ასობით მილიონი ადამიანი ყოველდღიურად იყენებს პაროლს - ისინი განბლოკავენ ჩვენს მოწყობილობებს, ელფოსტას, სოციალურ ქსელებს და საბანკო ანგარიშებსაც კი. თუმცა, პაროლები არის სულ უფრო სუსტი საკუთარი თავის დასაცავად: ძლივს ერთი კვირა გადის ისე, რომ უსაფრთხოების მნიშვნელოვანი გაფი არ მოხვდეს ამბებში. ამ კვირაში, ეს არის Cisco — ტექნიკის დიდი ნაწილის მწარმოებელი, რომელიც არსებითად აძლიერებს ინტერნეტს.
ამჟამად, თითქმის ყველა ცდილობს პაროლების მიღმა გადასვლას მრავალფაქტორიანი ავთენტიფიკაცია: მოითხოვეთ „რაღაც გაქვთ“ ან „რაღაც ხართ“ გარდა იმისა, რაც იცით. ბიომეტრიული ტექნოლოგიები, რომლებიც ზომავენ თვალებს, თითის ანაბეჭდებს, სახეებს და/ან ხმებს უფრო პრაქტიკული ხდება, მაგრამ ხშირად ვერ ხერხდება ზოგიერთი ადამიანისთვის და ძნელი მისაღწევია ასობით მილიონი მომხმარებლისთვის.
რეკომენდებული ვიდეოები
ცხადს არ ვუყურებთ? მრავალფაქტორიანი უსაფრთხოების გამოსავალი უკვე ჩვენს ჯიბეებში არ არის?
დაკავშირებული
- 15 ყველაზე მნიშვნელოვანი სმარტფონი, რომლებმაც სამუდამოდ შეცვალეს სამყარო
- SMS 2FA არის დაუცველი და ცუდი — გამოიყენეთ ეს 5 შესანიშნავი ავტორიზაციის აპი
- აპლიკაციის გამოწერის დაღლილობა სწრაფად ანადგურებს ჩემს სმარტფონს
Ინტერნეტ ბანკინგი
გინდ დაიჯერეთ თუ არა, ამერიკელები წლების განმავლობაში იყენებდნენ მრავალფაქტორიან ავთენტიფიკაციას, როდესაც აკეთებენ ონლაინ ბანკინგის დროს - ან, ყოველ შემთხვევაში, მის დაბალ ვერსიებს. 2001 წელს ფედერალური ფინანსური ინსტიტუტების გამოცდების საბჭომ (FFIEC) მოითხოვა აშშ-ს ონლაინ საბანკო სერვისების 2006 წლისთვის ნამდვილი მრავალფაქტორიანი ავთენტიფიკაციის განხორციელება.
2013 წელია და ჩვენ კვლავ შევდივართ ონლაინ ბანკში პაროლებით. Რა მოხდა?
„ძირითადად, ბანკები ლობირებდნენ“, თქვა რიჩ მოგულმა, აღმასრულებელმა დირექტორმა და ანალიტიკოსმა. სეკუროზი. „ბიომეტრია და უსაფრთხოების ჟეტონები იზოლირებულად კარგად მუშაობენ, მაგრამ ძალიან რთულია მათი მასშტაბირება მხოლოდ საბანკო საქმეზეც კი. მომხმარებლებს არ სურთ გაუმკლავდნენ ბევრ მსგავს საკითხს. ადამიანების უმეტესობა ტელეფონებზე პაროლ კოდებსაც კი არ ათავსებს“.
ასე რომ, ბანკებმა უკან დაიხიეს. 2005 წლისთვის FFIEC გამოსცა განახლებული გაიდლაინები რაც საშუალებას აძლევდა ბანკებს დაემოწმებინათ პაროლით და „მოწყობილობის იდენტიფიკაციით“ - ძირითადად, მომხმარებლის სისტემების პროფილირება. თუ მომხმარებელი შესულია ცნობილი მოწყობილობიდან, მას უბრალოდ პაროლი სჭირდება; წინააღმდეგ შემთხვევაში, მომხმარებელს სჭირდება მეტი რგოლის გადახტომა - ჩვეულებრივ, კითხვების გამოწვევა. იდეა იმაში მდგომარეობს, რომ მოწყობილობების პროფილირება ნიშნავს მომხმარებლის რაღაცის გადამოწმებას აქვს (კომპიუტერი, სმარტფონი ან ტაბლეტი) მათ პაროლთან ერთად ვიცი.
