Являются ли смартфоны ключом к повышению безопасности в Интернете?

Сотни миллионов людей используют пароли каждый день — они разблокируют наши устройства, электронную почту, социальные сети и даже банковские счета. Однако пароли являются все более слабый способ защитить себя: не проходит и недели, чтобы в новостях не появлялась серьезная ошибка в сфере безопасности. На этой неделе это Циско — производитель большей части оборудования, которое, по сути, обеспечивает работу Интернета.

Прямо сейчас почти каждый хочет выйти за рамки паролей и перейти к многофакторная аутентификация: требование «чего-то, что у вас есть» или «того, чем вы являетесь» в дополнение к тому, что вы знаете. Биометрические технологии, измеряющие глаза, отпечатки пальцев, лица и/или голоса, становится более практичным, но часто терпят неудачу для некоторых людей, и их трудно привлечь к сотням миллионов пользователей.

Разве мы не упускаем из виду очевидное? Разве решение многофакторной безопасности уже не в наших карманах?

Онлайн банкинг

Хотите верьте, хотите нет, но американцы уже много лет используют многофакторную аутентификацию всякий раз, когда используют онлайн-банкинг, или, по крайней мере, ее упрощенные версии. В 2001 году Федеральный экзаменационный совет финансовых учреждений (FFIEC) потребовал, чтобы к 2006 году службы онлайн-банкинга США внедрили настоящую многофакторную аутентификацию.

На дворе 2013 год, а мы все еще заходим в онлайн-банкинг с помощью паролей. Что случилось?

«По сути, банки лоббировали», — сказал Рич Могул, генеральный директор и аналитик компании Секуроз. «Биометрия и токены безопасности могут прекрасно работать изолированно, но их очень сложно масштабировать даже для банковских операций. Потребители не хотят иметь дело с множеством подобных вещей. Большинство людей даже не ставят пароли на телефоны».

Итак, банки отступили. К 2005 году FFIEC выпустил обновленные руководящие принципы это позволило банкам аутентифицироваться по паролю и «идентифицировать устройство» — по сути, профилировать системы пользователей. Если клиент входит в систему с известного устройства, ему просто нужен пароль; в противном случае клиенту придется преодолеть еще больше препятствий — обычно это сложные вопросы. Идея состоит в том, что профилирование устройств сводится к проверке чего-то, что используют пользователи. иметь (компьютер, смартфон или планшет), чтобы сопровождать пароль, который они знать.

Банки стали более изощренными в идентификации устройств, и еще более новые федеральные рекомендации требовать от банков использования не только легко копируемых файлов cookie браузера. Но система все еще слаба. Все происходит по одному каналу, поэтому, если злоумышленник сможет подключиться к соединению пользователя (возможно, путем кражи, взлома или вредоносного ПО), все будет кончено. Кроме того, с каждым обращаются как с клиентом, использующим новое устройство. Газета "Нью-Йорк Таймс обозреватель Дэвид Пог может подтвердитьКонтрольные вопросы с правдивыми ответами иногда не обеспечивают достаточной защиты.

Однако ограниченная форма многофакторной безопасности онлайн-банкинга большой потенциал для потребителей. Для большинства пользователей большую часть времени профилирование устройств невидимо и работает так же, как пароль, который понимают почти все.

Google Аутентификатор

Цифровые жетоны, карты безопасности и другие устройства использовались для многофакторной аутентификации на протяжении десятилетий. Однако, как и в случае с биометрией, до сих пор ничто не доказало свою работоспособность для миллионов обычных людей. Также нет широко распространенных стандартов, поэтому для доступа к любимым сервисам людям может понадобиться дюжина различных брелоков, жетонов, USB-накопителей и карт. Никто не собирается этого делать.

А как насчет телефонов в наших карманах? Почти год назад исследователи обнаружили почти 90 процентов взрослых американцев владели мобильными телефонами — почти у половины были смартфоны. Теперь цифры должны быть выше: наверняка они будут использоваться для многофакторной аутентификации?

