Setki milionów ludzi codziennie używa haseł — odblokowują nasze urządzenia, pocztę e-mail, sieci społecznościowe, a nawet konta bankowe. Jednak hasła są coraz słabszy sposób, aby się chronić: Nie ma tygodnia, aby w wiadomościach nie pojawiła się poważna wada bezpieczeństwa. W tym tygodniu tak Cisco — producent większości sprzętu, który zasadniczo napędza Internet.
W tej chwili prawie wszyscy chcą wyjść poza hasła uwierzytelnianie wieloczynnikowe: wymaganie „czegoś, co masz” lub „czegoś, czym jesteś” jako dodatku do czegoś, co wiesz. Technologie biometryczne mierzące oczy, odciski palców, twarze i/lub głosy coraz bardziej praktyczne, ale często zawodzą niektórym osobom i trudno je udostępnić setkom milionów użytkowników.
Polecane filmy
Czy nie przeoczyliśmy oczywistości? Czy rozwiązanie wieloczynnikowego bezpieczeństwa nie jest już w naszych kieszeniach?
Powiązany
- 15 najważniejszych smartfonów, które na zawsze zmieniły świat
- SMS 2FA jest niepewny i zły — użyj zamiast tego tych 5 świetnych aplikacji uwierzytelniających
- Zmęczenie subskrypcją aplikacji szybko rujnuje mój smartfon
Bankowość internetowa
Wierzcie lub nie, ale Amerykanie od lat korzystają z uwierzytelniania wieloskładnikowego przy korzystaniu z bankowości internetowej — lub przynajmniej w jego złagodzonej wersji. W 2001 roku Federalna Rada Egzaminacyjna Instytucji Finansowych (FFIEC) zażądała, aby amerykańskie usługi bankowości internetowej wprowadziły do 2006 roku prawdziwe uwierzytelnianie wieloczynnikowe.
Mamy rok 2013, a my nadal logujemy się do bankowości internetowej za pomocą haseł. Co się stało?
„Zasadniczo banki lobbowały” – powiedział Rich Mogull, dyrektor generalny i analityk w firmie Sekuroza. „Biometria i tokeny zabezpieczające mogą działać dobrze w izolacji, ale bardzo trudno jest je skalować nawet do celów bankowości. Konsumenci nie chcą zajmować się wieloma takimi sprawami. Większość ludzi nawet nie umieszcza haseł w telefonach.
Banki więc się wycofały. Do 2005 roku FFIEC wydało zaktualizowane wytyczne co umożliwiło bankom uwierzytelnianie za pomocą hasła i „identyfikacji urządzenia” – w zasadzie profilowanie systemów użytkowników. Jeśli klient loguje się ze znanego urządzenia, wystarczy mu hasło; w przeciwnym razie klient będzie musiał pokonać kolejne trudności — zazwyczaj zadaje pytania stanowiące wyzwanie. Pomysł jest taki, że profilowanie urządzeń sprowadza się do weryfikowania czegoś przez użytkowników Posiadać (komputer, smartfon lub tablet) wraz z hasłem wiedzieć.
Banki stały się bardziej wyrafinowane w identyfikowaniu urządzeń i wciąż nowsze wytyczne federalne wymagają, aby banki używały czegoś więcej niż tylko łatwego do skopiowania pliku cookie przeglądarki. Ale system jest nadal słaby. Wszystko dzieje się za pośrednictwem jednego kanału, więc jeśli przestępca może przejąć połączenie użytkownika (być może w wyniku kradzieży, włamania lub złośliwego oprogramowania), wszystko się kończy. Co więcej, każdy jest traktowany jak klient korzystający z nowego urządzenia – i jak New York Times felietonista David Pogue może to potwierdzićpytania zabezpieczające, na które udzielono zgodnych z prawdą pytań, czasami zapewniają skąpą ochronę.
Jednak ograniczona forma wieloczynnikowego bezpieczeństwa bankowości internetowej ma duży korzyść dla konsumentów. Dla większości użytkowników profilowanie urządzenia jest w większości niewidoczne i działa jak hasło — co prawie każdy rozumie.
Autoryzator Google
Tokeny cyfrowe, karty bezpieczeństwa i inne urządzenia są używane w uwierzytelnianiu wieloczynnikowym od dziesięcioleci. Jednak podobnie jak biometria, jak dotąd nic nie okazało się praktyczne dla milionów zwykłych ludzi. Nie ma również powszechnych standardów, więc ludzie mogą potrzebować tuzina różnych breloków, tokenów, pamięci USB i kart, aby uzyskać dostęp do swoich ulubionych usług. Nikt tego nie zrobi.
A co z telefonami w naszych kieszeniach? Prawie rok temu odkryli naukowcy prawie 90 procent dorosłych Amerykanów posiadało telefony komórkowe — prawie połowa miała smartfony. Liczby muszą być teraz wyższe: na pewno będą używane do uwierzytelniania wieloczynnikowego?
