מאות מיליוני אנשים משתמשים בסיסמאות מדי יום - הם פותחים את המכשירים, הדואר האלקטרוני, הרשתות החברתיות ואפילו חשבונות הבנק שלנו. עם זאת, סיסמאות הן א יותר ויותר חלשים דרך להגן על עצמנו: בקושי עובר שבוע מבלי שתקלת אבטחה גדולה מגיעה לחדשות. השבוע, זה סיסקו - יצרנית של חלק גדול מהחומרה שבעצם מפעילה את האינטרנט.
כרגע, כמעט כולם מחפשים לעבור מעבר לסיסמאות אימות רב-גורמי: דורש "משהו שיש לך" או "משהו שאתה" בנוסף למשהו שאתה מכיר. טכנולוגיות ביומטריות המודדות עיניים, טביעות אצבעות, פנים ו/או קולות נעשה יותר מעשי, אך לעתים קרובות נכשלים עבור אנשים מסוימים, וקשה להביא אותם למאות מיליוני משתמשים.
סרטונים מומלצים
האם אנחנו לא מתעלמים מהמובן מאליו? האם הפתרון לאבטחה רב-גורמי כבר נמצא בכיסים שלנו?
קָשׁוּר
- 15 הסמארטפונים החשובים ביותר ששינו את העולם לנצח
- SMS 2FA אינו מאובטח ורע - השתמש ב-5 אפליקציות המאמת הנהדרות הללו במקום זאת
- עייפות המנויים לאפליקציה הורסת לי את הסמארטפון במהירות
בנקאות מקוונת
תאמינו או לא, האמריקאים משתמשים באימות רב-גורמי במשך שנים בכל פעם שהם עושים בנקאות מקוונת - או, לפחות, גרסאות מרוככות שלו. בשנת 2001, המועצה לבחינת המוסדות הפיננסיים הפדרלית (FFIEC) דרשה משירותי בנקאות מקוונים בארה"ב להפעיל אימות רב-גורמי אמיתי עד 2006.
זה 2013 ואנחנו עדיין נכנסים לבנקאות מקוונת עם סיסמאות. מה קרה?
"בעיקרון, הבנקים לחצו", אמר ריץ' מוגול, מנכ"ל ואנליסט ב- Securosis. "ביומטריה ואסימוני אבטחה יכולים לעבוד מצוין בנפרד, אבל קשה מאוד להרחיב אותם אפילו לבנקאות בלבד. צרכנים לא רוצים להתמודד עם מספר דברים כאלה. רוב האנשים אפילו לא שמים קוד סיסמה לטלפונים."
אז, הבנקים נדחקו לאחור. עד 2005, ה-FFIEC הוציא הנחיות מעודכנות שאפשרה לבנקים לאמת באמצעות סיסמה ו"זיהוי מכשיר" - בעצם, יצירת פרופיל של מערכות המשתמשים. אם לקוח נכנס ממכשיר מוכר, הוא רק צריך סיסמה; אחרת, הלקוח צריך לקפוץ דרך חישוקים נוספים - בדרך כלל שאלות אתגר. הרעיון הוא שפרופיל התקנים מסתכם באימות משהו של משתמשים יש (מחשב, סמארטפון או טאבלט) כדי ללוות את הסיסמה שהם לָדַעַת.
הבנקים הפכו מתוחכמים יותר בזיהוי מכשירים, ו הנחיות פדרליות חדשות יותר דורשים מהבנקים להשתמש ביותר מאשר בעוגייה של דפדפן שניתן להעתיק בקלות. אבל המערכת עדיין חלשה. הכל קורה בערוץ בודד, כך שאם שחקן גרוע יכול להתחבר לחיבור של משתמש (אולי על ידי גניבה, פריצות או תוכנות זדוניות), הכל נגמר. יתר על כן, כל אדם מקבל יחס של לקוח המשתמש במכשיר חדש - וכאל ניו יורק טיימס מְדוֹרַאי דייוויד פוג יכול להעיד, שאלות אבטחה עם תשובות אמיתיות מציעות לפעמים הגנה מועטה.
