Simtiem miljonu cilvēku katru dienu izmanto paroles — viņi atbloķē mūsu ierīces, e-pastu, sociālos tīklus un pat bankas kontus. Tomēr paroles ir arvien vājāks veids, kā sevi pasargāt: paiet gandrīz nedēļa, kad ziņas netiek atklātas ar drošības jautājumiem. Šonedēļ tas ir Cisco — ražotājs lielai daļai aparatūras, kas būtībā darbina internetu.
Pašlaik gandrīz visi vēlas pāriet uz parolēm daudzfaktoru autentifikācija: prasība “kaut kas jums ir” vai “kaut kas tu esi” papildus tam, ko zināt. Biometriskās tehnoloģijas, kas mēra acis, pirkstu nospiedumus, sejas un/vai balsis kļūst praktiskāka, taču dažiem cilvēkiem tas bieži neizdodas, un tos ir grūti nodrošināt simtiem miljonu lietotāju.
Ieteiktie videoklipi
Vai mēs nepamanām acīmredzamo? Vai daudzfaktoru drošības risinājums jau nav mūsu kabatās?
Saistīts
- 15 svarīgākie viedtālruņi, kas mainīja pasauli uz visiem laikiem
- SMS 2FA ir nedroša un slikta — tā vietā izmantojiet šīs 5 lieliskās autentifikācijas lietotnes
- Lietotņu abonēšanas nogurums ātri sabojā manu viedtālruni
Tiešsaistes banka
Ticiet vai nē, amerikāņi jau gadiem ilgi ir izmantojuši daudzfaktoru autentifikāciju ikreiz, kad viņi izmanto tiešsaistes banku pakalpojumus, vai vismaz tās vājinātas versijas. 2001. gadā Federālā finanšu iestāžu pārbaudes padome (FFIEC) pieprasīja, lai ASV tiešsaistes banku pakalpojumi līdz 2006. gadam ieviestu patiesu daudzfaktoru autentifikāciju.
Ir 2013. gads, un mēs joprojām piesakāmies internetbankā ar parolēm. Kas notika?
"Būtībā bankas lobēja," sacīja Ričs Moguls, uzņēmuma izpilddirektors un analītiķis Securosis. "Biometriskie dati un drošības marķieri var labi darboties atsevišķi, taču ir ļoti grūti tos mērogot pat tikai banku jomā. Patērētāji nevēlas risināt vairākas līdzīgas lietas. Lielākā daļa cilvēku pat neliek piekļuves kodus tālruņiem.
Tātad bankas atstumtas. Līdz 2005. gadam FFIEC izdeva atjauninātas vadlīnijas kas ļāva bankām autentificēties, izmantojot paroli un “ierīču identifikāciju” — būtībā, profilējot lietotāju sistēmas. Ja klients pierakstās no zināmas ierīces, viņam ir nepieciešama tikai parole; pretējā gadījumā klientam ir jāpārlec vairāk stīpu — parasti izaicina jautājumus. Ideja ir tāda, ka ierīču profilēšana nozīmē to, ka lietotāji tiek pārbaudīti ir (dators, viedtālrunis vai planšetdators), lai pievienotu paroli zināt.
Bankas ir kļuvušas sarežģītākas ierīču identificēšanā un vēl jaunākas federālās vadlīnijas pieprasa bankām izmantot vairāk nekā viegli kopētu pārlūkprogrammas sīkfailu. Bet sistēma joprojām ir vāja. Viss notiek vienā kanālā, tāpēc, ja slikts aktieris var pieskarties lietotāja savienojumam (iespējams, zādzības, uzlaušanas vai ļaunprātīgas programmatūras rezultātā), viss ir beidzies. Turklāt ikviens tiek uzskatīts par klientu, kas izmanto jaunu ierīci — un kā Ņujorkas Laiks kolonists Deivids Pogs var apliecināt, patiesi atbildēti drošības jautājumi dažkārt piedāvā niecīgu aizsardzību.
