スマートフォンはオンライン セキュリティを向上させる鍵となるのでしょうか?

何億人もの人が毎日パスワードを使用しており、デバイス、電子メール、ソーシャル ネットワーキング、さらには銀行口座のロックを解除しています。 ただし、パスワードは ますます衰弱していく 自分自身を守る方法: 重大なセキュリティ上のミスがニュースにならない日はほとんどありません。 今週は、 シスコ — 本質的にインターネットに電力を供給するハードウェアの多くを製造するメーカー。

現在、ほぼ全員がパスワードを超えて次のことを実現しようとしています。 多要素認証: あなたが知っているものに加えて、「あなたが持っているもの」または「あなた自身であるもの」を要求します。 目、指紋、顔、声を測定する生体認証技術は、 より実践的になる, しかし、一部の人にとっては失敗することが多く、何億人ものユーザーに提供するのは困難です。

私たちは明白なことを見落としていませんか？ 多要素セキュリティのソリューションはすでに私たちのポケットにあるのではないでしょうか?

オンラインバンキング

信じられないかもしれませんが、アメリカ人は何年もの間、オンライン バンキングを行うたびに多要素認証を使用してきました。あるいは、少なくともその簡易版を使用してきました。 2001 年、連邦金融機関検査評議会 (FFIEC) は、米国のオンライン バンキング サービスに対して、2006 年までに真の多要素認証を展開することを要求しました。

2013 年ですが、私たちは依然としてパスワードを使用してオンライン バンキングにログインしています。 どうしたの？

「基本的に、銀行はロビー活動を行った」と、CEO兼アナリストのリッチ・モーガル氏は述べた。 セキュローシス. 「生体認証とセキュリティ トークンは単独では問題なく機能しますが、銀行業務だけに拡張することは非常に困難です。 消費者はそのような複数のことに対処したくありません。 ほとんどの人は携帯電話にパスコードさえ設定していません。」

そこで銀行は反発した。 2005 年までに、FFIEC は 最新のガイドラインを発行しました

これにより、銀行はパスワードと「デバイス ID」による認証、つまりユーザーのシステムのプロファイリングが可能になりました。 顧客が既知のデバイスからサインインする場合、必要なのはパスワードだけです。 それ以外の場合、顧客はさらに多くの困難を乗り越える必要があります。通常は質問に挑戦する必要があります。 デバイスのプロファイリングは、ユーザーが何かを検証することに相当するという考え方です。 持っている （コンピュータ、スマートフォン、またはタブレット）パスワードを伴う 知る.

銀行はデバイスの識別においてより洗練されており、 まだ新しい連邦ガイドライン 銀行は、簡単にコピーできるブラウザー Cookie 以上の使用を要求します。 しかし、システムはまだ脆弱です。 すべてが 1 つのチャネル上で行われるため、悪意のある攻撃者が (おそらく盗難、ハッキング、またはマルウェアによって) ユーザーの接続を利用できれば、すべてが終わりになります。 さらに、誰もが新しいデバイスを使用する顧客のように扱われます。 ニューヨーク・タイムズ コラムニスト デビッド・ポーグが証言できる、正直に答えたセキュリティの質問では、保護が不十分な場合があります。

ただし、オンライン バンキングの限られた形式の多要素セキュリティでは、 大きい 消費者にとってはメリット。 ほとんどのユーザーにとって、デバイス プロファイリングはほとんどの場合目に見えず、パスワードと同じように機能します。これはほぼ全員が理解しています。

Google認証システム

デジタル トークン、セキュリティ カード、その他のデバイスは、数十年にわたって多要素認証に使用されてきました。 しかし、生体認証のように、これまでのところ、何百万もの一般の人々にとって有効であることが証明されたものはありません。 また、広く普及している標準もないため、お気に入りのサービスにアクセスするには、十数種類の異なるフォブ、トークン、USB スティック、カードが必要になる可能性があります。 誰もそんなことはしないでしょう。

では、私たちのポケットの中にある携帯電話はどうなるのでしょうか？ ほぼ1年前に研究者が発見した アメリカ成人のほぼ90パーセントが携帯電話を所有 — ほぼ半数がスマートフォンを持っていました。 この数字は今はさらに大きくなっているはずです。きっと多要素認証に使用されているのでしょうか?