עם זאת, הצורה המוגבלת של אבטחה רב-גורמי של הבנקאות המקוונת קיימת גָדוֹל יתרון לצרכנים. עבור רוב המשתמשים רוב הזמן, פרופיל מכשירים אינו נראה ופועל בדיוק כמו סיסמה - שכמעט כולם מבינים.
Google Authenticator
אסימונים דיגיטליים, כרטיסי אבטחה והתקנים אחרים שימשו באימות רב-גורמי במשך עשרות שנים. עם זאת, כמו ביומטריה, עד כה שום דבר לא הוכח בר-ביצוע עבור מיליוני אנשים רגילים. אין גם סטנדרטים נרחבים, כך שאנשים יכולים להזדקק לתריסר שלבים, אסימונים, מקלות USB וכרטיסים שונים כדי לגשת לשירותים המועדפים עליהם. אף אחד לא הולך לעשות את זה.
אז מה עם הטלפונים בכיסים שלנו? לפני כמעט שנה מצאו חוקרים כמעט 90 אחוז מהמבוגרים האמריקאים היו הבעלים של טלפונים ניידים - כמעט למחצית היו סמארטפונים. המספרים חייבים להיות גבוהים יותר כעת: האם הם בוודאי משמשים לאימות רב-גורמי?
זה הרעיון מאחורי האימות הדו-שלבי של גוגל, ששולח קוד PIN חד פעמי לטלפון באמצעות SMS או קול בעת הכניסה לשירותי גוגל. משתמשים מזינים גם את הסיסמה שלהם וגם את הקוד כדי להיכנס. כמובן, טלפונים יכולים ללכת לאיבוד או לגנוב, ואם הסוללה מתה או שאין שירות סלולרי זמין, המשתמשים ננעלים בחוץ. אבל השירות עובד אפילו עם טלפונים מיוחדים, והוא בהחלט בטוח יותר - אם פחות נוח - מסיסמה בלבד.
האימות הדו-שלבי של גוגל נעשה מעניין יותר עם Google Authenticator, זמין עבור אנדרואיד, iOS ו-BlackBerry. Google Authenticator משתמש בסיסמאות חד פעמיות מבוססות זמן (TOTP), תקן המגובה על ידי יוזמה לאימות פתוחה. בעיקרון, האפליקציה מכילה סוד מוצפן ויוצרת קוד חדש בן שש ספרות כל 30 שניות. משתמשים מזינים את הקוד הזה יחד עם הסיסמה שלהם כדי להוכיח שיש להם את המכשיר הנכון. כל עוד השעון של הטלפון תקין, Google Authenticator פועל ללא שירות טלפון; יתרה מכך, הקודים של 30 שניות שלו עובדים איתם אַחֵר שירותים התומכים ב-TOTP: כרגע, זה כולל דרופבוקס, מעבר אחרון, ו שירותי האינטרנט של אמזון. כמו כן, אפליקציות אחרות התומכות ב-TOTP יכולות לעבוד עם גוגל.
אבל יש בעיות. משתמשים שולחים קודי אימות באותו ערוץ כמו סיסמאות, כך שהם חשופים לאותם תרחישי יירוט כמו בנקאות מקוונת. מכיוון שאפליקציות TOTP מכילות סוד, כל אחד (בכל מקום בעולם) יכול ליצור קודים לגיטימיים אם האפליקציה או הסוד יפצחו. ואף מערכת לא מושלמת: בחודש שעבר גוגל תיקנה בעיה שיכולה לאפשר סך ההשתלטות בחשבון באמצעות סיסמאות ספציפיות לאפליקציה. כֵּיף.
לאן אנחנו הולכים מכאן?
