매일 수억 명의 사람들이 비밀번호를 사용하여 기기, 이메일, 소셜 네트워킹, 심지어 은행 계좌까지 잠금 해제합니다. 그러나 비밀번호는 점점 약해진다 우리 자신을 보호하는 방법: 심각한 보안 문제가 뉴스에 등장하지 않고는 거의 일주일이 지나지 않습니다. 이번주는, 시스코 — 본질적으로 인터넷에 힘을 실어주는 하드웨어의 대부분을 만드는 회사입니다.
현재 거의 모든 사람들이 비밀번호를 넘어 다단계 인증: 당신이 알고 있는 것 외에 "당신이 가지고 있는 것"이나 "당신이 있는 것"을 요구합니다. 눈, 지문, 얼굴, 음성 등을 측정하는 생체인식 기술은 점점 더 실용적이게 되다, 그러나 일부 사람들에게는 자주 실패하며 수억 명의 사용자에게 제공하기 어렵습니다.
추천 동영상
우리는 명백한 것을 간과하고 있지 않은가? 다단계 보안에 대한 솔루션은 이미 우리 주머니에 있지 않나요?
관련된
- 세상을 영원히 바꿔놓은 가장 중요한 스마트폰 15가지
- SMS 2FA는 안전하지 않고 나쁩니다. 대신 이 5가지 훌륭한 인증 앱을 사용하세요
- 앱 구독 피로가 스마트폰을 빠르게 망치고 있습니다.
온라인 뱅킹
믿거나 말거나, 미국인들은 수년 동안 온라인 뱅킹을 할 때마다 다단계 인증을 사용해 왔습니다. 2001년 FFIEC(Federal Financial Institutions Examination Council)는 미국 온라인 뱅킹 서비스가 2006년까지 진정한 다중 인증을 도입할 것을 요구했습니다.
2013년인데도 우리는 여전히 비밀번호를 사용하여 온라인 뱅킹에 로그인하고 있습니다. 무슨 일이에요?
"기본적으로 은행은 로비를 했습니다."라고 CEO이자 분석가인 Rich Mogull은 말했습니다. 보안증. “생체인식과 보안 토큰은 분리되어도 잘 작동할 수 있지만 은행 업무로만 확장하는 것은 매우 어렵습니다. 소비자는 그런 여러 가지를 다루고 싶어하지 않습니다. 대부분의 사람들은 휴대폰에 비밀번호도 입력하지 않습니다.”
그래서 은행들은 뒤로 물러섰다. 2005년까지 FFIEC는 업데이트된 지침을 발표했습니다.
은행은 장치를 식별하는 데 더욱 정교해졌습니다. 여전히 최신 연방 지침 은행은 쉽게 복사할 수 있는 브라우저 쿠키 이상의 것을 사용해야 합니다. 하지만 아직 시스템이 취약합니다. 모든 것이 단일 채널을 통해 발생하므로 악의적인 행위자가 사용자의 연결에 접근할 수 있다면(도난, 해킹 또는 맬웨어 등) 모든 것이 끝납니다. 또한 누구나 새 기기를 사용하는 고객처럼 대우받습니다. 뉴욕 타임즈 칼럼니스트 David Pogue가 증명할 수 있습니다., 사실대로 대답한 보안 질문은 때때로 보호 기능을 거의 제공하지 못합니다.
그러나 온라인 뱅킹의 제한된 형태의 다단계 보안은 큰 소비자에게는 긍정적이다. 대부분의 사용자에게 장치 프로파일링은 눈에 보이지 않으며 거의 모든 사람이 이해하는 비밀번호처럼 작동합니다.
구글 OTP
디지털 토큰, 보안 카드 및 기타 장치는 수십 년 동안 다단계 인증에 사용되었습니다. 그러나 생체 인식과 마찬가지로 지금까지 수백만 명의 일반 사람들에게 실행 가능한 것으로 입증된 것은 없습니다. 또한 널리 퍼져 있는 표준이 없기 때문에 사람들이 즐겨 사용하는 서비스에 액세스하려면 수십 가지의 전자 장치, 토큰, USB 스틱 및 카드가 필요할 수 있습니다. 아무도 그렇게하지 않을 것입니다.
그렇다면 우리 주머니에 있는 휴대폰은 어떨까요? 약 1년 전 연구자들이 발견한 미국 성인의 거의 90%가 휴대폰을 소유하고 있습니다. — 거의 절반이 스마트폰을 가지고 있었습니다. 이제 그 숫자는 더 커졌을 것입니다. 확실히 다단계 인증에 사용됩니까?
그 뒤에 아이디어가 있습니다 Google의 2단계 인증, Google 서비스에 로그인할 때 SMS나 음성으로 일회성 PIN 코드를 휴대전화로 보냅니다. 사용자는 비밀번호와 코드를 모두 입력하여 로그인합니다. 물론 휴대폰을 분실하거나 도난당할 수 있으며, 배터리가 방전되거나 모바일 서비스를 이용할 수 없는 경우 사용자는 잠금 상태가 됩니다. 하지만 이 서비스는 피처폰에서도 작동하며, 비밀번호만 사용하는 것보다 덜 편리하더라도 확실히 더 안전합니다.
