Emberek százmilliói használnak jelszavakat nap mint nap – feloldják eszközeinket, e-mailjeinket, közösségi oldalainkat, sőt bankszámláinkat is. A jelszavak azonban egy egyre gyengébb módja annak, hogy megvédjük magunkat: alig telik el egy hét anélkül, hogy komoly biztonsági tévhit ne érkezne a hírekhez. Ezen a héten az Cisco – az internetet alapvetően működtető hardver nagy részének gyártója.
Jelenleg szinte mindenki a jelszavakon túl szeretne lépni többtényezős hitelesítés: megköveteli, hogy „valami, amivel rendelkezel” vagy „valami, ami vagy” amellett, amit tudsz. A szemeket, ujjlenyomatokat, arcokat és/vagy hangokat mérő biometrikus technológiák egyre praktikusabb, de egyesek számára gyakran meghiúsulnak, és nehéz eljuttatni több százmillió felhasználóhoz.
Ajánlott videók
Nem hagyjuk figyelmen kívül a nyilvánvalót? Nincs már a zsebünkben a többtényezős biztonság megoldása?
Összefüggő
- A 15 legfontosabb okostelefon, amely örökre megváltoztatta a világot
- Az SMS 2FA nem biztonságos és rossz – használja inkább ezt az 5 nagyszerű hitelesítő alkalmazást
- Az alkalmazás-előfizetési fáradtság gyorsan tönkreteszi az okostelefonomat
Online bankolás
Akár hiszi, akár nem, az amerikaiak évek óta többtényezős hitelesítést alkalmaznak, amikor online banki ügyeket intéznek – vagy legalábbis annak felhígított verzióit. 2001-ben a Szövetségi Pénzügyi Intézmények Vizsgatanácsa (FFIEC) megkövetelte az amerikai online banki szolgáltatásoktól, hogy 2006-ra bevezessék a valódi többtényezős hitelesítést.
2013 van, és még mindig jelszavakkal jelentkezünk be az online banki szolgáltatásokba. Mi történt?
„Alapvetően a bankok lobbiztak” – mondta Rich Mogull, a bank vezérigazgatója és elemzője Securosis. „A biometrikus adatok és a biztonsági tokenek külön-külön is jól működhetnek, de nagyon nehéz őket még csak banki tevékenységre is méretezni. A fogyasztók nem akarnak több ilyen dologgal foglalkozni. A legtöbb ember még csak jelszót sem tesz fel a telefonjára.”
Tehát a bankok visszaszorultak. 2005-re az FFIEC frissített irányelveket adott ki amely lehetővé tette a bankok számára, hogy jelszóval és „eszközazonosítóval” hitelesítsenek – alapvetően a felhasználók rendszereinek profilozásával. Ha egy ügyfél egy ismert eszközről jelentkezik be, csak jelszóra van szüksége; ellenkező esetben az ügyfélnek több karikát kell átugrania – ez általában kihívást jelent. Az ötlet az, hogy az eszközök profilozása a felhasználók ellenőrzését jelenti van (számítógép, okostelefon vagy táblagép), hogy kísérje a jelszót tud.
A bankok kifinomultabbá váltak az eszközök azonosításában, és még újabb szövetségi irányelvek megkövetelik, hogy a bankok többet használjanak, mint egy könnyen másolható böngésző cookie-t. De a rendszer még mindig gyenge. Minden egyetlen csatornán keresztül történik, tehát ha egy rossz színész hozzá tud kapcsolódni a felhasználóhoz (talán lopással, feltöréssel vagy rosszindulatú programokkal), akkor mindennek vége. Továbbá mindenkit úgy kezelnek, mint egy új eszközt használó vásárlót – és úgy is New York Times rovatvezető David Pogue tanúsíthatja, az őszintén megválaszolt biztonsági kérdések néha csekély védelmet nyújtanak.
Az online banki szolgáltatások többtényezős biztonságának korlátozott formája azonban rendelkezik nagy pozitívum a fogyasztók számára. A legtöbb felhasználó számára az eszközprofilozás legtöbbször láthatatlan, és ugyanúgy működik, mint egy jelszó – amit szinte mindenki megért.
Google Authenticator
A digitális tokeneket, biztonsági kártyákat és egyéb eszközöket évtizedek óta használják a többtényezős hitelesítésben. A biometrikus adatokhoz hasonlóan azonban eddig semmi sem bizonyult működőképesnek a mindennapi emberek milliói számára. Nincsenek széles körben elterjedt szabványok sem, így az embereknek tucatnyi különböző távirányítóra, tokenre, USB pendrive-ra és kártyára lehet szükségük kedvenc szolgáltatásaik eléréséhez. Senki nem fog ilyet tenni.
Na és mi van a zsebünkben lévő telefonokkal? Majdnem egy évvel ezelőtt a kutatók megállapították az amerikai felnőttek csaknem 90 százalékának volt mobiltelefonja — csaknem felének volt okostelefonja. A számoknak most nagyobbnak kell lenniük: biztos, hogy többtényezős hitelesítésre használják?