ბანკები უფრო დახვეწილი გახდნენ მოწყობილობების იდენტიფიცირებაში და ჯერ კიდევ უფრო ახალი ფედერალური სახელმძღვანელო მითითებები მოითხოვს ბანკებს გამოიყენონ მეტი, ვიდრე ადვილად კოპირებული ბრაუზერის ქუქი. მაგრამ სისტემა ჯერ კიდევ სუსტია. ყველაფერი ხდება ერთ არხზე, ასე რომ, თუ ცუდ მსახიობს შეუძლია მომხმარებლის კავშირზე წვდომა (შესაძლოა ქურდობის, ჰაკერების ან მავნე პროგრამის საშუალებით), ყველაფერი დასრულებულია. გარდა ამისა, ნებისმიერს ექცევიან, როგორც მომხმარებელს, რომელიც იყენებს ახალ მოწყობილობას - და როგორც New York Times მიმომხილველი დევიდ პოგს შეუძლია დაადასტუროს, ჭეშმარიტად გაცემული უსაფრთხოების კითხვები ზოგჯერ მწირ დაცვას გვთავაზობს.
თუმცა, ონლაინ ბანკინგის მრავალფაქტორიანი უსაფრთხოების შეზღუდული ფორმა აქვს დიდი თავდაყირა მომხმარებლებისთვის. მომხმარებლების უმეტესობისთვის უმეტეს შემთხვევაში, მოწყობილობის პროფილირება უხილავია და მუშაობს ისევე, როგორც პაროლი - რაც თითქმის ყველას ესმის.
Google Authenticator
ციფრული ნიშნები, უსაფრთხოების ბარათები და სხვა მოწყობილობები ათწლეულების განმავლობაში გამოიყენება მრავალფაქტორიანი ავთენტიფიკაციისთვის. თუმცა, ბიომეტრიის მსგავსად, ჯერჯერობით არაფერი დადასტურებულა მილიონობით ყოველდღიური ადამიანისათვის. ასევე არ არსებობს ფართოდ გავრცელებული სტანდარტები, ამიტომ ხალხს შეიძლება დასჭირდეს ათეული სხვადასხვა ფობი, ჟეტონები, USB ჩხირები და ბარათები საყვარელ სერვისებზე წვდომისთვის. ამას არავინ აპირებს.
რაც შეეხება ტელეფონებს ჩვენს ჯიბეებში? თითქმის ერთი წლის წინ მკვლევარებმა აღმოაჩინეს ამერიკელი მოზარდების თითქმის 90 პროცენტი ფლობდა მობილურ ტელეფონებს — თითქმის ნახევარს ჰქონდა სმარტფონები. რიცხვები ახლა უფრო მაღალი უნდა იყოს: ნამდვილად გამოყენებული იქნება მრავალფაქტორიანი ავთენტიფიკაციისთვის?
ეს არის იდეა უკან Google-ის ორეტაპიანი დადასტურება, რომელიც აგზავნის ერთჯერად PIN კოდს ტელეფონზე SMS-ით ან ხმით Google-ის სერვისებში შესვლისას. მომხმარებლები წერენ როგორც პაროლს, ასევე კოდს შესასვლელად. რა თქმა უნდა, ტელეფონები შეიძლება დაიკარგოს ან მოიპაროს და თუ ბატარეა კვდება ან მობილური სერვისი არ არის ხელმისაწვდომი, მომხმარებლები იბლოკება. მაგრამ სერვისი მუშაობს ფუნქციურ ტელეფონებთანაც კი და, რა თქმა უნდა, უფრო უსაფრთხოა - თუ ნაკლებად მოსახერხებელია - ვიდრე მარტო პაროლი.