それが背後にある考え方です Googleの二段階認証、Google サービスにログインするときに、SMS または音声でワンタイム PIN コードを携帯電話に送信します。 ユーザーはパスワードとコードの両方を入力してログインします。 もちろん、携帯電話は紛失したり盗難に遭ったりする可能性があり、バッテリーが切れたりモバイル サービスが利用できなくなったりすると、ユーザーはロックアウトされてしまいます。 しかし、このサービスはフィーチャーフォンでも機能し、利便性は劣るものの、パスワードのみより安全であることは確かです。

Google の 2 段階認証はさらに面白くなります Google認証システム、Android、iOS、BlackBerry で利用できます。 Google Authenticator は、時間ベースのワンタイム パスワード (TOTP) を使用します。これは、 オープン認証への取り組み. 基本的に、アプリには暗号化されたシークレットが含まれており、30 秒ごとに新しい 6 桁のコードが生成されます。 ユーザーは、正しいデバイスを持っていることを証明するために、そのコードとパスワードを入力します。 携帯電話の時計が正しい限り、Google Authenticator は電話サービスがなくても機能します。 さらに、その 30 秒のコードは 他の TOTP をサポートするサービス: 現時点では、以下が含まれます ドロップボックス, ラストパス、 そして アマゾン ウェブ サービス. 同様に、TOTP をサポートする他のアプリも Google と連携できます。

しかし、問題もあります。 ユーザーはパスワードと同じチャネルで確認コードを送信するため、オンライン バンキングと同じ傍受シナリオに対して脆弱になります。 TOTP アプリにはシークレットが含まれているため、アプリやシークレットが解読された場合、誰でも (世界中のどこでも) 正規のコードを生成する可能性があります。 そして、完璧なシステムはありません。先月 Google は、次のような問題を解決しました。 アカウント乗っ取りの合計 アプリ固有のパスワード経由。 楽しい。

ここからどこにいきますか？

Google の 2 段階認証のようなシステムの最大の問題は、単純に面倒だということです。 携帯電話やコードをいじりたいですか 毎回 サービスにログインしていますか？ あなたの両親、祖父母、友人、子供たちはいますか？ ほとんどの人はそうではありません。 クールな要素 (およびセキュリティ) を愛するハイテク愛好家でも、わずか数週間でそのプロセスがぎこちなくなる可能性があります。

数字は痛みが本物であることを示唆しています。 1月にGoogleが提供した ワイヤードの ロバート・マクミランの二段階導入のグラフ、 スパイクも含めて マット・ホナンの「壮大なハッキング」昨年8月の記事。 どの軸にラベルがないかに注目してください。 Googleの代表者は二要素認証を何人が利用しているかについては明言を避けたが、Googleのセキュリティ担当副社長エリック・グロス氏はマクミラン氏に対し、ホーナン氏の記事後に25万人のユーザーが登録したと語った。 この指標に基づくと、私の概算的な推定では、現在までに約 2,000 万人が登録しています。これは、Google の 5 億人以上の人々の数にほとんど変わりません。 請求 Google+ アカウントをお持ちです。 匿名を希望した Google 従業員にとって、この数字はほぼ正しいように思えた。彼女は、「アクティブな」Google+ ユーザーの 10 パーセント未満が登録していると推定した。 「そして、彼ら全員がそれを続けるわけではありません」と彼女は指摘した。

「制限のない聴衆がいる場合、特にその聴衆に理由を与えていない場合は、基本を超えたあらゆる種類の行動を想定することはできません。 欲しい モバイル認証会社の CEO であるクリスチャン・ヘスラー氏は次のように述べています。 ライブエンシュア. 「10億人を訓練して、やりたくないことをやらせるなんてことは不可能です。」

LiveEnsure は、ユーザーがモバイル デバイス (または電子メール) を使用してアウトオブバンドで認証することに依存しています。 ユーザー名を入力するだけで (または Twitter や Facebook などのシングル サインイン サービスを使用すると)、LiveEnsure はユーザーのより広範なコンテキストを利用して認証を行います。パスワードは必要ありません。 現在、LiveEnsure は「見通し線」（ユーザーが携帯電話を使用して画面上の QR コードをスキャンしてログインを確認する）を使用していますが、他の検証方法も間もなく登場します。 LiveEnsure は、検証への別の接続を使用することで傍受を回避しますが、ブラウザー、デバイス、さらにはそのサービスの共有シークレットにも依存しません。 システムがクラックされた場合、個々の部分は攻撃者にとって何の価値もないと LiveEnsure は述べています。