Ez a mögöttes ötlet A Google kétlépcsős azonosítása, amely egy egyszeri PIN kódot küld a telefonra SMS-ben vagy hangon, amikor bejelentkezik a Google szolgáltatásaiba. A felhasználók beírják jelszavukat és kódjukat is a bejelentkezéshez. Természetesen a telefonok elveszhetnek vagy ellophatók, és ha az akkumulátor lemerül, vagy nem érhető el mobilszolgáltatás, a felhasználók ki vannak zárva. De a szolgáltatás még a telefonnal is működik, és minden bizonnyal biztonságosabb – ha kevésbé kényelmes –, mint a jelszó önmagában.
A Google kétlépcsős azonosítása egyre érdekesebbé válik Google Authenticator, elérhető Android, iOS és BlackBerry számára. A Google Authenticator időalapú egyszeri jelszavakat (TOTP) használ, amely szabványt a Kezdeményezés a nyílt hitelesítéshez. Alapvetően az alkalmazás titkosított titkot tartalmaz, és 30 másodpercenként új hatjegyű kódot generál. A felhasználók beírják ezt a kódot a jelszavukkal együtt, hogy igazolják, hogy a megfelelő eszközzel rendelkeznek. Amíg a telefon órája helyes, a Google Authenticator telefonszolgáltatás nélkül is működik; mi több, 30 másodperces kódjai működnek Egyéb a TOTP-t támogató szolgáltatások: jelenleg ez magában foglalja Dropbox, LastPass, és Amazon webszolgáltatások. Hasonlóképpen, a TOTP-t támogató egyéb alkalmazások is együttműködhetnek a Google-lal.
De vannak problémák. A felhasználók ugyanazon a csatornán küldik be az ellenőrző kódokat, mint a jelszavakat, így ki vannak téve ugyanazoknak az elfogási forgatókönyveknek, mint az online bankoknál. Mivel a TOTP-alkalmazások titkot tartalmaznak, bárki (bárhol a világon) legitim kódokat generálhat, ha az alkalmazás vagy titok feltörik. És egyetlen rendszer sem tökéletes: a múlt hónapban a Google kijavított egy hibát, amely lehetővé tette teljes számlaátvétel alkalmazás-specifikus jelszavakon keresztül. Szórakozás.
Hova megyünk innen?
A legnagyobb probléma az olyan rendszerekkel, mint a Google kétlépcsős azonosítása, egyszerűen az, hogy fájdalmasak. Akarsz babrálni a telefonoddal és a kódokkal minden egyes alkalommal bejelentkezel egy szolgáltatásba? A szüleid, nagyszüleid, barátaid vagy gyermekeid? A legtöbb ember nem. Még azok a technofilok is, akik szeretik a hűvös tényezőt (és a biztonságot), valószínűleg csak néhány hét alatt kínosnak találják a folyamatot.
A számok azt mutatják, hogy a fájdalom valódi. Januárban a Google biztosította Vezetékesek Robert MacMillan a kétlépcsős átvétel grafikonja, köztük egy tüske kíséri Mat Honan”Epikus hacking” cikk tavaly augusztusban. Figyelje meg, melyik tengelyen nincsenek címkék? A Google képviselői nem voltak hajlandók megmondani, hányan használják a kétfaktoros hitelesítést, de Eric Grosse, a Google biztonsági alelnöke elmondta a MacMillannak, hogy Honan cikke után negyedmillió felhasználó jelentkezett be. Ezzel a mérőszámmal a borítékhátul becslésem szerint körülbelül 20 millió ember iratkozott fel a mai napig – ez alig egy horpadás a Google 500 milliónál több emberén. állítja rendelkezik Google+-fiókkal. Ez a szám megfelelőnek tűnt egy Google-alkalmazott számára, aki nem akarta megnevezni magát: becslése szerint az „aktív” Google+-felhasználók kevesebb mint tíz százaléka regisztrált. „És nem mindegyik ragaszkodik hozzá” – jegyezte meg.
„Ha féktelen közönséged van, nem vállalhatsz semmiféle viselkedést az alapokon túl – különösen, ha nem adtál okot a közönségnek arra, hogy akar ezt a viselkedést” – mondta Christian Hessler, a mobilhitelesítési vállalat vezérigazgatója LiveEnsure. „Semmi esély arra, hogy egymilliárd embert nevelj meg olyasmire, amit nem akarnak.”
A LiveEnsure arra támaszkodik, hogy a felhasználók mobileszközükön (vagy akár e-mailben) igazolják a sávon kívüli igazolást. Csak egy felhasználónevet írjon be (vagy használjon egyszeri bejelentkezési szolgáltatást, például a Twittert vagy a Facebookot), és a LiveEnsure a felhasználó szélesebb kontextusát használja ki a hitelesítéshez: nincs szükség jelszóra. Jelenleg a LiveEnsure „látótávolságot” használ – a felhasználók beolvasnak egy QR-kódot a képernyőn a telefonjukkal, hogy megerősítsék a bejelentkezésüket –, de hamarosan más ellenőrzési módszerek is megjelennek. A LiveEnsure kikerüli az elfogást azáltal, hogy külön kapcsolatot használ az ellenőrzéshez, de nem hagyatkozik a böngészőkben, eszközökben vagy akár szolgáltatásaiban megosztott titkokra. Ha a rendszer feltört, a LiveEnsure szerint az egyes daraboknak nincs értéke a támadó számára.