Taka jest idea Dwuetapowa weryfikacja Google, który wysyła jednorazowy kod PIN na telefon za pomocą wiadomości SMS lub głosu podczas logowania do usług Google. Użytkownicy wprowadzają zarówno swoje hasło, jak i kod, aby się zalogować. Oczywiście telefony mogą zostać zgubione lub skradzione, a jeśli bateria się wyczerpie lub usługa komórkowa nie będzie dostępna, użytkownicy zostaną zablokowani. Usługa działa jednak nawet z telefonami z internetem i z pewnością jest bezpieczniejsza — choć mniej wygodna — niż samo hasło.
Dwuetapowa weryfikacja Google staje się bardziej interesująca Autoryzator Google, dostępna na Androida, iOS i BlackBerry. Google Authenticator korzysta z jednorazowych haseł opartych na czasie (TOTP), standardu wspieranego przez Inicjatywa na rzecz otwartego uwierzytelniania. Zasadniczo aplikacja zawiera zaszyfrowany sekret i generuje nowy sześciocyfrowy kod co 30 sekund. Użytkownicy wprowadzają ten kod wraz ze swoim hasłem, aby udowodnić, że mają właściwe urządzenie. Dopóki zegar telefonu jest prawidłowy, Google Authenticator działa bez usługi telefonicznej; co więcej, działają z nim 30-sekundowe kody Inny usługi obsługujące TOTP: obecnie obejmuje to Dropbox, LastPass, I Usługi internetowe Amazona. Podobnie inne aplikacje obsługujące TOTP mogą współpracować z Google.
Ale są problemy. Użytkownicy przesyłają kody weryfikacyjne tym samym kanałem co hasła, są więc podatni na te same scenariusze przechwytywania, co w przypadku bankowości internetowej. Ponieważ aplikacje TOTP zawierają sekret, każdy (w dowolnym miejscu na świecie) może wygenerować prawidłowe kody, jeśli aplikacja lub sekret zostaną złamane. I żaden system nie jest idealny: w zeszłym miesiącu Google naprawiło problem, który mógł na to pozwolić całkowitego przejęcia kont za pomocą haseł specyficznych dla aplikacji. Zabawa.
Dokąd stąd pójdziemy?
Największym problemem systemów takich jak weryfikacja dwuetapowa Google jest po prostu to, że są upierdliwe. Chcesz pobawić się telefonem i kodami? za każdym razem logujesz się do jakiegoś serwisu? Czy Twoi rodzice, dziadkowie, przyjaciele lub dzieci? Większość ludzi tego nie robi. Nawet technofile, którzy kochają fajną atmosferę (i bezpieczeństwo), prawdopodobnie uznają ten proces za niezręczny w ciągu zaledwie kilku tygodni.
Liczby sugerują, że ból jest prawdziwy. W styczniu Google dostarczył Przewodowe Robert MacMillan wykres dwuetapowej adopcji, łącznie ze szpikulcem towarzyszący „Matowi Honanowi”Epickie hackowanie” artykuł z sierpnia ubiegłego roku. Zwróć uwagę, która oś nie ma etykiet? Przedstawiciele Google nie chcieli powiedzieć, ile osób korzysta z uwierzytelniania dwuskładnikowego, ale wiceprezes Google ds. bezpieczeństwa Eric Grosse powiedział firmie MacMillan, że ćwierć miliona użytkowników zarejestrowało się po artykule Honana. Według tych wskaźników, z tylnej strony koperty szacuję, że do tej pory zarejestrowało się około 20 milionów osób, co stanowi zaledwie ubytek w przypadku ponad 500 milionów osób Google roszczenia mieć konta Google+. Pracownikowi Google, który nie chciał ujawniać nazwiska, ta liczba wydawała się w przybliżeniu właściwa: oszacowała, że zarejestrowało się mniej niż dziesięć procent „aktywnych” użytkowników Google+. „I nie wszyscy się tego trzymają” – zauważyła.
„Kiedy masz nieokiełznaną publiczność, nie możesz zakładać żadnego zachowania poza podstawowymi – zwłaszcza jeśli nie dajesz jej powodu do tego. chcieć takie zachowanie” – powiedział Christian Hessler, dyrektor generalny firmy zajmującej się uwierzytelnianiem mobilnym LiveEnsure. „Nie da się wyszkolić miliarda ludzi, aby robili coś, czego nie chcą”.
LiveEnsure polega na tym, że użytkownicy weryfikują się poza pasmem za pomocą urządzenia mobilnego (lub nawet za pośrednictwem poczty elektronicznej). Wpisz tylko nazwę użytkownika (lub skorzystaj z usługi pojedynczego logowania, takiej jak Twitter lub Facebook), a LiveEnsure wykorzystuje szerszy kontekst użytkownika do uwierzytelnienia: hasło nie jest wymagane. Obecnie LiveEnsure korzysta z „linii wzroku” — użytkownicy skanują telefonem kod QR na ekranie, aby potwierdzić logowanie — ale wkrótce dostępne będą inne metody weryfikacji. LiveEnsure unika przechwytywania, korzystając z oddzielnego połączenia do weryfikacji, ale nie polega też na wspólnych tajemnicach w przeglądarkach, urządzeniach ani nawet na swoich usługach. Jeśli system jest złamany, LiveEnsure twierdzi, że poszczególne elementy nie mają żadnej wartości dla atakującego.