「私たちのデータベースにあるものを、CD にしてクリスマス プレゼントとして郵送しても、それは役に立たないでしょう」とヘスラー氏は言います。 「秘密が外部に流出することはありません。取引は単純な「はい」か「いいえ」だけです。」

LiveEnsure のアプローチは PIN を入力するよりも簡単ですが、それでもユーザーはログインするためにモバイル デバイスやアプリを操作する必要があります。 プロセスの透明性を高めることを目的とする企業もいます。

トゥーファー は、少なくとも事前に承認された場所からユーザーを透過的に認証する方法として、GPS または Wi-Fi を介したモバイル デバイスの位置認識を活用しています。

「Toopher は、認証の決定にさらに多くのコンテキストをもたらし、認証を非表示にします」と創設者兼 CTO の Evan Grimm 氏は述べています。 「ユーザーが通常自宅でオンライン バンキングを行っている場合、ユーザーはそれを自動化して決定を目に見えないようにすることができます。」

自動化は必要ありません。ユーザーは必要に応じて、モバイル デバイスで毎回確認できます。 しかし、ユーザーがToopherに正常なことを伝えれば、携帯電話をポケットに入れるだけで認証が透過的に行われます。 ユーザーはパスワードを入力するだけで、その他はすべて表示されません。 デバイスが不明な場所にある場合、ユーザーは電話で確認する必要があります。 Toopher は、Google と同じテクノロジーを使用して時間ベースの PIN にフォールバックします。 認証者。

「Toopher はユーザー エクスペリエンスを根本的に変えようとはしていません」とグリム氏は述べています。 「他の多要素ソリューションの問題は、保護機能が追加されていないことではなく、ユーザー エクスペリエンスが変化するため、導入に障害があったことです。」

あなたは試合に出なければなりません

パスワードは廃止されませんが、位置情報、ワンタイム PIN、見通し線および音線ソリューション、生体認証、さらには近くの Bluetooth や Wi-Fi デバイスに関する情報によって強化されるでしょう。 スマートフォンとモバイル デバイスは、認証のためのコンテキストを追加する最も可能性の高い方法と思われます。

もちろん、プレイしたい場合はゲームに参加する必要があります。 誰もがスマートフォンを持っているわけではなく、新しい認証技術により最新の技術を持たないユーザーが排除される可能性があり、それ以外の地域はハッキングや個人情報の盗難に対してより脆弱になります。 デジタルセキュリティは、簡単に持つ者と持たざる者を区別するものになる可能性があります。

そして今のところ、どのようなソリューションが成功するかはわかりません。 Toopher と LiveEnsure は多くのプレーヤーのうちの 2 社にすぎませんが、いずれも鶏が先か卵が先かという問題に直面しています。ユーザーとサービスの両方に採用されなければ、誰の役にも立ちません。 Toopher は最近、スタートアップ資金として 200 万ドルを確保しました。 LiveEnsure はいくつかの有名企業と交渉しており、すぐにステルス モードから抜け出すことを望んでいます。 しかし、誰かが最終的にどこに行くかを言うのは時期尚早です。

それまでの間、あなたが利用しているサービスが、SMS、スマートフォン アプリ、または電話経由であっても、何らかの形式の多要素認証を提供している場合は、真剣に検討してください。 パスワードだけよりも確実に保護効果が高くなります。たとえ面倒な作業であることはほぼ間違いありません。

画像経由 シャッターストック / アダム・ラドサブリェビッチ

[FFIEC と LiveEnsure の詳細を明確にし、製造上のエラーを修正するために 2013 年 3 月 24 日に更新。]

編集者のおすすめ

• iPhone または Android スマートフォンでダウンロードしたファイルを見つける方法
• Google One プランに、オンラインの安全を確保するための 2 つの大きなセキュリティ アップデートが適用されました
• 2023 年にスマートフォンがプロ仕様のカメラに取って代わる可能性
• Google の Pixel 6 は優れたスマートフォンですが、購入者を納得させるのに十分でしょうか?
• Googleの責任者、Appleの新しいiPhoneセキュリティプログラムに「失望している」と語る