Google의 2단계 인증이 더욱 흥미로워졌습니다. 구글 OTP, Android, iOS 및 BlackBerry에서 사용할 수 있습니다. Google OTP는 Google에서 지원하는 표준인 TOTP(Time-based One-Time Password)를 사용합니다. 개방형 인증을 위한 이니셔티브. 기본적으로 이 앱에는 암호화된 비밀이 포함되어 있으며 30초마다 새로운 6자리 코드를 생성합니다. 사용자는 올바른 장치를 가지고 있음을 증명하기 위해 비밀번호와 함께 해당 코드를 입력합니다. 휴대전화 시계가 정확하다면 Google Authenticator는 전화 서비스 없이도 작동합니다. 게다가 30초 코드는 다른 TOTP를 지원하는 서비스: 현재는 다음을 포함합니다. 드롭 박스, 라스트패스, 그리고 아마존 웹 서비스. 마찬가지로 TOTP를 지원하는 다른 앱도 Google에서 작동할 수 있습니다.
그러나 문제가 있습니다. 사용자는 비밀번호와 동일한 채널에서 인증 코드를 제출하므로 온라인 뱅킹과 동일한 차단 시나리오에 취약합니다. TOTP 앱에는 비밀이 포함되어 있으므로 앱이나 비밀이 해킹되면 누구나 (전 세계 어디에서나) 합법적인 코드를 생성할 수 있습니다. 완벽한 시스템은 없습니다. 지난 달 Google은 다음과 같은 문제를 해결했습니다. 총 계정 탈취 앱별 비밀번호를 통해. 재미있는.
우리는 여기서 어디로 가는가?
Google 2단계 인증과 같은 시스템의 가장 큰 문제는 단순히 그것이 매우 고통스럽다는 것입니다. 휴대전화와 코드를 조작하고 싶으신가요? 매번 서비스에 로그인하시나요? 당신의 부모, 조부모, 친구, 자녀도 그렇습니까? 대부분의 사람들은 그렇지 않습니다. 멋진 요소(및 보안)를 좋아하는 기술 애호가라도 단 몇 주만 지나면 이 프로세스가 어색하다는 것을 알게 될 것입니다.
숫자는 고통이 실제임을 시사합니다. 지난 1월 구글은 유선의 Robert MacMillan의 2단계 채택 그래프, 스파이크를 포함해 Mat Honan의 “에픽 해킹"지난 8월 기사. 어떤 축에 레이블이 없는지 확인하세요. Google 담당자는 얼마나 많은 사람들이 이중 인증을 사용하는지 밝히기를 거부했지만 Google 보안 부사장 Eric Grosse는 Honan의 기사 이후 25만 명의 사용자가 등록했다고 MacMillan에 말했습니다. 해당 지표에 따르면 현재까지 약 2천만 명이 가입한 것으로 추산됩니다. 이는 5억 명 이상의 Google 사용자 중 간신히 적은 숫자입니다. 주장 Google+ 계정이 있습니다. 이름을 밝히기를 원하지 않은 한 Google 직원에게는 이 수치가 딱 맞는 것 같았습니다. 그녀는 '활성' Google+ 사용자 중 10% 미만이 가입한 것으로 추산했습니다. “그리고 그들 모두가 그것을 고수하는 것은 아닙니다.”라고 그녀는 말했습니다.
“청중이 제한되지 않으면 기본을 넘어서는 어떤 종류의 행동도 가정할 수 없습니다. 특히 청중에게 그렇게 해야 할 이유를 주지 않은 경우에는 더욱 그렇습니다. 원하다 그런 행동이요.” 모바일 인증 회사의 CEO인 크리스티안 헤슬러(Christian Hessler)는 말했습니다. 라이브인슈어. "10억 명의 사람들이 하고 싶지 않은 일을 하도록 훈련시킬 방법은 없습니다."
LiveEnsure는 사용자가 모바일 장치를 사용하여(또는 이메일을 통해) 대역 외 확인을 수행하는 데 의존합니다. 사용자 이름만 입력하면(또는 Twitter나 Facebook과 같은 단일 로그인 서비스를 사용하면) LiveEnsure는 사용자의 더 광범위한 컨텍스트를 활용하여 인증합니다. 비밀번호는 필요하지 않습니다. 현재 LiveEnsure는 사용자가 로그인을 확인하기 위해 휴대폰을 사용하여 화면의 QR 코드를 스캔하는 "가시선"을 사용하지만 다른 확인 방법도 곧 제공될 예정입니다. LiveEnsure는 확인을 위해 별도의 연결을 사용하여 차단을 회피하지만 브라우저, 장치 또는 해당 서비스의 공유 비밀에 의존하지도 않습니다. 시스템이 손상되면 LiveEnsure는 개별 조각이 공격자에게 아무런 가치가 없다고 말합니다.