הבעיה הגדולה ביותר עם מערכות כמו אימות דו-שלבי של גוגל היא פשוט שהן עושות כאב. האם אתה רוצה להתעסק עם הטלפון והקודים שלך כל פעם מחדש אתה נכנס לשירות? האם ההורים, הסבים, החברים או הילדים שלך? רוב האנשים לא. אפילו טכנופילים שאוהבים את הגורם המגניב (ואת האבטחה) כנראה ימצאו את התהליך מביך תוך מספר שבועות בלבד.
מספרים מראים שהכאב אמיתי. בינואר, גוגל סיפקה של Wired רוברט מקמילן גרף של אימוץ דו-שלבי, כולל ספייק מלווה את "Mat Honan"האקינג אפי" מאמר באוגוסט האחרון. שים לב לאיזה ציר אין תוויות? נציגי גוגל סירבו לומר כמה אנשים משתמשים באימות הדו-גורמי שלה, אבל סמנכ"ל האבטחה של גוגל, אריק גרוס, אמר ל-MacMillan שרבע מיליון משתמשים נרשמו לאחר המאמר של Honan. לפי המדד הזה, ההערכה שלי בחלק האחורי של המעטפה היא בערך 20 מיליון אנשים נרשמו עד היום - בקושי שקע ב-500+ מיליון אנשים ב-Google טוען יש לך חשבונות Google+. הנתון הזה נראה נכון לעובדת גוגל שלא רצתה להיקרא בשם: היא העריכה שפחות מעשרה אחוזים ממשתמשי Google+ ה"פעילים" נרשמו. "ולא כולם נשארים עם זה," היא ציינה.
"כשיש לך קהל חסר מעצורים, אתה לא יכול להניח שום סוג של התנהגות מעבר ליסודות - במיוחד אם לא נתת לקהל הזה סיבה רוצה התנהגות זו", אמר כריסטיאן הסלר, מנכ"ל חברת האימות הנייד LiveEnsure. "אין סיכוי שתכשיר מיליארד אנשים לעשות משהו שהם לא רוצים לעשות."
LiveEnsure מסתמכת על משתמשים שמאמתים מחוץ לתחום באמצעות המכשיר הנייד שלהם (או אפילו באמצעות דואר אלקטרוני). הזן רק שם משתמש (או השתמש בשירות כניסה יחידה כמו טוויטר או פייסבוק), ו-LiveEnsure ממנפת את ההקשר הרחב יותר של המשתמש לאימות: אין צורך בסיסמה. נכון לעכשיו, LiveEnsure משתמשת ב"קו ראייה" - משתמשים סורקים קוד QR על המסך באמצעות הטלפון שלהם כדי לאשר את הכניסה שלהם - אבל שיטות אימות אחרות יגיעו בקרוב. LiveEnsure עוקפת יירוט על ידי שימוש בחיבור נפרד לאימות, אך גם לא מסתמכת על סודות משותפים בדפדפנים, במכשירים או אפילו בשירות שלה. אם המערכת סדוקה, LiveEnsure אומר שלחלקים בודדים אין ערך לתוקף.
"מה שנמצא במסד הנתונים שלנו יכול להישלח בדואר בתקליטורים כמתנת חג המולד, וזה יהיה חסר תועלת", אמר הסלר. "שום סודות לא עוברים על החוט, העסקה היחידה היא כן או לא פשוט."
הגישה של LiveEnsure קלה יותר מאשר הזנת קוד PIN, אך עדיין דורשת מהמשתמשים להתעסק עם מכשירים ניידים ואפליקציות כדי להיכנס. אחרים שואפים להפוך את התהליך לשקוף יותר.
טופר ממנפת את המודעות של מכשירים ניידים למיקומם באמצעות GPS או Wi-Fi כדרך לאימות משתמשים באופן שקוף - לפחות ממיקומים שאושרו מראש.
