Hundrevis av millioner mennesker bruker passord hver dag – de låser opp enhetene våre, e-posten, sosiale nettverk og til og med bankkontoene våre. Imidlertid er passord en stadig svakere måte å beskytte oss selv på: Det går knapt en uke uten at et stort sikkerhetstull kommer til nyhetene. Denne uken er det Cisco — produsent av mye av maskinvaren som i hovedsak driver Internett.
Akkurat nå er nesten alle ute etter å gå utover passord til multifaktorautentisering: krever "noe du har" eller "noe du er" i tillegg til noe du vet. Biometriske teknologier som måler øyne, fingeravtrykk, ansikter og/eller stemmer blir mer praktisk, men mislykkes ofte for noen mennesker, og er vanskelig å bringe til hundrevis av millioner brukere.
Anbefalte videoer
Overser vi ikke det åpenbare? Er ikke løsningen på multifaktorsikkerhet allerede i våre lommer?
I slekt
- De 15 viktigste smarttelefonene som forandret verden for alltid
- SMS 2FA er usikker og dårlig – bruk disse 5 flotte autentiseringsappene i stedet
- Tretthet i app-abonnement ødelegger raskt smarttelefonen min
Nettbank
Tro det eller ei, amerikanere har brukt multifaktorautentisering i årevis når de driver med nettbank – eller i det minste utvannede versjoner av det. I 2001 krevde Federal Financial Institutions Examination Council (FFIEC) at amerikanske nettbanktjenester skulle implementere ekte multifaktorautentisering innen 2006.
Det er 2013 og vi logger fortsatt på nettbank med passord. Hva skjedde?
"I utgangspunktet drev banker lobbyvirksomhet," sa Rich Mogull, administrerende direktør og analytiker ved Securosis. "Biometri og sikkerhetstokens kan fungere fint isolert sett, men det er veldig vanskelig å skalere dem selv til bare banktjenester. Forbrukere ønsker ikke å forholde seg til flere slike ting. De fleste legger ikke engang passord på telefoner.»
Så bankene presset tilbake. Innen 2005, FFIEC utstedt oppdaterte retningslinjer som tillot bankene å autentisere med passord og "enhetsidentifikasjon" - i utgangspunktet, profilering av brukernes systemer. Hvis en kunde logger på fra en kjent enhet, trenger de bare et passord; ellers må kunden hoppe gjennom flere bøyler - vanligvis utfordre spørsmål. Tanken er at profilering av enheter er å verifisere noe brukere ha (en datamaskin, smarttelefon eller nettbrett) for å følge passordet de vet.
Banker har blitt mer sofistikerte til å identifisere enheter, og enda nyere føderale retningslinjer krever at bankene bruker mer enn en enkelt kopiert nettleserinformasjonskapsel. Men systemet er fortsatt svakt. Alt skjer over en enkelt kanal, så hvis en dårlig skuespiller kan benytte seg av en brukers tilkobling (kanskje ved tyveri, hacks eller skadelig programvare), er alt over. Videre blir alle behandlet som en kunde som bruker en ny enhet – og som New York Times spaltist David Pogue kan bekrefte, sannferdig besvarte sikkerhetsspørsmål gir noen ganger liten beskyttelse.
Imidlertid har nettbankens begrensede form for multifaktorsikkerhet stor oppside for forbrukerne. For de fleste brukere mesteparten av tiden er enhetsprofilering usynlig og fungerer akkurat som et passord - som nesten alle forstår.
Google Authenticator
Digitale tokens, sikkerhetskort og andre enheter har blitt brukt i multifaktorautentisering i flere tiår. I likhet med biometri har imidlertid ingenting så langt vist seg brukbart for millioner av vanlige mennesker. Det er heller ingen utbredte standarder, så folk kan trenge et dusin forskjellige fobs, tokens, USB-pinner og kort for å få tilgang til favoritttjenestene deres. Ingen kommer til å gjøre det.
Så hva med telefonene i lommene våre? For nesten et år siden fant forskere nesten 90 prosent av amerikanske voksne eide mobiltelefoner — nesten halvparten hadde smarttelefoner. Tallene må være høyere nå: de brukes sikkert til multifaktorautentisering?