Tomēr tiešsaistes banku ierobežotajai daudzfaktoru drošības formai ir liels patērētājiem. Lielākajai daļai lietotāju lielāko daļu laika ierīces profilēšana ir neredzama un darbojas tāpat kā parole — to saprot gandrīz visi.
Google autentifikators
Digitālie marķieri, drošības kartes un citas ierīces ir izmantotas daudzfaktoru autentifikācijā gadu desmitiem. Tomēr, tāpat kā biometriskie dati, līdz šim nekas nav izrādījies efektīvs miljoniem ikdienas cilvēku. Nav arī plaši izplatītu standartu, tāpēc ļaudīm, lai piekļūtu saviem iecienītākajiem pakalpojumiem, var būt nepieciešami ducis dažādu piekariņu, žetonu, USB zibatmiņu un karšu. Neviens to nedarīs.
Kā tad ir ar tālruņiem mūsu kabatās? Gandrīz pirms gada pētnieki atklāja gandrīz 90 procentiem pieaugušo amerikāņu piederēja mobilie tālruņi — gandrīz pusei bija viedtālruņi. Tagad cipariem ir jābūt lielākiem: vai tie noteikti tiks izmantoti daudzfaktoru autentifikācijai?
Tā ir ideja Google divpakāpju verifikācija, kas, piesakoties Google pakalpojumos, nosūta uz tālruni vienreizēju PIN kodu, izmantojot SMS vai balsi. Lai pieteiktos, lietotāji ievada gan savu paroli, gan kodu. Protams, tālruņus var pazaudēt vai nozagt, un, ja akumulators izlādējas vai mobilais pakalpojums nav pieejams, lietotāji tiek bloķēti. Bet pakalpojums darbojas pat ar funkcionalitātes tālruņiem, un tas noteikti ir drošāks — ja arī mazāk ērts — nekā tikai parole.
Google divpakāpju verifikācija kļūst interesantāka Google autentifikators, pieejams operētājsistēmām Android, iOS un BlackBerry. Google autentifikators izmanto uz laiku balstītas vienreizējās paroles (TOTP), kas ir standarts, ko nodrošina Atvērtās autentifikācijas iniciatīva. Būtībā lietotne satur šifrētu noslēpumu un ik pēc 30 sekundēm ģenerē jaunu sešciparu kodu. Lietotāji ievada šo kodu kopā ar savu paroli, lai pierādītu, ka viņiem ir pareizā ierīce. Kamēr tālruņa pulkstenis ir pareizs, Google autentifikators darbojas bez tālruņa pakalpojuma; turklāt darbojas arī tā 30 sekunžu kodi cits pakalpojumi, kas atbalsta TOTP: šobrīd tas ietver Dropbox, LastPass, un Amazon tīmekļa pakalpojumi. Tāpat ar Google var darboties citas lietotnes, kas atbalsta TOTP.
Bet ir problēmas. Lietotāji iesniedz verifikācijas kodus tajā pašā kanālā, kurā tiek izmantotas paroles, tāpēc viņi ir neaizsargāti pret tādiem pašiem pārtveršanas gadījumiem kā tiešsaistes banka. Tā kā TOTP lietotnēs ir noslēpums, ikviens (jebkur pasaulē) var ģenerēt likumīgus kodus, ja lietotne vai noslēpums tiek uzlauzts. Un neviena sistēma nav ideāla: pagājušajā mēnesī Google novērsa problēmu, kas varētu būt iespējama kopējo kontu pārņemšanu izmantojot lietotņu paroles. Jautri.
Kur mēs ejam no šejienes?
Lielākā problēma ar tādām sistēmām kā Google divpakāpju verifikācija ir vienkārši tā, ka tās ir sāpīgas. Vai vēlaties ķerties pie telefona un kodiem katru reizi vai piesakāties servisā? Vai jūsu vecāki, vecvecāki, draugi vai bērni? Lielākā daļa cilvēku to nedara. Pat tehnofiliem, kuriem patīk foršais faktors (un drošība), process, iespējams, šķiet neērts tikai dažu nedēļu laikā.