Это идея Двухэтапная проверка Google, который отправляет одноразовый PIN-код на телефон по SMS или голосом при входе в сервисы Google. Пользователи вводят свой пароль и код для входа. Конечно, телефоны могут быть потеряны или украдены, а если батарея разрядится или мобильная связь будет недоступна, пользователи будут заблокированы. Но эта услуга работает даже с обычными телефонами и, безусловно, более безопасна (хотя и менее удобна), чем простой пароль.

Двухэтапная проверка Google становится еще интереснее с Google Аутентификатор, доступно для Android, iOS и BlackBerry. Google Authenticator использует одноразовые пароли на основе времени (TOTP), стандарт, поддерживаемый Инициатива открытой аутентификации. По сути, приложение содержит зашифрованный секрет и генерирует новый шестизначный код каждые 30 секунд. Пользователи вводят этот код вместе со своим паролем, чтобы доказать, что у них правильное устройство. Пока часы телефона правильные, Google Authenticator работает без телефонной связи; более того, его 30-секундные коды работают с другой сервисы, поддерживающие TOTP: прямо сейчас это включает в себя Дропбокс, Последний проход, и Веб-сервисы Amazon. Аналогично, другие приложения, поддерживающие TOTP, могут работать с Google.

Но есть проблемы. Пользователи отправляют коды подтверждения по тому же каналу, что и пароли, поэтому они уязвимы для тех же сценариев перехвата, что и онлайн-банкинг. Поскольку приложения TOTP содержат секрет, любой (в любой точке мира) может генерировать законные коды, если приложение или секрет будут взломаны. И ни одна система не идеальна: в прошлом месяце Google исправила проблему, которая могла позволить тотальные захваты аккаунтов через пароли приложения. Веселье.

Куда мы идем отсюда?

Самая большая проблема с такими системами, как двухэтапная проверка Google, заключается в том, что они просто заноза в заднице. Хотите возиться со своим телефоном и кодами? каждый раз ты входишь в сервис? Ваши родители, бабушки и дедушки, друзья или дети? Большинство людей этого не делают. Даже технофилы, которым нравится фактор крутости (и безопасности), вероятно, сочтут этот процесс неудобным всего за несколько недель.

Цифры показывают, что боль реальна. В январе Google предоставила Проводной Роберт Макмиллан, график двухэтапного усыновления, включая шип аккомпанируя «Мату Хонану»Эпический взломстатья в августе прошлого года. Обратите внимание, на какой оси нет меток? Представители Google отказались сообщить, сколько людей используют двухфакторную аутентификацию, но вице-президент Google по безопасности Эрик Гросс сообщил MacMillan, что после статьи Хонан зарегистрировалась четверть миллиона пользователей. По моим приблизительным оценкам, на сегодняшний день подписалось около 20 миллионов человек — едва ли меньше 500 с лишним миллионов человек Google. претензии иметь аккаунты Google+. Эта цифра показалась сотруднице Google, которая не пожелала называть свое имя: по ее оценкам, зарегистрировалось менее десяти процентов «активных» пользователей Google+. «И не все из них придерживаются этого», — отметила она.

«Когда у вас необузданная аудитория, вы не можете предполагать какое-либо поведение, выходящее за рамки базового, особенно если вы не дали этой аудитории повода хотеть такое поведение», — сказал Кристиан Хесслер, генеральный директор компании мобильной аутентификации. LiveEnsure. «Вы не сможете научить миллиард людей делать то, чего они не хотят».