"טופר מביא יותר הקשר להחלטת האימות כדי להפוך אותה לבלתי נראית", אמר המייסד וה-CTO Evan Grimm. "אם משתמש בדרך כלל בבית עושה בנקאות מקוונת, משתמש יכול להפוך את זה לאוטומטי כדי להפוך את ההחלטה לבלתי נראית."
אין צורך באוטומציה: משתמשים יכולים לאשר במכשיר הנייד שלהם בכל פעם, אם הם רוצים. אבל אם משתמשים אומרים ל-Toopher מה נורמלי, הם צריכים רק שהטלפון שלהם יהיה בכיס והאימות מתרחש בשקיפות. המשתמשים פשוט מזינים סיסמה וכל השאר אינו נראה. אם המכשיר נמצא במיקום לא ידוע, המשתמשים צריכים לאשר בטלפון שלהם - ואם אין קישוריות, Toopher חוזר ל-PIN מבוסס זמן באמצעות אותה טכנולוגיה כמו Google מאמת.
"טופר לא מנסה לשנות מהותית את חווית המשתמש", אמר גרים. "הבעיה עם פתרונות מולטי-גורמי אחרים לא הייתה שהם לא הוסיפו הגנה, אלא שהם שינו את חווית המשתמש, ולכן היו להם מכשולים לאימוץ."
אתה חייב להיות במשחק
סיסמאות לא נעלמות, אבל הן יתווספו על ידי מיקומים, מספרי PIN חד-פעמיים, פתרונות קו ראייה וקו קול, ביומטריה, או אפילו מידע על מכשירי Bluetooth ו-Wi-Fi קרובים. סמארטפונים ומכשירים ניידים נראים הדרך הסבירה ביותר להוסיף הקשר נוסף לאימות.
כמובן, אתה חייב להיות במשחק אם אתה רוצה לשחק. לא לכולם יש סמארטפונים, וטכנולוגיית אימות חדשה עשויה להוציא משתמשים ללא טכנולוגיה עדכנית, ולהשאיר את שאר העולם חשוף יותר לפריצות וגניבת זהות. אבטחה דיגיטלית יכולה בקלות להפוך למשהו שמבדיל בין יש מאין.
ועד כה, אין לדעת אילו פתרונות ינצחו. Toopher ו-LiveEnsure הם רק שניים מתוך שחקנים רבים, וכולם מתמודדים עם בעיית תרנגולת וביצה: ללא אימוץ על ידי משתמשים ושירותים, הם לא עוזרים לאף אחד. Toopher השיג לאחרונה 2 מיליון דולר במימון סטארט-אפים; LiveEnsure מדברת עם כמה שמות גדולים ומקווה לצאת ממצב התגנבות בקרוב. אבל מוקדם מדי לומר לאן מישהו יגיע.
בינתיים, אם שירות שאתה מסתמך עליו מציע צורה כלשהי של אימות רב-גורמי - בין אם באמצעות SMS, אפליקציית סמארטפון, או אפילו שיחת טלפון - שקלו זאת ברצינות. זו כמעט בוודאות הגנה טובה יותר מסיסמה בלבד... גם אם זה גם כמעט בוודאות כאב בתחת.
תמונה דרך Shutterstock / אדם Radosavljevic
[עודכן ב-24 במרץ-2013 כדי להבהיר פרטים על FFIEC ו-LiveEnsure, ולתקן שגיאת ייצור.]
המלצות עורכים
- כיצד למצוא קבצים שהורדת בסמארטפון האייפון או האנדרואיד שלך
- תוכנית Google One שלך קיבלה 2 עדכוני אבטחה גדולים כדי לשמור על בטיחותך באינטרנט
- איך הטלפון החכם שלך יכול להחליף מצלמה מקצועית בשנת 2023
- ה-Pixel 6 של גוגל הוא סמארטפון טוב, אבל האם זה יספיק כדי לשכנע את הקונים?
- מוביל גוגל אומר שהוא 'מאוכזב' מתוכנית האבטחה החדשה של אפל לאייפון