Google-ის ორეტაპიანი დადასტურება უფრო საინტერესო ხდება Google Authenticator, ხელმისაწვდომია Android-ისთვის, iOS-ისთვის და BlackBerry-ისთვის. Google Authenticator იყენებს დროზე დაფუძნებულ ერთჯერად პაროლებს (TOTP), სტანდარტი, რომელსაც მხარს უჭერს ინიციატივა ღია ავთენტიფიკაციისთვის. ძირითადად, აპლიკაცია შეიცავს დაშიფრულ საიდუმლოს და ყოველ 30 წამში ერთხელ ქმნის ახალ ექვსნიშნა კოდს. მომხმარებლები შეიყვანენ ამ კოდს პაროლთან ერთად, რათა დაამტკიცონ, რომ აქვთ სწორი მოწყობილობა. სანამ ტელეფონის საათი სწორია, Google Authenticator მუშაობს სატელეფონო სერვისის გარეშე; უფრო მეტიც, მისი 30 წამიანი კოდები მუშაობს სხვა სერვისები, რომლებიც მხარს უჭერენ TOTP: ახლავე, ეს მოიცავს Dropbox, LastPass, და ამაზონის ვებ სერვისები. ანალოგიურად, სხვა აპებს, რომლებიც მხარს უჭერენ TOTP-ს, შეუძლიათ Google-თან მუშაობა.
მაგრამ არის საკითხები. მომხმარებლები აგზავნიან დამადასტურებელ კოდებს იმავე არხზე, როგორც პაროლები, ასე რომ ისინი დაუცველები არიან იგივე მოსმენის სცენარების მიმართ, როგორც ონლაინ ბანკინგი. ვინაიდან TOTP აპლიკაციები შეიცავს საიდუმლოებას, ნებისმიერს (მსოფლიოს ნებისმიერ წერტილში) შეუძლია ლეგიტიმური კოდების გენერირება, თუ აპლიკაცია ან საიდუმლო გატეხილია. და არცერთი სისტემა არ არის სრულყოფილი: გასულ თვეში Google-მა მოაგვარა პრობლემა, რომელიც შეიძლება დაუშვას ანგარიშის მთლიანი აღება აპის სპეციფიკური პაროლების საშუალებით. გართობა.
Სად მივდივართ აქედან?
ყველაზე დიდი პრობლემა ისეთ სისტემებთან, როგორიც არის Google-ის ორეტაპიანი გადამოწმება, არის უბრალოდ ის, რომ ისინი სულელურია. გნებავთ ითამაშოთ თქვენი ტელეფონით და კოდებით ყოველთვის შედიხართ სერვისში? თქვენი მშობლები, ბებია და ბაბუა, მეგობრები ან შვილები? ადამიანების უმეტესობა არა. ტექნოფილებსაც კი, რომლებსაც უყვართ მაგარი ფაქტორი (და უსაფრთხოება), სავარაუდოდ, პროცესი უხერხულად მხოლოდ რამდენიმე კვირაში აღმოჩნდება.
რიცხვები ვარაუდობენ, რომ ტკივილი რეალურია. იანვარში Google-მა მიაწოდა სადენიანი რობერტ მაკმილანი ორეტაპიანი მიღების გრაფიკი, მათ შორის spike თანმხლები მეტ ჰონანის "ეპიკური ჰაკინგისტატია გასულ აგვისტოში. დააკვირდით რომელ ღერძს არ აქვს ეტიკეტები? Google-ის წარმომადგენლებმა უარი თქვეს იმის თქმა, თუ რამდენი ადამიანი იყენებს მის ორფაქტორიან ავთენტიფიკაციას, მაგრამ Google-ის უსაფრთხოების ვიცე-პრეზიდენტმა ერიკ გროსმა განუცხადა MacMillan-ს მეოთხე მილიონი მომხმარებელი, რომელიც დარეგისტრირდა ჰონანის სტატიის შემდეგ. ამ მეტრიკის მიხედვით, ჩემი შეფასებით, დაახლოებით 20 მილიონი ადამიანი დარეგისტრირდა დღემდე - 500+ მილიონ ადამიანში ძლივს შეფერხება Google-ში პრეტენზიები გქონდეთ Google+ ანგარიშები. ეს მაჩვენებელი მართალი ჩანდა Google-ის თანამშრომელს, რომელსაც არ სურდა სახელის დასახელება: მისი შეფასებით, Google+ „აქტიური“ მომხმარებლების ათ პროცენტზე ნაკლები იყო დარეგისტრირებული. ”და ყველა მათგანი არ ემორჩილება ამას”, - აღნიშნა მან.
