Sute de milioane de oameni folosesc parole în fiecare zi — ne deblochează dispozitivele, e-mailul, rețelele sociale și chiar conturile bancare. Cu toate acestea, parolele sunt un din ce în ce mai slabă modalitate de a ne proteja: abia trece o săptămână fără ca o gafă majoră de securitate să ajungă la știri. Săptămâna aceasta, este Cisco — producător al multor componente hardware care alimentează în esență internetul.
În acest moment, aproape toată lumea caută să treacă dincolo de parole autentificare multifactorială: necesită „ceva ce ai” sau „ceva ce ești” în plus față de ceva ce știi. Tehnologiile biometrice care măsoară ochii, amprentele, fețele și/sau vocile sunt devenind mai practic, dar eșuează frecvent pentru unii oameni și sunt greu de adus la sute de milioane de utilizatori.
Videoclipuri recomandate
Nu trecem cu vederea evidentul? Soluția pentru securitatea multifactorială nu este deja în buzunarele noastre?
Legate de
- Cele mai importante 15 smartphone-uri care au schimbat lumea pentru totdeauna
- SMS 2FA este nesigur și prost - folosiți în schimb aceste 5 aplicații grozave de autentificare
- Oboseala abonamentului la aplicații îmi distruge rapid smartphone-ul
Online banking
Credeți sau nu, americanii folosesc de ani de zile autentificarea cu mai mulți factori ori de câte ori fac servicii bancare online - sau, cel puțin, versiuni reduse ale acesteia. În 2001, Consiliul Federal de Examinare a Instituțiilor Financiare (FFIEC) a cerut ca serviciile bancare online din SUA să implementeze o autentificare multifactorială adevărată până în 2006.
Este 2013 și încă ne conectăm la servicii bancare online cu parole. Ce s-a întâmplat?
„Practic, băncile au făcut lobby”, a spus Rich Mogull, CEO și analist la Securoza. „Biometria și tokenurile de securitate pot funcționa bine în mod izolat, dar este foarte greu să le scalați chiar și doar la banca. Consumatorii nu doresc să se ocupe de mai multe lucruri de acest fel. Majoritatea oamenilor nici măcar nu pun coduri pe telefoane.”
Deci, băncile au fost respinse. Până în 2005, FFIEC a emis ghiduri actualizate care a permis băncilor să se autentifice prin parolă și „identificare a dispozitivului” – practic, profilarea sistemelor utilizatorilor. Dacă un client se conectează de pe un dispozitiv cunoscut, are nevoie doar de o parolă; în caz contrar, clientul trebuie să treacă prin mai multe cercuri - de obicei provoacă întrebări. Ideea este că profilarea dispozitivelor înseamnă a verifica ceva utilizatori avea (un computer, un smartphone sau o tabletă) pentru a însoți parola stiu.
Băncile au devenit mai sofisticate în identificarea dispozitivelor și orientări federale încă mai noi cere băncilor să folosească mai mult decât un cookie de browser ușor de copiat. Dar sistemul este încă slab. Totul se întâmplă pe un singur canal, așa că dacă un actor rău poate accesa conexiunea unui utilizator (poate prin furt, hack-uri sau malware), totul s-a terminat. În plus, oricine este tratat ca un client folosind un dispozitiv nou - și ca New York Times cronicar David Pogue poate atesta, întrebările de securitate cu răspunsuri sincere oferă uneori o protecție redusă.
Cu toate acestea, forma limitată de securitate multifactorială a serviciilor bancare online are mare avantaj pentru consumatori. Pentru majoritatea utilizatorilor de cele mai multe ori, profilarea dispozitivului este invizibilă și funcționează la fel ca o parolă - pe care aproape toată lumea o înțelege.
Google Authenticator
Jetoanele digitale, cardurile de securitate și alte dispozitive au fost folosite în autentificarea multifactorială de zeci de ani. Cu toate acestea, ca și biometria, până acum nimic nu s-a dovedit a fi funcțional pentru milioane de oameni obișnuiți. De asemenea, nu există standarde larg răspândite, așa că oamenii ar putea avea nevoie de o duzină de fob-uri, jetoane, stick-uri USB și carduri diferite pentru a accesa serviciile lor preferate. Nimeni nu va face asta.
Deci, cum rămâne cu telefoanele din buzunarele noastre? În urmă cu aproape un an, cercetătorii au descoperit aproape 90% dintre adulții americani dețineau telefoane mobile — aproape jumătate avea smartphone-uri. Numerele trebuie să fie mai mari acum: cu siguranță vor fi folosite pentru autentificarea multifactorială?
