Šimtai milijonų žmonių kasdien naudoja slaptažodžius – jie atrakina mūsų įrenginius, el. paštą, socialinius tinklus ir net banko sąskaitas. Tačiau slaptažodžiai yra vis silpnesnis būdas apsisaugoti: nepraeina vos savaitė, kai naujienos nepasiekia didelių saugumo problemų. Šią savaitę, tai Cisco — daugumos aparatinės įrangos, kuri iš esmės valdo internetą, gamintojas.
Šiuo metu beveik visi nori pereiti ne tik į slaptažodžius daugiafaktorinis autentifikavimas: be to, ką žinote, reikalaujama „to, ką turi“ arba „kažką, ką tu esi“. Biometrinės technologijos, kuriomis matuojamos akys, pirštų atspaudai, veidai ir (arba) balsai tampa praktiškesnis, tačiau kai kuriems žmonėms dažnai nepavyksta ir sunku pasiekti šimtams milijonų vartotojų.
Rekomenduojami vaizdo įrašai
Ar mes nepastebime to, kas akivaizdu? Ar daugiafaktorinio saugumo sprendimas jau nėra mūsų kišenėse?
Susijęs
- 15 svarbiausių išmaniųjų telefonų, amžiams pakeitusių pasaulį
- SMS 2FA yra nesaugus ir blogas – naudokite šias 5 puikias autentifikavimo programas
- Programėlių prenumeratos nuovargis greitai sugadina mano išmanųjį telefoną
Elektroninė bankininkystė
Tikėkite ar ne, amerikiečiai daugelį metų naudojo kelių veiksnių autentifikavimą, kai užsiima internetinės bankininkystės paslaugomis, arba bent jau sušvelnintas jo versijas. 2001 m. Federalinė finansų institucijų egzaminų taryba (FFIEC) pareikalavo, kad JAV internetinės bankininkystės paslaugos iki 2006 m. įdiegtų tikrą daugiafaktorinį autentifikavimą.
Tai 2013 m., o mes vis dar prisijungiame prie internetinės bankininkystės su slaptažodžiais. Kas nutiko?
„Iš esmės bankai lobizavo“, – sakė Rich Mogull, bendrovės generalinis direktorius ir analitikas Sekurozė. „Biometriniai duomenys ir saugos žetonai gali gerai veikti atskirai, tačiau labai sunku juos pritaikyti net tik bankininkystei. Vartotojai nenori susidoroti su daugybe tokių dalykų. Daugelis žmonių net nededa slaptažodžių į telefonus.
Taigi bankai atsitraukė. Iki 2005 m. FFIEC išleido atnaujintas gaires leidžianti bankams autentifikuoti naudojant slaptažodį ir „įrenginio identifikavimą“ – iš esmės profiliuojant vartotojų sistemas. Jei klientas prisijungia iš žinomo įrenginio, jam tereikia slaptažodžio; kitu atveju klientas turi peršokti daugiau lankų – dažniausiai iššūkių klausimai. Idėja yra ta, kad įrenginių profiliavimas reiškia, kad naudotojai ką nors patikrina turėti (kompiuteris, išmanusis telefonas ar planšetinis kompiuteris) kartu su slaptažodžiu žinoti.
Bankai tapo sudėtingesni atpažindami įrenginius ir vis dar naujesnės federalinės gairės reikalauja, kad bankai naudotų daugiau nei lengvai nukopijuojamą naršyklės slapukus. Tačiau sistema vis dar silpna. Viskas vyksta vienu kanalu, taigi, jei blogas veikėjas gali prisijungti prie vartotojo (galbūt dėl vagystės, įsilaužimų ar kenkėjiškų programų), viskas baigsis. Be to, kiekvienas yra traktuojamas kaip klientas, naudojantis naują įrenginį – ir kaip Niujorko laikas kolonistas Davidas Pogue'as gali patvirtinti, teisingai atsakyti į saugos klausimus kartais suteikia menką apsaugą.