„როდესაც გყავს აღვირახსნილი აუდიტორია, არ შეგიძლია რაიმე სახის ქცევა საფუძვლების მიღმა - მით უმეტეს, თუ ამ აუდიტორიას მიზეზი არ მისცე მინდა ეს ქცევა“, - თქვა კრისტიან ჰესლერმა, მობილური ავთენტიფიკაციის კომპანიის აღმასრულებელმა დირექტორმა LiveEnsure. ”არავითარ შემთხვევაში არ აპირებთ მილიარდი ადამიანის მომზადებას, რომ გააკეთონ ის, რისი გაკეთებაც არ სურთ.”
LiveEnsure ეყრდნობა მომხმარებლებს, რომლებიც ამოწმებენ ზონის გარეთ მათი მობილური მოწყობილობის გამოყენებით (ან თუნდაც ელექტრონული ფოსტით). შეიყვანეთ მხოლოდ მომხმარებლის სახელი (ან გამოიყენეთ ერთი შესვლის სერვისი, როგორიცაა Twitter ან Facebook), და LiveEnsure იყენებს მომხმარებლის ფართო კონტექსტს ავტორიზაციისთვის: პაროლი არ არის საჭირო. ამჟამად, LiveEnsure იყენებს „მხედველობის ხაზს“ – მომხმარებლები სკანირებენ QR კოდს ეკრანზე ტელეფონის გამოყენებით, რათა დაადასტურონ შესვლა – მაგრამ გადამოწმების სხვა მეთოდები მალე იქნება. LiveEnsure გვერდს უვლის გადამოწმებას ცალკეული კავშირის გამოყენებით, მაგრამ ასევე არ ეყრდნობა საერთო საიდუმლოებებს ბრაუზერებში, მოწყობილობებში ან თუნდაც მის სერვისებში. თუ სისტემა გატეხილია, LiveEnsure ამბობს, რომ ცალკეულ ნაწილებს არანაირი მნიშვნელობა არ აქვს თავდამსხმელისთვის.
„ის, რაც ჩვენს მონაცემთა ბაზაშია, შეიძლება გამოგზავნოთ CD-ებზე, როგორც საშობაო საჩუქარი, და ეს უსარგებლო იქნება“, - თქვა ჰესლერმა. ”არავითარი საიდუმლო არ გადის, ერთადერთი გარიგება არის მარტივი დიახ ან არა.”
LiveEnsure-ის მიდგომა უფრო ადვილია, ვიდრე PIN-ების შეყვანა, მაგრამ მაინც მოითხოვს მომხმარებლებს შესვლას მობილური მოწყობილობებით და აპებით. სხვები მიზნად ისახავს პროცესის უფრო გამჭვირვალე გახადოს.
ტოფერი იყენებს მობილური მოწყობილობების ინფორმირებულობას მათი მდებარეობის შესახებ GPS-ის ან Wi-Fi-ის საშუალებით, როგორც მომხმარებლების გამჭვირვალე ავთენტიფიკაციის საშუალება - ყოველ შემთხვევაში, წინასწარ დამტკიცებული ადგილებიდან.
„Toopher უფრო მეტ კონტექსტს მოაქვს ავთენტიფიკაციის გადაწყვეტილებას, რათა ის უხილავი გახდეს“, - თქვა დამფუძნებელმა და CTO ევან გრიმმა. „თუ მომხმარებელი ჩვეულებრივ სახლშია და აკეთებს ონლაინ ბანკს, მომხმარებელს შეუძლია მისი ავტომატიზირება, რათა გადაწყვეტილება უხილავი გახდეს“.
ავტომატიზაცია არ არის საჭირო: მომხმარებლებს შეუძლიათ დაადასტურონ თავიანთ მობილურ მოწყობილობაზე ყოველ ჯერზე, თუ სურთ. მაგრამ თუ მომხმარებლები ეუბნებიან Toopher-ს რა არის ნორმალური, მათ მხოლოდ ტელეფონი უნდა ჰქონდეთ ჯიბეში და ავთენტიფიკაცია ხდება გამჭვირვალედ. მომხმარებლები უბრალოდ შეიტანეთ პაროლი და ყველაფერი დანარჩენი უხილავია. თუ მოწყობილობა უცნობ ადგილას არის, მომხმარებლებმა უნდა დაადასტურონ თავიანთ ტელეფონზე - და თუ არა დაკავშირება, Toopher ბრუნდება დროზე დაფუძნებულ PIN-ზე იმავე ტექნოლოგიის გამოყენებით, როგორც Google ავთენტიფიკატორი.