Skaitļi liecina, ka sāpes ir patiesas. Janvārī Google piegādāja Vadu Roberts Makmilans divpakāpju adopcijas grafiks, ieskaitot smaili pavada Mat Honan'sEpiskā uzlaušana” raksts pagājušā gada augustā. Ievērojiet, kurai asij nav etiķešu? Google pārstāvji atteicās minēt, cik cilvēku izmanto tā divu faktoru autentifikāciju, taču Google drošības viceprezidents Ēriks Gross pastāstīja MacMillan ceturtdaļmiljonam lietotāju, kas reģistrēti pēc Honana raksta. Saskaņā ar šo metriku mans aptuvenais aprēķins liecina, ka līdz šim ir parakstījušies aptuveni 20 miljoni cilvēku — tas ir gandrīz 500 miljonu cilvēku Google. pretenzijas ir Google+ konti. Šis skaitlis šķita pareizs Google darbiniekam, kurš nevēlējās tikt nosaukts: viņa lēsa, ka bija reģistrējušies mazāk nekā desmit procenti “aktīvo” Google+ lietotāju. "Un ne visi pie tā paliek," viņa atzīmēja.
“Kad jums ir neierobežota auditorija, jūs nevarat uzņemties nekādu uzvedību, kas pārsniedz pamata lietas, īpaši, ja neesat devis šai auditorijai iemeslu gribu šī uzvedība,” sacīja Kristians Heslers, mobilās autentifikācijas uzņēmuma izpilddirektors LiveEnsure. "Nekādā gadījumā nevar apmācīt miljardu cilvēku darīt to, ko viņi nevēlas."
LiveEnsure paļaujas uz to, ka lietotāji veic pārbaudi ārpus joslas, izmantojot savu mobilo ierīci (vai pat pa e-pastu). Ievadiet tikai lietotājvārdu (vai izmantojiet vienas pierakstīšanās pakalpojumu, piemēram, Twitter vai Facebook), un LiveEnsure autentificēšanai izmanto plašāku lietotāja kontekstu: parole nav nepieciešama. Pašlaik LiveEnsure izmanto “redzes līniju” — lietotāji skenē QR kodu ekrānā, izmantojot tālruni, lai apstiprinātu savu pieteikšanos, taču drīzumā būs pieejamas arī citas verifikācijas metodes. LiveEnsure izvairās no pārtveršanas, izmantojot atsevišķu savienojumu verifikācijai, taču nepaļaujas arī uz koplietotiem noslēpumiem pārlūkprogrammās, ierīcēs vai pat savā pakalpojumā. Ja sistēma ir uzlauzta, LiveEnsure saka, ka atsevišķiem elementiem uzbrucējam nav vērtības.
"To, kas ir mūsu datubāzē, varētu izsūtīt kompaktdiskos kā Ziemassvētku dāvanu, un tas būtu bezjēdzīgi," sacīja Heslers. "Neviens noslēpums neiet pāri, vienīgais darījums ir vienkāršs jā vai nē."
LiveEnsure pieeja ir vienkāršāka nekā PIN ievadīšana, taču, lai pieteiktos, lietotājiem joprojām ir jāstrādā ar mobilajām ierīcēm un lietotnēm. Citu mērķis ir padarīt procesu pārredzamāku.
Toofers izmanto mobilo ierīču apziņu par savu atrašanās vietu, izmantojot GPS vai Wi-Fi, lai pārskatāmi autentificētu lietotājus — vismaz no iepriekš apstiprinātām atrašanās vietām.