Hessler는 "우리 데이터베이스에 있는 내용은 크리스마스 선물로 CD로 발송될 수 있지만 쓸모가 없을 것입니다."라고 말했습니다. "비밀은 전선을 통해 전달되지 않습니다. 유일한 거래는 단순히 예 또는 아니오입니다."
LiveEnsure의 접근 방식은 PIN을 입력하는 것보다 쉽지만 로그인하려면 여전히 사용자가 모바일 장치와 앱을 조작해야 합니다. 다른 사람들은 프로세스를 보다 투명하게 만드는 것을 목표로 합니다.
투퍼 최소한 사전 승인된 위치에서 사용자를 투명하게 인증하는 방법으로 GPS 또는 Wi-Fi를 통해 모바일 장치의 위치 인식을 활용하고 있습니다.
설립자이자 CTO인 Evan Grimm은 “Toopher는 인증 결정에 더 많은 맥락을 부여하여 이를 보이지 않게 만들고 있습니다.”라고 말했습니다. "사용자가 일반적으로 집에서 온라인 뱅킹을 하는 경우 사용자는 이를 자동화하여 결정을 보이지 않게 할 수 있습니다."
자동화가 필요하지 않습니다. 사용자는 원할 경우 언제든지 모바일 장치에서 확인할 수 있습니다. 하지만 사용자가 투퍼에게 정상적인 상황을 말하면 주머니에 휴대폰만 넣어두면 인증이 투명하게 이루어집니다. 사용자는 비밀번호만 입력하면 나머지는 모두 보이지 않습니다. 기기가 알 수 없는 위치에 있는 경우 사용자는 휴대전화로 확인해야 합니다. 연결이 불가능한 경우 Toopher는 Google과 동일한 기술을 사용하여 시간 기반 PIN으로 대체됩니다. 인증자.
“Toopher는 사용자 경험을 근본적으로 바꾸려고 하지 않습니다.”라고 Grimm은 말했습니다. "다른 다중 요소 솔루션의 문제는 보호 기능을 추가하지 않았다는 것이 아니라 사용자 경험을 변경하여 채택에 장애가 된다는 것입니다."
게임에 참여해야 합니다.
비밀번호는 사라지지 않지만 위치, 일회성 PIN, 가시선 및 사운드 솔루션, 생체 인식, 심지어 근처 Bluetooth 및 Wi-Fi 장치에 대한 정보까지 강화될 것입니다. 스마트폰과 모바일 장치는 인증을 위해 더 많은 컨텍스트를 추가할 수 있는 가장 가능성 있는 방법으로 보입니다.
물론, 플레이하려면 게임에 참여해야 합니다. 모든 사람이 스마트폰을 갖고 있는 것은 아니며, 새로운 인증 기술로 인해 최신 기술이 없는 사용자가 제외될 수 있으므로 전 세계가 해킹 및 신원 도용에 더욱 취약해질 수 있습니다. 디지털 보안은 가진 자와 가지지 못한 자를 구별하는 요소가 될 수 있습니다.
그리고 지금까지 어떤 솔루션이 성공할지 알 수 없습니다. Toopher와 LiveEnsure는 많은 플레이어 중 두 명일 뿐이며 모두 닭과 달걀의 문제에 직면해 있습니다. 사용자와 서비스 모두의 채택이 없으면 아무에게도 도움이 되지 않습니다. Toopher는 최근 스타트업 자금으로 200만 달러를 확보했습니다. LiveEnsure는 유명 인사들과 대화 중이며 곧 스텔스 모드에서 벗어나기를 희망합니다. 그러나 누군가가 어디로 끝날지 말하기에는 너무 이르다.
그동안 귀하가 사용하고 있는 서비스가 SMS, 스마트폰 앱, 심지어 전화 통화 등 모든 형태의 다단계 인증을 제공한다면 이를 심각하게 고려하십시오. 비밀번호만 사용하는 것보다 보안이 더 나은 것은 거의 확실합니다. 비록 거의 확실히 골치 아픈 일이기는 하지만 말입니다.
이미지를 통해 셔터스톡 / 아담 라도사블예비치
[FFIEC 및 LiveEnsure에 대한 세부 정보를 명확히 하고 생산 오류를 수정하기 위해 2013년 3월 24일에 업데이트되었습니다.]
편집자의 추천
- iPhone 또는 Android 스마트폰에서 다운로드한 파일을 찾는 방법
- Google One 요금제에 온라인 보안을 위한 2가지 대규모 보안 업데이트가 제공됩니다.
- 2023년에 스마트폰이 전문 카메라를 대체할 수 있는 방법
- 구글의 픽셀 6는 좋은 스마트폰이지만 구매자를 설득하기에 충분할까?
- 구글 리드는 애플의 새로운 아이폰 보안 프로그램에 '실망'했다고 말했다.
