Stotine milijuna ljudi svakodnevno koriste zaporke — otključavaju naše uređaje, e-poštu, društvene mreže, pa čak i bankovne račune. Međutim, lozinke su sve slabiji način da se zaštitimo: Jedva da prođe tjedan dana a da se u vijestima ne pojavi neki veliki sigurnosni gaf. Ovaj tjedan je Cisco — proizvođač velikog dijela hardvera koji u biti pokreće internet.
Upravo sada, gotovo svi žele prijeći dalje od lozinki multifaktorska autentifikacija: zahtijevati "nešto što imate" ili "nešto što jeste" uz nešto što znate. Biometrijske tehnologije koje mjere oči, otiske prstiju, lica i/ili glasove su sve praktičniji, ali često zakažu nekim ljudima i teško ih je približiti stotinama milijuna korisnika.
Preporučeni videozapisi
Ne previđamo li očito? Nije li rješenje za višestruku sigurnost već u našim džepovima?
Povezano
- 15 najvažnijih pametnih telefona koji su zauvijek promijenili svijet
- SMS 2FA je nesiguran i loš — umjesto toga upotrijebite ovih 5 sjajnih aplikacija za autentifikaciju
- Zamor od pretplate na aplikacije brzo uništava moj pametni telefon
Online bankarstvo
Vjerovali ili ne, Amerikanci već godinama koriste multifaktorsku autentifikaciju kad god obavljaju internetsko bankarstvo - ili, barem, njegove ublažene verzije. Godine 2001. Savezno vijeće za ispitivanje financijskih institucija (FFIEC) zahtijevalo je od američkih usluga internetskog bankarstva da do 2006. uvedu pravu multifaktorsku autentifikaciju.
2013. je godina, a mi se još uvijek prijavljujemo u online bankarstvo sa lozinkama. Što se dogodilo?
"U osnovi, banke su lobirale", rekao je Rich Mogull, glavni izvršni direktor i analitičar u Sekuroza. “Biometrija i sigurnosni tokeni mogu dobro funkcionirati izolirano, ali vrlo ih je teško skalirati čak i samo na bankarstvo. Potrošači se ne žele baviti višestrukim takvim stvarima. Većina ljudi čak ni ne stavlja šifru na telefon.”
Dakle, banke su se odgurnule. Do 2005. FFIEC izdao ažurirane smjernice koji je bankama omogućio autentifikaciju pomoću lozinke i "identifikacije uređaja" - u osnovi, profiliranje korisničkih sustava. Ako se korisnik prijavi s poznatog uređaja, treba mu samo lozinka; u suprotnom, kupac treba preskočiti više obruča - obično izazovna pitanja. Ideja je da se profiliranje uređaja svodi na provjeru nečega korisnika imati (računalo, pametni telefon ili tablet) uz lozinku znati.
Banke su postale sofisticiranije u identificiranju uređaja i još novije federalne smjernice zahtijevaju od banaka da koriste više od kolačića preglednika koji se lako kopira. Ali sustav je još uvijek slab. Sve se događa preko jednog kanala, tako da ako loš akter može ući u vezu korisnika (možda krađom, hakiranjem ili zlonamjernim softverom), sve je gotovo. Nadalje, svatko se tretira kao kupac koji koristi novi uređaj - i kao New York Times kolumnist David Pogue može potvrditi, sigurnosna pitanja s istinitim odgovorima ponekad nude slabu zaštitu.
Međutim, ograničeni oblik višefaktorske sigurnosti internetskog bankarstva ima velik prednost za potrošače. Za većinu korisnika profiliranje uređaja većinu je vremena nevidljivo i funkcionira poput lozinke — koju gotovo svi razumiju.
Google autentifikator
Digitalni tokeni, sigurnosne kartice i drugi uređaji desetljećima se koriste u multifaktorskoj autentifikaciji. Međutim, poput biometrije, dosad se ništa nije pokazalo djelotvornim za milijune običnih ljudi. Također ne postoje široko rasprostranjeni standardi, pa bi ljudima moglo trebati desetak različitih privjesaka, tokena, USB memorija i kartica za pristup njihovim omiljenim uslugama. Nitko to neće učiniti.
Pa što je s telefonima u našim džepovima? Prije gotovo godinu dana istraživači su otkrili gotovo 90 posto odraslih Amerikanaca posjedovalo je mobilne telefone — gotovo polovica imala je pametne telefone. Brojevi sada moraju biti veći: sigurno se koriste za multifaktorsku autentifikaciju?