Tačiau internetinė bankininkystė turi ribotą daugiafaktorinio saugumo formą didelis vartotojams. Daugeliui vartotojų įrenginio profiliavimas yra nematomas ir veikia kaip slaptažodis, kurį supranta beveik visi.
Google Authenticator
Skaitmeniniai žetonai, apsaugos kortelės ir kiti įrenginiai buvo naudojami kelių faktorių autentifikavimui dešimtmečius. Tačiau, kaip ir biometriniai duomenys, iki šiol niekas nepasirodė tinkamas milijonams kasdienių žmonių. Taip pat nėra plačiai paplitusių standartų, todėl žmonėms gali prireikti keliolikos skirtingų pultelių, žetonų, USB atmintinių ir kortelių, kad galėtų pasiekti mėgstamas paslaugas. Niekas to nedarys.
Taigi, ką daryti su telefonais mūsų kišenėse? Beveik prieš metus mokslininkai nustatė beveik 90 procentų suaugusiųjų amerikiečių turėjo mobiliuosius telefonus — beveik pusė turėjo išmaniuosius telefonus. Dabar skaičiai turi būti didesni: tikrai jie bus naudojami daugiafaktoriniam autentifikavimui?
Tai yra idėja „Google“ patvirtinimas dviem veiksmais, kuri prisijungus prie Google paslaugų SMS žinute arba balsu į telefoną siunčia vienkartinį PIN kodą. Norėdami prisijungti, vartotojai įveda savo slaptažodį ir kodą. Žinoma, telefonai gali būti pamesti arba pavogti, o jei akumuliatorius išsenka arba nėra mobiliojo ryšio paslaugų, vartotojai tampa užrakinti. Tačiau paslauga veikia net su funkciniais telefonais ir tikrai yra saugesnė (jei ir mažiau patogi) nei slaptažodis.
„Google“ patvirtinimas dviem veiksmais tampa įdomesnis Google Authenticator, galima „Android“, „iOS“ ir „BlackBerry“. „Google“ autentifikavimo priemonė naudoja laiku pagrįstus vienkartinius slaptažodžius (TOTP), standartą, kurį palaiko Atviro autentifikavimo iniciatyva. Iš esmės programėlėje yra užšifruota paslaptis ir kas 30 sekundžių generuojamas naujas šešių skaitmenų kodas. Vartotojai įveda šį kodą kartu su savo slaptažodžiu, kad patvirtintų, jog turi tinkamą įrenginį. Kol telefono laikrodis yra teisingas, „Google Authenticator“ veikia be telefono paslaugos; be to, su jo 30 sekundžių kodais veikia kitas paslaugos, palaikančios TOTP: šiuo metu tai apima Dropbox, LastPass, ir „Amazon“ žiniatinklio paslaugos. Taip pat kitos programos, palaikančios TOTP, gali veikti su „Google“.
Bet yra problemų. Naudotojai patvirtinimo kodus pateikia tame pačiame kanale kaip ir slaptažodžius, todėl jie yra pažeidžiami dėl tų pačių perėmimo scenarijų kaip ir internetinė bankininkystė. Kadangi TOTP programose yra paslaptis, bet kas (bet kurioje pasaulio vietoje) gali sugeneruoti teisėtus kodus, jei programa ar paslaptis būtų nulaužta. Ir nė viena sistema nėra tobula: praėjusį mėnesį „Google“ išsprendė problemą, kurią galėjo leisti visų sąskaitų perėmimų naudojant konkrečių programų slaptažodžius. Linksma.
Kur mes eisime iš čia?
Didžiausia problemų, susijusių su tokiomis sistemomis kaip „Google“ patvirtinimas dviem veiksmais, yra tiesiog ta, kad jos yra skausmingos. Ar norite pasprukti su telefonu ir kodais kiekvieną kartą prisijungiate prie paslaugos? Ar jūsų tėvai, seneliai, draugai ar vaikai? Dauguma žmonių to nedaro. Netgi technofilams, kuriems patinka šaunus veiksnys (ir saugumas), procesas greičiausiai bus nepatogus vos per kelias savaites.