„Az adatbázisunkban található elemeket ki lehetne postázni CD-n karácsonyi ajándékként, és ez hiábavaló lenne” – mondta Hessler. "Semmi titkok nem járnak túl, az egyetlen tranzakció egy egyszerű igen vagy nem."
A LiveEnsure megközelítése egyszerűbb, mint a PIN-kódok megadása, de a bejelentkezéshez továbbra is mobileszközökkel és alkalmazásokkal kell babrálni. Mások célja a folyamat átláthatóbbá tétele.
Toopher A mobileszközök GPS-en vagy Wi-Fi-n keresztül felismerik a helyüket, hogy átláthatóan hitelesítsék a felhasználókat – legalábbis az előzetesen jóváhagyott helyekről.
"A Toopher több kontextust hoz a hitelesítési döntésbe, hogy láthatatlanná tegye" - mondta Evan Grimm alapító és műszaki igazgató. "Ha a felhasználó jellemzően otthon van és online banki ügyintézést végez, a felhasználó automatizálhatja azt, hogy a döntése láthatatlan legyen."
Nincs szükség automatizálásra: a felhasználók bármikor megerősíthetik mobileszközükön, ha akarják. De ha a felhasználók elmondják a Toophernek, hogy mi a normális, akkor csak a zsebükben kell tartaniuk a telefont, és a hitelesítés átláthatóan történik. A felhasználók csak beírnak egy jelszót, és minden más láthatatlan. Ha az eszköz ismeretlen helyen van, a felhasználóknak meg kell erősíteniük a telefonjukon – és ha nincs kapcsolat, a Toopher visszatér az időalapú PIN-kódhoz, ugyanazt a technológiát alkalmazva, mint a Google Hitelesítő.
„A Toopher nem próbálja meg alapvetően megváltoztatni a felhasználói élményt – mondta Grimm. „A többi többtényezős megoldással nem az volt a probléma, hogy nem adtak hozzá védelmet, hanem az, hogy megváltoztatták a felhasználói élményt, és ezért az elfogadás akadályai voltak.”
Benned kell a játékban
A jelszavak nem tűnnek el, de kibővülnek a helyekkel, az egyszeri PIN-kódokkal, a rálátási és hangvonali megoldásokkal, a biometrikus adatokkal, vagy akár a közeli Bluetooth- és Wi-Fi-eszközökkel kapcsolatos információkkal. Az okostelefonok és a mobileszközök tűnnek a legvalószínűbb módnak arra, hogy több kontextust adjanak a hitelesítéshez.
Természetesen, ha játszani akarsz, a játékban kell lenned. Nem mindenkinek van okostelefonja, és az új hitelesítési technológia kizárhatja a legújabb technológiával nem rendelkező felhasználókat, így a világ többi része sebezhetőbbé válik a feltörésekkel és a személyazonosság-lopással szemben. A digitális biztonság könnyen olyasvalamivé válhat, ami megkülönbözteti a gazdagokat a nincstelenektől.
És egyelőre nem tudni, milyen megoldások nyernek. A Toopher és a LiveEnsure csak két játékos a sok közül, és mindannyian tyúk-tojás problémával néznek szembe: a felhasználók és a szolgáltatások elfogadása nélkül nem segítenek senkinek. Toopher nemrégiben 2 millió dolláros startup finanszírozást biztosított; A LiveEnsure beszél néhány nagy névvel, és reméli, hogy hamarosan kilép a lopakodó módból. De még túl korai megmondani, hogy ki hol fog végezni.
Addig is, ha egy szolgáltatás, amelyre támaszkodik, a többtényezős hitelesítés bármilyen formáját kínálja – akár SMS-ben, okostelefon-alkalmazásban vagy akár telefonhíváson keresztül –, fontolja meg komolyan. Szinte biztos, hogy jobb védelem, mint egy jelszó önmagában… még akkor is, ha szinte biztos, hogy fájdalmat okoz.
Kép keresztül Shutterstock / Radosavljevic Ádám
[Frissítve 2013. március 24-én az FFIEC és a LiveEnsure részleteinek tisztázása és a gyártási hiba javítása érdekében.]
Szerkesztői ajánlások
- Hogyan találhat letöltött fájlokat iPhone vagy Android okostelefonján
- A Google One-csomagod két nagy biztonsági frissítést kapott, hogy biztonságban maradhass az interneten
- Hogyan helyettesítheti okostelefonja egy professzionális kamerát 2023-ban
- A Google Pixel 6 egy jó okostelefon, de vajon elég lesz-e meggyőzni a vásárlókat?
- A Google vezetője azt mondja, hogy „csalódott” az Apple új iPhone biztonsági programjában