To je ideja iza Googleova potvrda u dva koraka, koji šalje jednokratni PIN kod na telefon putem SMS-a ili glasa prilikom prijave na Googleove usluge. Korisnici unose i svoju lozinku i kod za prijavu. Naravno, telefoni se mogu izgubiti ili ukrasti, a ako se baterija isprazni ili mobilna usluga nije dostupna, korisnici se zaključavaju. Ali usluga radi čak i s telefonima s značajkama i svakako je sigurnija - iako manje prikladna - od same lozinke.
Googleova potvrda u dva koraka postaje zanimljivija s Google autentifikator, dostupno za Android, iOS i BlackBerry. Google Authenticator koristi jednokratne lozinke temeljene na vremenu (TOTP), standard koji podržava Inicijativa za otvorenu autentifikaciju. Uglavnom, aplikacija sadrži šifriranu tajnu i generira novi šesteroznamenkasti kod svakih 30 sekundi. Korisnici unose taj kod zajedno sa svojom lozinkom kako bi dokazali da imaju ispravan uređaj. Sve dok je sat na telefonu točan, Google Authenticator radi bez telefonske usluge; štoviše, njegovi kodovi od 30 sekundi rade s drugo usluge koje podržavaju TOTP: upravo sada, to uključuje Dropbox, LastPass, i Amazonove web usluge. Isto tako, druge aplikacije koje podržavaju TOTP mogu raditi s Googleom.
Ali postoje problemi. Korisnici šalju kontrolne kodove na isti kanal kao i zaporke, tako da su ranjivi na iste scenarije presretanja kao i internetsko bankarstvo. Budući da TOTP aplikacije sadrže tajnu, bilo tko (bilo gdje u svijetu) može generirati legitimne kodove ako se aplikacija ili tajna šifra razbije. I nijedan sustav nije savršen: Google je prošli mjesec riješio problem koji bi mogao dopustiti ukupno preuzimanje računa putem zaporki za pojedine aplikacije. Zabava.
Gdje idemo odavde?
Najveći problem sa sustavima kao što je Googleova provjera u dva koraka jednostavno je to što su gnjavaža. Želiš li se petljati s telefonom i kodovima svaki put prijavljujete se na servis? Da li vaši roditelji, bake i djedovi, prijatelji ili djeca? Većina ljudi nema. Čak će i tehnofili koji vole cool čimbenik (i sigurnost) vjerojatno smatrati da će proces postati neugodan za samo nekoliko tjedana.
Brojke pokazuju da je bol stvarna. U siječnju je isporučio Google Žičani Robert MacMillan graf usvajanja u dva koraka, uključujući i šiljak prateći "Mata Honana"Epsko hakiranje” članak prošlog kolovoza. Primijetite koja os nema oznake? Predstavnici Googlea odbili su reći koliko ljudi koristi njegovu dvofaktorsku autentifikaciju, ali Googleov potpredsjednik za sigurnost Eric Grosse rekao je MacMillanu da se nakon Honanova članka upisalo četvrt milijuna korisnika. Prema toj metrici, moja procjena na poleđini kuverte je oko 20 milijuna ljudi koji su se prijavili do danas - jedva nešto u odnosu na 500+ milijuna ljudi Google zahtjevi imaju Google+ račune. Ta se brojka činila točnom Googleovoj zaposlenici koja nije željela biti imenovana: procijenila je da se manje od deset posto "aktivnih" Google+ korisnika prijavilo. "I ne drže se svi toga", primijetila je.
„Kada imate neobuzdanu publiku, ne možete preuzeti bilo kakvu vrstu ponašanja izvan osnovnih — pogotovo ako toj publici niste dali razlog da željeti takvo ponašanje,” rekao je Christian Hessler, izvršni direktor tvrtke za mobilnu autentifikaciju LiveEnsure. "Nema šanse da uvježbate milijardu ljudi da rade nešto što ne žele."
LiveEnsure se oslanja na korisnike koji provjeravaju izvanpojasno pomoću svojih mobilnih uređaja (ili čak putem e-pošte). Unesite samo korisničko ime (ili upotrijebite jedinstvenu uslugu prijave kao što je Twitter ili Facebook), a LiveEnsure koristi širi kontekst korisnika za autentifikaciju: nije potrebna lozinka. Trenutačno LiveEnsure koristi "liniju vidljivosti" — korisnici skeniraju QR kod na zaslonu koristeći svoj telefon kako bi potvrdili svoju prijavu — ali uskoro će stići i drugi načini provjere. LiveEnsure zaobilazi presretanje korištenjem zasebne veze za provjeru, ali se također ne oslanja na dijeljene tajne u preglednicima, uređajima ili čak svojoj usluzi. Ako je sustav krekiran, LiveEnsure kaže da pojedinačni dijelovi nemaju nikakvu vrijednost za napadača.