Asta e ideea din spate Verificarea Google în doi pași, care trimite un cod PIN unic către un telefon prin SMS sau voce atunci când vă conectați la serviciile Google. Utilizatorii introduc atât parola, cât și codul pentru a se conecta. Desigur, telefoanele pot fi pierdute sau furate, iar dacă bateria se stinge sau nu este disponibil niciun serviciu mobil, utilizatorii sunt blocați. Dar serviciul funcționează chiar și cu telefoanele cu caracteristici și este cu siguranță mai sigur – dacă este mai puțin convenabil – decât o parolă singură.
Verificarea în doi pași de la Google devine mai interesantă Google Authenticator, disponibil pentru Android, iOS și BlackBerry. Google Authenticator folosește Parole unice bazate pe timp (TOTP), un standard susținut de Inițiativa pentru autentificare deschisă. Practic, aplicația conține un secret criptat și generează un nou cod de șase cifre la fiecare 30 de secunde. Utilizatorii introduc acel cod împreună cu parola pentru a dovedi că au dispozitivul corect. Atâta timp cât ceasul telefonului este corect, Google Authenticator funcționează fără serviciu telefonic; În plus, codurile sale de 30 de secunde funcționează alte servicii care suportă TOTP: chiar acum, asta include Dropbox, LastPass, și Amazon Web Services. De asemenea, alte aplicații care acceptă TOTP pot funcționa cu Google.
Dar există probleme. Utilizatorii trimit coduri de verificare pe același canal ca și parolele, astfel încât sunt vulnerabili la aceleași scenarii de interceptare ca și serviciile bancare online. Deoarece aplicațiile TOTP conțin un secret, oricine (oriunde în lume) poate genera coduri legitime dacă aplicația sau secretul este spart. Și niciun sistem nu este perfect: luna trecută Google a remediat o problemă care ar putea permite total preluări de cont prin parole specifice aplicației. Distracţie.
Unde mergem de aici?
Cea mai mare problemă cu sisteme precum verificarea în doi pași Google este pur și simplu că sunt o chinuri în fund. Vrei să te joci cu telefonul și codurile tale de fiecare dată te autentifici la un serviciu? Părinții, bunicii, prietenii sau copiii tăi? Majoritatea oamenilor nu. Chiar și tehnofilii care iubesc factorul cool (și securitatea) probabil consideră că procesul este dificil în doar câteva săptămâni.
Cifrele sugerează că durerea este reală. În ianuarie, Google a furnizat Cele cu fir Robert MacMillan un grafic al adoptării în doi pași, inclusiv o ţeapă care însoțește „Mat Honan”Hacking epic” articol din august anul trecut. Observați care axă nu are etichete? Reprezentanții Google au refuzat să spună câți oameni folosesc autentificarea cu doi factori, dar vicepreședintele pentru securitate Google, Eric Grosse, a spus lui MacMillan că un sfert de milion de utilizatori s-au înscris după articolul lui Honan. După această valoare, estimarea mea din spatele plicului este de aproximativ 20 de milioane de persoane care s-au înscris până în prezent - abia o pătrundere în peste 500 de milioane de oameni Google creanțe au conturi Google+. Această cifră i s-a părut corectă unui angajat Google care nu dorea să fie numit: ea a estimat că mai puțin de zece la sută dintre utilizatorii Google+ „activi” s-au înscris. „Și nu toți rămân cu asta”, a remarcat ea.
„Când ai un public nestăpânit, nu poți să-ți asumi niciun fel de comportament dincolo de elementele de bază – mai ales dacă nu i-ai dat publicului un motiv să vrei acest comportament”, a spus Christian Hessler, CEO al companiei de autentificare mobilă LiveEnsure. „Nu ai cum să antrenezi un miliard de oameni să facă ceva ce nu vor să facă.”
LiveEnsure se bazează pe utilizatorii care verifică în afara benzii utilizând dispozitivul lor mobil (sau chiar prin e-mail). Introduceți doar un nume de utilizator (sau utilizați un serviciu de conectare unică, cum ar fi Twitter sau Facebook), iar LiveEnsure folosește contextul mai larg al utilizatorului pentru a se autentifica: nu este necesară o parolă. În acest moment, LiveEnsure folosește „linia vizuală” - utilizatorii scanează un cod QR pe ecran folosind telefonul pentru a-și confirma autentificarea - dar în curând vor veni și alte metode de verificare. LiveEnsure ocolește interceptarea utilizând o conexiune separată pentru verificare, dar nici nu se bazează pe secretele partajate în browsere, dispozitive sau chiar în serviciul său. Dacă sistemul este spart, LiveEnsure spune că piesele individuale nu au valoare pentru un atacator.
