyttökokemusta perusteellisesti", Grimm sanoi. "Muiden monitekijäratkaisujen ongelma ei ollut se, että ne eivät lisänneet suojaa, vaan se, että ne muuttivat käyttökokemusta ja siksi niiden käyttöönoton esteitä."
Sinun täytyy olla pelissä
Salasanat eivät katoa, mutta niitä täydentävät sijainnit, kertaluonteiset PIN-koodit, näkö- ja äänilinjaratkaisut, biometriset tiedot tai jopa tiedot lähellä olevista Bluetooth- ja Wi-Fi-laitteista. Älypuhelimet ja mobiililaitteet näyttävät todennäköisimmiltä tavoilta lisätä kontekstia todennukseen.
Tietysti sinun on oltava pelissä, jos haluat pelata. Kaikilla ei ole älypuhelimia, ja uusi todennustekniikka saattaa sulkea pois käyttäjät, joilla ei ole viimeisintä tekniikkaa, jolloin muu maailma on alttiimpi hakkeroille ja identiteettivarkauksille. Digitaalisesta turvallisuudesta voi helposti muodostua jotain, joka erottaa omat eivät.
Ja toistaiseksi ei ole kerrottu, mitkä ratkaisut voittaa. Toopher ja LiveEnsure ovat vain kaksi monista pelaajista, ja heillä kaikilla on kana ja muna -ongelma: ilman käyttäjien ja palveluiden hyväksyntää ne eivät auta ketään. Toopher sai äskettäin 2 miljoonaa dollaria startup-rahoituksen; LiveEnsure keskustelee joidenkin suurten nimien kanssa ja toivoo pääsevänsä pian ulos salaamisesta. Mutta on liian aikaista sanoa, mihin joku päätyy.
Sillä välin, jos palvelu, johon luotat, tarjoaa kaikenlaista monitekijätodennusta – joko tekstiviestillä, älypuhelinsovelluksella tai jopa puhelulla – harkitse sitä vakavasti. Se on melkein varmasti parempi suoja kuin pelkkä salasana… vaikka se on myös melkein varmasti kipeä.
Kuvan kautta Shutterstock / Adam Radosavljevic
[Päivitetty 24. maaliskuuta 2013 FFIEC: n ja LiveEnsuren yksityiskohtien selventämiseksi ja tuotantovirheen korjaamiseksi.]
Toimittajien suositukset
- Kuinka löytää ladatut tiedostot iPhone- tai Android-älypuhelimellasi
- Google One ‑pakettisi sai juuri kaksi suurta tietoturvapäivitystä, jotka pitävät sinut turvassa verkossa
- Kuinka älypuhelimesi voisi korvata ammattikameran vuonna 2023
- Googlen Pixel 6 on hyvä älypuhelin, mutta riittääkö se vakuuttamaan ostajat?
- Googlen johtaja sanoo olevansa "pettynyt" Applen uuteen iPhone-tietoturvaohjelmaan