„ტოფერი არ ცდილობს ძირეულად შეცვალოს მომხმარებლის გამოცდილება, თქვა გრიმმა. „სხვა მრავალფაქტორიანი გადაწყვეტილებების პრობლემა არ იყო ის, რომ მათ არ დაამატეს დაცვა, არამედ ის, რომ მათ შეცვალეს მომხმარებლის გამოცდილება და, შესაბამისად, ჰქონდათ დაბრკოლებები მიღებაში“.
თქვენ უნდა იყოთ თამაშში
პაროლები არ გაქრება, მაგრამ ისინი გაიზრდება მდებარეობებით, ერთჯერადი PIN-ებით, მხედველობის ხაზის და ხმის ხაზის გადაწყვეტილებებით, ბიომეტრიით ან თუნდაც ახლომდებარე Bluetooth და Wi-Fi მოწყობილობების შესახებ. სმარტფონები და მობილური მოწყობილობები ავთენტიფიკაციისთვის მეტი კონტექსტის დამატების ყველაზე სავარაუდო გზაა.
რა თქმა უნდა, თქვენ უნდა იყოთ თამაშში, თუ გსურთ თამაში. ყველას არ აქვს სმარტფონები და ავთენტიფიკაციის ახალმა ტექნოლოგიამ შესაძლოა გამორიცხოს მომხმარებლები უახლესი ტექნოლოგიების გარეშე, რაც დანარჩენ მსოფლიოს უფრო დაუცველს ხდის ჰაკერებისა და პირადობის ქურდობის მიმართ. ციფრული უსაფრთხოება ადვილად შეიძლება გახდეს ის, რაც განასხვავებს მათ ვისაც არ აქვს.
და, ჯერჯერობით, არ არის ნათქვამი, რა გადაწყვეტილებები გაიმარჯვებს. Toopher და LiveEnsure მხოლოდ ორია მრავალი მოთამაშიდან და ყველა მათგანს აწყდება ქათმისა და კვერცხის პრობლემა: მომხმარებლებისა და სერვისების მიერ მიღების გარეშე, ისინი არავის ეხმარებიან. ტოფერმა ცოტა ხნის წინ უზრუნველყო 2 მილიონი დოლარის სტარტაპის დაფინანსება; LiveEnsure საუბრობს რამდენიმე დიდ სახელთან და იმედოვნებს, რომ მალე გამოვა სტელსი რეჟიმიდან. მაგრამ ჯერ ნაადრევია იმის თქმა, სად მოხვდება ვინმე.
იმავდროულად, თუ სერვისი, რომელსაც თქვენ ენდობით, გთავაზობთ მრავალფაქტორიანი ავთენტიფიკაციის ნებისმიერ ფორმას - იქნება ეს SMS, სმარტფონის აპლიკაციის ან თუნდაც სატელეფონო ზარის საშუალებით - სერიოზულად გაითვალისწინეთ. ეს თითქმის უდავოდ უკეთესი დაცვაა, ვიდრე მარტო პაროლი… მაშინაც კი, თუ ეს ასევე თითქმის უეჭველად ტანჯვაა.
გამოსახულება მეშვეობით Shutterstock / ადამ რადოსავლევიჩი
[განახლებულია 24-მარ-2013, რათა დაზუსტდეს დეტალები FFIEC-სა და LiveEnsure-ზე და გამოსწორდეს წარმოების შეცდომა.]
რედაქტორების რეკომენდაციები
- როგორ მოვძებნოთ გადმოწერილი ფაილები თქვენს iPhone ან Android სმარტფონზე
- თქვენმა Google One გეგმამ ახლახან მიიღო უსაფრთხოების 2 დიდი განახლება, რათა დაცული იყოთ ონლაინში
- როგორ შეცვლის თქვენს სმარტფონს პროფესიონალური კამერა 2023 წელს
- Google-ის Pixel 6 კარგი სმარტფონია, მაგრამ საკმარისი იქნება თუ არა მყიდველების დასარწმუნებლად?
- Google-ის წამყვანი ამბობს, რომ ის "იმედგაცრუებულია" Apple-ის ახალი iPhone უსაფრთხოების პროგრამით