Skaičiai rodo, kad skausmas yra tikras. Sausio mėnesį „Google“ pateikė Laidiniai Roberto MacMillano dviejų pakopų priėmimo grafikas, įskaitant smaigalį lydintis Mat Honan's“Epas įsilaužimas“ straipsnis praėjusį rugpjūtį. Atkreipkite dėmesį, kuri ašis neturi etikečių? „Google“ atstovai atsisakė pasakyti, kiek žmonių naudojasi dviejų veiksnių autentifikavimu, tačiau „Google“ saugumo viceprezidentas Ericas Grosse'as pasakė „MacMillan“ ketvirtį milijono vartotojų, užsiregistravusių po Honano straipsnio. Pagal šią metriką mano apytikslis apskaičiavimas yra apie 20 milijonų žmonių, kurie iki šiol yra užsiregistravę – vos 500 ir daugiau milijonų žmonių Google. pretenzijas turėti „Google+“ paskyras. Šis skaičius atrodė teisingas „Google“ darbuotojui, kuris nenorėjo būti įvardytas: ji apskaičiavo, kad mažiau nei dešimt procentų „aktyvių“ „Google+“ vartotojų buvo prisiregistravę. „Ir ne visi jie to laikosi“, - pažymėjo ji.
„Kai turite nežabotą auditoriją, negalite prisiimti jokio elgesio, išskyrus pagrindinius, ypač jei nesuteikėte tai auditorijai priežasties. nori toks elgesys“, – sakė Christianas Hessleris, mobiliojo autentifikavimo įmonės generalinis direktorius LiveEnsure. „Jokiu būdu neišmokysite milijardo žmonių daryti tai, ko jie nenori.
„LiveEnsure“ priklauso nuo to, ar vartotojai, naudodami savo mobilųjį įrenginį (ar net el. Įveskite tik naudotojo vardą (arba naudokite vieno prisijungimo paslaugą, pvz., „Twitter“ ar „Facebook“), o „LiveEnsure“ pasinaudos platesniu vartotojo kontekstu autentifikavimui: slaptažodžio nereikia. Šiuo metu „LiveEnsure“ naudoja „matymo liniją“ – naudotojai nuskaito QR kodą ekrane naudodami telefoną, kad patvirtintų prisijungimą, tačiau netrukus pasirodys kiti patvirtinimo metodai. „LiveEnsure“ išvengia perėmimo naudodama atskirą patvirtinimo ryšį, tačiau taip pat nepasikliauja bendromis paslaptimis naršyklėse, įrenginiuose ar net savo paslaugoje. Jei sistema nulaužta, „LiveEnsure“ teigia, kad atskiros dalys užpuolikui neturi jokios vertės.
„Tai, kas yra mūsų duomenų bazėje, galėtų būti išsiųsta kompaktiniuose diskuose kaip Kalėdų dovana, ir tai būtų nenaudinga“, – sakė Hessleris. „Jokios paslaptys neapsiriboja, vienintelis sandoris yra paprastas „taip“ arba „ne“.
„LiveEnsure“ metodas yra paprastesnis nei įvesti PIN, tačiau norint prisijungti, naudotojai vis tiek turi suktis su mobiliaisiais įrenginiais ir programėlėmis. Kiti siekia, kad procesas būtų skaidresnis.
Tooferis išnaudoja mobiliuosius įrenginius, kad jie žinotų apie savo vietą per GPS arba „Wi-Fi“, kad būtų galima skaidriai autentifikuoti naudotojus – bent jau iš iš anksto patvirtintų vietų.