"Toopher piešķir vairāk konteksta autentifikācijas lēmumam, lai padarītu to neredzamu," sacīja dibinātājs un tehnoloģiju vadītājs Evans Grimms. "Ja lietotājs parasti atrodas mājās, strādājot tiešsaistes bankā, lietotājs var to automatizēt, lai padarītu lēmumu neredzamu."
Automatizācija nav nepieciešama: lietotāji var apstiprināt savā mobilajā ierīcē katru reizi, ja vēlas. Taču, ja lietotāji stāsta Toopheram, kas ir normāli, tālrunim ir jābūt tikai kabatā, un autentifikācija notiek pārskatāmi. Lietotāji vienkārši ievada paroli, un viss pārējais ir neredzams. Ja ierīce atrodas nezināmā vietā, lietotājiem ir jāapstiprina savā tālrunī — un, ja nav savienojamību, Toopher atkal izmanto uz laiku balstītu PIN, izmantojot to pašu tehnoloģiju, ko Google Autentifikators.
"Toofers nemēģina būtiski mainīt lietotāja pieredzi," sacīja Grims. "Problēma ar citiem daudzfaktoru risinājumiem nebija tā, ka tie nepievienoja aizsardzību, bet gan tas, ka tie mainīja lietotāja pieredzi, un tāpēc to ieviešanai bija šķēršļi."
Tev ir jābūt spēlē
Paroles nepazudīs, taču tās papildinās atrašanās vietas, vienreizējie PIN, redzamības un skaņas līnijas risinājumi, biometriskie dati vai pat informācija par tuvumā esošajām Bluetooth un Wi-Fi ierīcēm. Viedtālruņi un mobilās ierīces šķiet visticamākais veids, kā autentifikācijai pievienot vairāk konteksta.
Protams, jums ir jābūt spēlē, ja vēlaties spēlēt. Ne visiem ir viedtālruņi, un jaunā autentifikācijas tehnoloģija var izslēgt lietotājus bez jaunākajām tehnoloģijām, padarot pārējo pasauli neaizsargātāku pret uzlaušanu un identitātes zādzībām. Digitālā drošība varētu viegli kļūt par kaut ko tādu, kas atšķir labvēlīgos no tiem, kam nav.
Un līdz šim nevar pateikt, kādi risinājumi uzvarēs. Toopher un LiveEnsure ir tikai divi no daudziem spēlētājiem, un viņi visi saskaras ar vistas un olas problēmu: bez lietotāju un pakalpojumu pieņemšanas tie nevienam nepalīdzēs. Toopher nesen nodrošināja $ 2 miljonus starta finansējuma; LiveEnsure runā ar dažiem lieliem nosaukumiem un cer drīzumā izkļūt no slepenā režīma. Bet ir pāragri teikt, kur kāds nonāks.
Tikmēr, ja pakalpojums, uz kuru paļaujaties, piedāvā jebkāda veida daudzfaktoru autentifikāciju — neatkarīgi no tā, vai izmantojot SMS, viedtālruņa lietotni vai pat tālruņa zvanu, apsveriet to nopietni. Tā gandrīz noteikti ir labāka aizsardzība nekā tikai parole… pat ja tā gandrīz noteikti arī rada sāpes.
Attēls, izmantojot Shutterstock / Ādams Radosavļevičs
[Atjaunināts 2013. gada 24. martā, lai precizētu informāciju par FFIEC un LiveEnsure un labotu ražošanas kļūdu.]
Redaktoru ieteikumi
- Kā atrast lejupielādētos failus savā iPhone vai Android viedtālrunī
- Jūsu Google One plānam tikko tika pievienoti divi lieli drošības atjauninājumi, lai nodrošinātu jūsu drošību tiešsaistē
- Kā viedtālrunis varētu aizstāt profesionālu kameru 2023. gadā
- Google Pixel 6 ir labs viedtālrunis, bet vai ar to pietiks, lai pārliecinātu pircējus?
- Google vadītājs saka, ka ir "vīlies" ar Apple jauno iPhone drošības programmu