Det er tanken bak Googles to-trinns bekreftelse, som sender en engangs-PIN-kode til en telefon via SMS eller tale når du logger på Google-tjenester. Brukere skriver inn både passordet og koden for å logge på. Telefoner kan selvfølgelig gå tapt eller stjeles, og hvis batteriet dør eller ingen mobiltjeneste er tilgjengelig, blir brukerne utestengt. Men tjenesten fungerer selv med funksjonstelefoner, og er absolutt sikrere - hvis mindre praktisk - enn et passord alene.
Googles totrinnsverifisering blir mer interessant med Google Authenticator, tilgjengelig for Android, iOS og BlackBerry. Google Authenticator bruker tidsbaserte engangspassord (TOTP), en standard støttet av Initiativ for åpen autentisering. I utgangspunktet inneholder appen en kryptert hemmelighet og genererer en ny sekssifret kode hvert 30. sekund. Brukere skriver inn denne koden sammen med passordet for å bevise at de har riktig enhet. Så lenge telefonens klokke er riktig, fungerer Google Authenticator uten telefontjeneste; dessuten fungerer 30-sekunderskodene med annen tjenester som støtter TOTP: akkurat nå, som inkluderer Dropbox, LastPass, og Amazon Web Services. På samme måte kan andre apper som støtter TOTP fungere med Google.
Men det er problemer. Brukere sender inn bekreftelseskoder på samme kanal som passord, så de er sårbare for de samme avskjæringsscenariene som nettbank. Siden TOTP-apper inneholder en hemmelighet, kan hvem som helst (hvor som helst i verden) generere legitime koder hvis appen eller hemmeligheten blir knekt. Og ingen system er perfekte: Forrige måned løste Google et problem som kunne tillate det totale kontoovertakelser via appspesifikke passord. Moro.
Hvor går vi herfra?
Det største problemet med systemer som Googles totrinnsverifisering er ganske enkelt at de er vonde. Vil du fikle med telefonen og koder hver eneste gang logger du på en tjeneste? Gjør dine foreldre, besteforeldre, venner eller barn? De fleste gjør det ikke. Selv teknofiler som elsker den kule faktoren (og sikkerheten) finner sannsynligvis prosessen vanskelig på bare noen få uker.
Tall tyder på at smerten er ekte. I januar leverte Google Wired's Robert MacMillan en graf over to-trinns adopsjon, inkludert en pigg akkompagnerer Mat Honans "Episk hacking" artikkel i august i fjor. Legg merke til hvilken akse som ikke har noen etiketter? Google-representanter nektet å si hvor mange som bruker tofaktorautentiseringen, men Googles sikkerhetsdirektør Eric Grosse fortalte MacMillan at en kvart million brukere meldte seg på etter Honans artikkel. Med denne beregningen er baksiden av konvolutten estimat at omtrent 20 millioner mennesker har registrert seg – knapt en bulk i 500+ millioner mennesker Google påstander har Google+-kontoer. Det tallet virket omtrent riktig for en Google-ansatt som ikke ønsket å bli navngitt: Hun anslått at mindre enn ti prosent av "aktive" Google+-brukere hadde registrert seg. "Og ikke alle holder seg til det," bemerket hun.
"Når du har et uhemmet publikum, kan du ikke anta noen form for oppførsel utover det grunnleggende - spesielt hvis du ikke har gitt det publikum en grunn til å ønsker den oppførselen, sier Christian Hessler, administrerende direktør i mobilautentiseringsselskapet LiveEnsure. "Det er ingen måte du kommer til å trene en milliard mennesker til å gjøre noe de ikke vil gjøre."
LiveEnsure er avhengig av at brukere bekrefter utenfor båndet ved hjelp av mobilenheten (eller til og med via e-post). Skriv inn bare et brukernavn (eller bruk en enkelt påloggingstjeneste som Twitter eller Facebook), og LiveEnsure utnytter brukerens bredere kontekst for å autentisere: ingen passord kreves. Akkurat nå bruker LiveEnsure "line-of-sight" - brukere skanner en QR-kode på skjermen ved å bruke telefonen for å bekrefte påloggingen - men andre verifiseringsmetoder kommer snart. LiveEnsure omgår avlytting ved å bruke en separat tilkobling til verifisering, men er heller ikke avhengig av delte hemmeligheter i nettlesere, enheter eller til og med tjenesten. Hvis systemet er sprukket, sier LiveEnsure at de individuelle brikkene ikke har noen verdi for en angriper.