„Toopheris suteikia daugiau konteksto autentifikavimo sprendimui, kad jis būtų nematomas“, – sakė įkūrėjas ir technologijų vadovas Evanas Grimmas. „Jei vartotojas paprastai yra namuose ir užsiima internetinės bankininkystės paslaugomis, vartotojas gali tai automatizuoti, kad sprendimas būtų nematomas.
Automatizavimas nereikalingas: vartotojai gali kiekvieną kartą patvirtinti savo mobiliajame įrenginyje, jei nori. Tačiau jei vartotojai pasako Toopheriui, kas yra normalu, jiems tereikia turėti telefoną kišenėje ir autentifikavimas vyksta skaidriai. Vartotojai tiesiog įveda slaptažodį, o visa kita yra nematoma. Jei įrenginys yra nežinomoje vietoje, vartotojai turi patvirtinti savo telefone, o jei nėra ryšį, Toopher grįžta prie laiko PIN kodo, naudodamas tą pačią technologiją kaip ir Google Autentifikatorius.
„Toopheris nesistengia iš esmės pakeisti vartotojo patirties“, – sakė Grimmas. „Kitų daugiafaktorių sprendimų problema buvo ne ta, kad jie nepridėjo apsaugos, o tai, kad jie pakeitė vartotojo patirtį, todėl turėjo kliūčių priimti.
Jūs turite būti žaidime
Slaptažodžiai neišnyksta, tačiau jie bus papildyti vietomis, vienkartiniais PIN kodais, matymo ir garso linijos sprendimais, biometriniais duomenimis ar net informacija apie netoliese esančius „Bluetooth“ ir „Wi-Fi“ įrenginius. Išmanieji telefonai ir mobilieji įrenginiai atrodo labiausiai tikėtinas būdas pridėti daugiau konteksto autentifikavimui.
Žinoma, jei nori žaisti, turi dalyvauti žaidime. Ne visi turi išmaniuosius telefonus, o naujos autentifikavimo technologijos gali pašalinti naudotojus, neturinčius naujausių technologijų, todėl likęs pasaulis yra labiau pažeidžiamas įsilaužimų ir tapatybės vagysčių. Skaitmeninis saugumas gali lengvai tapti tuo, kas skiria turinčius nuo neturinčių.
Ir kol kas neaišku, kokie sprendimai laimės. Toopher ir LiveEnsure yra tik du iš daugelio žaidėjų, ir jie visi susiduria su vištienos ir kiaušinio problema: jei naudotojai ir paslaugos nepriima, jie niekam nepadeda. Toopheris neseniai užsitikrino 2 milijonų dolerių pradinį finansavimą; „LiveEnsure“ kalbasi su kai kuriais garsiais vardais ir tikisi greitai išeiti iš slapto režimo. Tačiau dar per anksti pasakyti, kur kas nors atsidurs.
Tuo tarpu, jei paslauga, kuria pasitikite, siūlo bet kokį daugiafaktorinį autentifikavimą – SMS žinute, išmaniojo telefono programėle ar net telefono skambučiu – rimtai apsvarstykite tai. Tai beveik neabejotinai geresnė apsauga nei vien slaptažodis... net jei tai taip pat beveik neabejotinai vargina.
Vaizdas per Shutterstock / Adomas Radosavljevičius
[Atnaujinta 2013 m. kovo 24 d., siekiant patikslinti FFIEC ir LiveEnsure informaciją bei ištaisyti gamybos klaidą.]
Redaktorių rekomendacijos
- Kaip rasti atsisiųstus failus „iPhone“ arba „Android“ išmaniajame telefone
- Jūsų „Google One“ planas ką tik gavo 2 didelius saugos naujinius, kad būtumėte saugūs prisijungę
- Kaip jūsų išmanusis telefonas galėtų pakeisti profesionalų fotoaparatą 2023 m
- „Google“ „Pixel 6“ yra geras išmanusis telefonas, bet ar jo pakaks įtikinti pirkėjus?
- „Google“ vadovas teigia, kad yra „nusivylęs“ nauja „Apple“ iPhone saugos programa