„Ceea ce este în baza noastră de date ar putea fi trimis pe CD-uri ca cadou de Crăciun și ar fi inutil”, a spus Hessler. „Niciun secret nu trece prin fir, singura tranzacție este un simplu da sau nu.”
Abordarea LiveEnsure este mai ușoară decât introducerea codurilor PIN, dar totuși necesită ca utilizatorii să se autentifice cu dispozitivele mobile și aplicațiile. Alții urmăresc să facă procesul mai transparent.
Toopher folosește conștientizarea dispozitivelor mobile cu privire la locația lor prin GPS sau Wi-Fi ca o modalitate de a autentifica în mod transparent utilizatorii - cel puțin, din locații preaprobate.
„Toopher aduce mai mult context în decizia de autentificare pentru a o face invizibilă”, a spus fondatorul și CTO Evan Grimm. „Dacă un utilizator este de obicei acasă făcând servicii bancare online, un utilizator îl poate automatiza pentru a face decizia invizibilă.”
Automatizarea nu este necesară: utilizatorii pot confirma de fiecare dată pe dispozitivul mobil, dacă doresc. Dar dacă utilizatorii îi spun lui Toopher ce este normal, trebuie doar să aibă telefonul în buzunar, iar autentificarea are loc în mod transparent. Utilizatorii introduc doar o parolă și totul este invizibil. Dacă dispozitivul se află într-o locație necunoscută, utilizatorii trebuie să confirme pe telefonul lor - și dacă nu există conectivitate, Toopher recurge la un PIN bazat pe timp, folosind aceeași tehnologie ca Google Autentificator.
„Toopher nu încearcă să schimbe în mod fundamental experiența utilizatorului, a spus Grimm. „Problema cu alte soluții multifactoriale nu a fost că nu au adăugat protecție, ci că au schimbat experiența utilizatorului și, prin urmare, au avut impedimente în adoptare.”
Trebuie să fii în joc
Parolele nu vor dispărea, dar vor fi sporite de locații, PIN-uri unice, soluții de linie vizuală și linie de sunet, elemente biometrice sau chiar informații despre dispozitivele Bluetooth și Wi-Fi din apropiere. Smartphone-urile și dispozitivele mobile par cel mai probabil mod de a adăuga mai mult context pentru autentificare.
Desigur, trebuie să fii în joc dacă vrei să joci. Nu toată lumea are smartphone-uri, iar noua tehnologie de autentificare poate exclude utilizatorii fără tehnologie recentă, lăsând restul lumii mai vulnerabil la hack-uri și furtul de identitate. Securitatea digitală ar putea deveni cu ușurință ceva care distinge cei care au de cei care nu au.
Și, până acum, nu se știe ce soluții vor câștiga. Toopher și LiveEnsure sunt doar doi dintre mulți jucători și toți se confruntă cu o problemă de găină și ouă: fără adoptarea atât de către utilizatori, cât și de către servicii, nu ajută pe nimeni. Toopher a asigurat recent 2 milioane de dolari în finanțare pentru startup; LiveEnsure vorbește cu nume mari și speră să iasă din modul stealth în curând. Dar este prea devreme să spunem unde va ajunge cineva.
Între timp, dacă un serviciu pe care vă bazați oferă orice formă de autentificare multifactorială - fie prin SMS, o aplicație pentru smartphone sau chiar un apel telefonic - luați în considerare serios. Este aproape sigur o protecție mai bună decât o parolă singură... chiar dacă este aproape sigur și o durere în fund.
Imagine prin Shutterstock / Adam Radosavljevic
[Actualizat 24-mar-2013 pentru a clarifica detaliile despre FFIEC și LiveEnsure și pentru a corecta o eroare de producție.]
Recomandările editorilor
- Cum să găsești fișierele descărcate pe iPhone sau pe smartphone-ul tău Android
- Planul dvs. Google One tocmai a primit două actualizări mari de securitate pentru a vă menține în siguranță online
- Cum ar putea smartphone-ul tău să înlocuiască o cameră profesională în 2023
- Pixel 6 de la Google este un smartphone bun, dar va fi suficient pentru a convinge cumpărătorii?
- Conducătorul Google spune că este „dezamăgit” de noul program de securitate pentru iPhone al Apple