„To, co znajduje się w naszej bazie danych, mogłoby zostać wysłane pocztą na płytach CD jako prezent bożonarodzeniowy i byłoby bezużyteczne” – powiedział Hessler. „Żadne tajemnice nie są przekazywane drogą elektroniczną, jedyną transakcją jest proste „tak” lub „nie”.
Podejście LiveEnsure jest łatwiejsze niż wprowadzanie PIN-u, ale nadal wymaga od użytkowników korzystania z urządzeń mobilnych i aplikacji, aby się zalogować. Inne mają na celu uczynienie procesu bardziej przejrzystym.
Toopher wykorzystuje świadomość lokalizacji urządzeń mobilnych za pośrednictwem GPS lub Wi-Fi w celu przejrzystego uwierzytelniania użytkowników — przynajmniej ze wstępnie zatwierdzonych lokalizacji.
„Toopher dodaje więcej kontekstu do decyzji o uwierzytelnieniu, aby uczynić ją niewidoczną” – powiedział założyciel i dyrektor ds. technicznych Evan Grimm. „Jeśli użytkownik zazwyczaj jest w domu i korzysta z bankowości internetowej, może to zautomatyzować, aby decyzja była niewidoczna”.
Automatyzacja nie jest wymagana: użytkownicy mogą za każdym razem potwierdzać na swoim urządzeniu mobilnym, jeśli chcą. Jeśli jednak użytkownicy powiedzą Toopherowi, co jest normalne, wystarczy, że będą mieli telefon w kieszeni, a uwierzytelnienie nastąpi w sposób przejrzysty. Użytkownicy po prostu wprowadzają hasło, a wszystko inne jest niewidoczne. Jeśli urządzenie znajduje się w nieznanej lokalizacji, użytkownicy muszą potwierdzić to na swoim telefonie – a jeśli nie, to tak łączności, Toopher powraca do kodu PIN opartego na czasie i wykorzystującego tę samą technologię, co Google Uwierzytelniacz.
„Toopher nie stara się zasadniczo zmieniać doświadczenia użytkownika” – powiedział Grimm. „Problem z innymi rozwiązaniami wieloczynnikowymi nie polegał na tym, że nie zapewniały dodatkowej ochrony, ale na tym, że zmieniały doświadczenia użytkownika, co utrudniało ich wdrożenie”.
Musisz być w grze
Hasła nie znikną, ale zostaną uzupełnione o lokalizacje, jednorazowe kody PIN, rozwiązania w zakresie linii wzroku i dźwięku, dane biometryczne, a nawet informacje o pobliskich urządzeniach Bluetooth i Wi-Fi. Smartfony i urządzenia mobilne wydają się najbardziej prawdopodobnym sposobem na dodanie dodatkowego kontekstu do uwierzytelniania.
Oczywiście, jeśli chcesz grać, musisz być w grze. Nie wszyscy mają smartfony, a nowa technologia uwierzytelniania może wykluczyć użytkowników bez najnowszych technologii, przez co reszta świata będzie bardziej podatna na włamania i kradzież tożsamości. Bezpieczeństwo cyfrowe może z łatwością stać się czymś, co odróżni tych, którzy mają, od tych, którzy nie mają.
I na razie nie wiadomo, które rozwiązania zwyciężą. Toopher i LiveEnsure to tylko dwaj z wielu graczy i wszyscy stoją w obliczu problemu: bez przyjęcia zarówno przez użytkowników, jak i usługi, nikomu nie pomogą. Toopher niedawno zabezpieczył 2 miliony dolarów na finansowanie startupu; LiveEnsure rozmawia z kilkoma wielkimi nazwiskami i ma nadzieję, że wkrótce wyjdzie z trybu ukrytego. Jest jednak zbyt wcześnie, aby powiedzieć, gdzie ktokolwiek trafi.
W międzyczasie, jeśli usługa, z której korzystasz, oferuje jakąkolwiek formę uwierzytelniania wielopoziomowego – czy to za pomocą wiadomości SMS, aplikacji na smartfonie, czy nawet rozmowy telefonicznej – poważnie się nad tym zastanów. Prawie na pewno jest to lepsza ochrona niż samo hasło… nawet jeśli jest to również prawie na pewno upierdliwe.
Obraz przez Shutterstock / Adama Radosavljevicia
[Zaktualizowano 24 marca 2013 r. w celu wyjaśnienia szczegółów dotyczących FFIEC i LiveEnsure oraz skorygowania błędu produkcyjnego.]
Zalecenia redaktorów
- Jak znaleźć pobrane pliki na iPhonie lub smartfonie z Androidem
- Właśnie otrzymaliśmy dwie duże aktualizacje zabezpieczeń dla Twojego planu Google One, które zapewnią Ci bezpieczeństwo w Internecie
- Jak smartfon może zastąpić profesjonalny aparat w 2023 roku
- Google Pixel 6 to dobry smartfon, ale czy wystarczy, aby przekonać kupujących?
- Szef Google mówi, że jest „rozczarowany” nowym programem zabezpieczeń Apple dla iPhone'a