"Det som er i databasen vår kan sendes ut på CDer som julegave, og det ville være ubrukelig," sa Hessler. "Ingen hemmeligheter går over tråden, den eneste transaksjonen er et enkelt ja eller nei."
LiveEnsures tilnærming er enklere enn å skrive inn PIN-koder, men krever fortsatt at brukere fikler med mobile enheter og apper for å logge på. Andre har som mål å gjøre prosessen mer oversiktlig.
Toopher utnytter mobilenheters bevissthet om posisjonen deres via GPS eller Wi-Fi som en måte å transparent autentisere brukere – i det minste fra forhåndsgodkjente steder.
"Toopher bringer mer kontekst til autentiseringsbeslutningen for å gjøre den usynlig," sa grunnlegger og CTO Evan Grimm. "Hvis en bruker vanligvis er hjemme og driver nettbank, kan en bruker automatisere det for å gjøre beslutningen usynlig."
Automatisering er ikke nødvendig: Brukere kan bekrefte på mobilenheten hver gang, hvis de vil. Men hvis brukere forteller Toopher hva som er normalt, trenger de bare å ha telefonen i lommen og autentisering skjer på en transparent måte. Brukere skriver bare inn et passord og alt annet er usynlig. Hvis enheten er på et ukjent sted, må brukere bekrefte på telefonen - og hvis det ikke er det tilkobling, faller Toopher tilbake til en tidsbasert PIN-kode ved hjelp av samme teknologi som Google Autentisering.
"Toopher prøver ikke å fundamentalt endre brukeropplevelsen, sa Grimm. "Problemet med andre multifaktorløsninger var ikke at de ikke la til beskyttelse, men at de endret brukeropplevelsen, og derfor hadde hindringer for bruk."
Du må være med i spillet
Passord forsvinner ikke, men de vil bli utvidet med plasseringer, engangs-PIN-er, siktlinje- og lydlinjeløsninger, biometri eller til og med informasjon om nærliggende Bluetooth- og Wi-Fi-enheter. Smarttelefoner og mobile enheter virker den mest sannsynlige måten å legge til mer kontekst for autentisering.
Selvfølgelig må du være med i spillet hvis du vil spille. Ikke alle har smarttelefoner, og ny autentiseringsteknologi kan ekskludere brukere uten nyere teknologi, noe som gjør resten av verden mer sårbar for hacks og identitetstyveri. Digital sikkerhet kan lett bli noe som skiller e-poster fra har-ikke.
Og så langt er det ikke noe å si hvilke løsninger som vil vinne frem. Toopher og LiveEnsure er bare to av mange spillere, og de står alle overfor et kylling-og-egg-problem: Uten adopsjon av både brukere og tjenester, hjelper de ingen. Toopher sikret seg nylig 2 millioner dollar i oppstartsfinansiering; LiveEnsure snakker med noen store navn og håper å komme ut av stealth-modus snart. Men det er for tidlig å si hvor noen vil ende opp.
I mellomtiden, hvis en tjeneste du stoler på tilbyr noen form for multifaktorautentisering - enten via SMS, en smarttelefonapp eller til og med en telefonsamtale - bør du vurdere det seriøst. Det er nesten helt sikkert bedre beskyttelse enn et passord alene... selv om det også nesten helt sikkert er vondt.
Bilde via Shutterstock / Adam Radosavljevic
[Oppdatert 24. mars 2013 for å avklare detaljer om FFIEC og LiveEnsure, og korrigere en produksjonsfeil.]
Redaktørenes anbefalinger
- Slik finner du nedlastede filer på din iPhone eller Android-smarttelefon
- Google One-abonnementet ditt har nettopp fått to store sikkerhetsoppdateringer for å holde deg trygg på nettet
- Hvordan smarttelefonen din kan erstatte et profesjonelt kamera i 2023
- Googles Pixel 6 er en god smarttelefon, men vil den være nok til å overbevise kjøpere?
- Google-leder sier at han er "skuffet" over Apples nye iPhone-sikkerhetsprogram