"Ono što je u našoj bazi podataka moglo bi se poslati poštom na CD-u kao božićni dar, i bilo bi beskorisno", rekao je Hessler. "Nikakve tajne ne idu preko žice, jedina transakcija je jednostavno da ili ne."
LiveEnsureov pristup lakši je od unošenja PIN-ova, ali još uvijek zahtijeva od korisnika petljanje s mobilnim uređajima i aplikacijama za prijavu. Drugima je cilj učiniti proces transparentnijim.
Toopher iskorištava svijest mobilnih uređaja o njihovoj lokaciji putem GPS-a ili Wi-Fi-ja kao način za transparentnu provjeru autentičnosti korisnika - barem s unaprijed odobrenih lokacija.
"Toopher donosi više konteksta u odluku o autentifikaciji kako bi je učinio nevidljivom", rekao je osnivač i tehnički direktor Evan Grimm. "Ako je korisnik obično kod kuće i obavlja internetsko bankarstvo, korisnik to može automatizirati kako bi odluka bila nevidljiva."
Automatizacija nije potrebna: korisnici mogu potvrditi na svom mobilnom uređaju svaki put, ako to žele. Ali ako korisnici kažu Toopheru što je normalno, trebaju samo imati svoj telefon u džepu i autentifikacija se odvija transparentno. Korisnici samo unose lozinku, a sve ostalo je nevidljivo. Ako je uređaj na nepoznatoj lokaciji, korisnici moraju potvrditi na svom telefonu - a ako nema povezivost, Toopher se vraća na PIN koji se temelji na vremenu koristeći istu tehnologiju kao Google Autentifikator.
“Toopher ne pokušava iz temelja promijeniti korisničko iskustvo, rekao je Grimm. "Problem s drugim multifaktorskim rješenjima nije bio u tome što nisu dodali zaštitu, već u tome što su promijenili korisničko iskustvo, pa su stoga imali prepreke za usvajanje."
Moraš biti u igri
Lozinke neće nestati, ali će biti proširene lokacijama, jednokratnim PIN-ovima, rješenjima linije vidljivosti i linije zvuka, biometrijskim podacima ili čak informacijama o obližnjim Bluetooth i Wi-Fi uređajima. Pametni telefoni i mobilni uređaji čine se najvjerojatnijim načinom za dodavanje više konteksta za autentifikaciju.
Naravno, morate biti u igri ako želite igrati. Nemaju svi pametne telefone, a nova tehnologija autentifikacije može isključiti korisnike koji nemaju noviju tehnologiju, ostavljajući ostatak svijeta ranjivijim na hakiranje i krađu identiteta. Digitalna sigurnost lako bi mogla postati nešto što razlikuje one koji imaju od onih koji nemaju.
I zasad se ne zna koja će rješenja pobijediti. Toopher i LiveEnsure samo su dva od mnogih igrača i svi se suočavaju s problemom kokoši i jajeta: bez usvajanja od strane korisnika i usluga, nikome ne pomažu. Toopher je nedavno osigurao 2 milijuna dolara financiranja pokretanja; LiveEnsure razgovara s nekim velikim imenima i nada se da će uskoro izaći iz skrivenog načina rada. Ali prerano je govoriti gdje će tko završiti.
U međuvremenu, ako usluga na koju se oslanjate nudi bilo koji oblik višestruke provjere autentičnosti - bilo putem SMS-a, aplikacije za pametni telefon ili čak telefonskog poziva - ozbiljno je razmotrite. To je gotovo sigurno bolja zaštita od same lozinke... čak i ako je također gotovo sigurno gnjavaža.
Slika putem Shutterstock / Adam Radosavljević
[Ažurirano 24. ožujka 2013. kako bi se razjasnili detalji o FFIEC-u i LiveEnsureu i ispravila greška u proizvodnji.]
Preporuke urednika
- Kako pronaći preuzete datoteke na svom iPhone ili Android pametnom telefonu
- Vaš plan za Google One upravo je dobio 2 velika sigurnosna ažuriranja kako biste bili sigurni na internetu
- Kako bi vaš pametni telefon mogao zamijeniti profesionalnu kameru 2023
- Googleov Pixel 6 je dobar pametni telefon, ali hoće li biti dovoljan da uvjeri kupce?
- Voditelj Googlea kaže da je 'razočaran' Appleovim novim sigurnosnim programom za iPhone