LiveEnsure полагается на то, что пользователи выполняют внеполосную проверку с помощью своего мобильного устройства (или даже по электронной почте). Введите только имя пользователя (или используйте единую службу входа, например Twitter или Facebook), и LiveEnsure использует более широкий контекст пользователя для аутентификации: пароль не требуется. Прямо сейчас LiveEnsure использует «линию прямой видимости» — пользователи сканируют QR-код на экране с помощью телефона, чтобы подтвердить вход в систему — но скоро появятся и другие методы проверки. LiveEnsure обходит перехват, используя отдельное соединение для проверки, но также не полагается на общие секреты в браузерах, устройствах или даже в своих службах. Если система взломана, LiveEnsure заявляет, что отдельные ее части не представляют никакой ценности для злоумышленника.

«То, что есть в нашей базе данных, можно было бы разослать по почте на компакт-дисках в качестве рождественского подарка, и это было бы бесполезно», — сказал Хесслер. «Никакие секреты не передаются по проводам, единственная транзакция — это простое да или нет».

Подход LiveEnsure проще, чем ввод PIN-кодов, но для входа в систему пользователям по-прежнему приходится возиться с мобильными устройствами и приложениями. Другие стремятся сделать процесс более прозрачным.

Туфер использует осведомленность мобильных устройств об их местоположении через GPS или Wi-Fi как способ прозрачной аутентификации пользователей — по крайней мере, из заранее одобренных мест.

«Туфер привносит больше контекста в решение об аутентификации, чтобы сделать его невидимым», — сказал основатель и технический директор Эван Гримм. «Если пользователь обычно находится дома и занимается онлайн-банкингом, он может автоматизировать это, чтобы сделать решение невидимым».

Автоматизация не требуется: пользователи могут каждый раз подтверждать действие на своем мобильном устройстве, если захотят. Но если пользователи говорят Toopher, что это нормально, им нужно только держать телефон в кармане, и аутентификация происходит прозрачно. Пользователи просто вводят пароль, а все остальное незаметно. Если устройство находится в неизвестном месте, пользователям необходимо подтвердить это на своем телефоне. связи, Toopher возвращается к PIN-коду, основанному на времени, используя ту же технологию, что и Google. Аутентификатор.

«Туфер не пытается фундаментально изменить пользовательский опыт, — сказал Гримм. «Проблема других многофакторных решений заключалась не в том, что они не добавляли защиту, а в том, что они меняли взаимодействие с пользователем и, следовательно, создавали препятствия для внедрения».

Вы должны быть в игре

Пароли не исчезнут, но они будут дополнены данными о местоположении, одноразовыми PIN-кодами, решениями прямой видимости и звука, биометрическими данными или даже информацией о ближайших устройствах Bluetooth и Wi-Fi. Смартфоны и мобильные устройства кажутся наиболее вероятным способом добавить больше контекста для аутентификации.

Конечно, вы должны быть в игре, если хотите играть. Не у всех есть смартфоны, и новая технология аутентификации может исключать пользователей, не имеющих новейших технологий, делая остальной мир более уязвимым для хакерских атак и кражи личных данных. Цифровая безопасность может легко стать тем, что отличает имущих от неимущих.

И пока неизвестно, какие решения одержат победу. Toopher и LiveEnsure — лишь двое из многих игроков, и все они сталкиваются с проблемой курицы и яйца: без принятия как пользователями, так и сервисами, они никому не помогут. Туфер недавно получил финансирование для стартапа в размере 2 миллионов долларов; LiveEnsure ведет переговоры с некоторыми громкими именами и надеется вскоре выйти из скрытого режима. Но пока рано говорить, где кто-то окажется.

Между тем, если служба, на которую вы полагаетесь, предлагает какую-либо форму многофакторной аутентификации — будь то через SMS, приложение для смартфона или даже телефонный звонок — обратите на нее серьезное внимание. Это почти наверняка лучшая защита, чем просто пароль… даже если это также почти наверняка заноза в заднице.

Изображение через Шаттерсток / Адам Радосавлевич

[Обновлено 24 марта 2013 г. для уточнения подробностей о FFIEC и LiveEnsure и исправления производственной ошибки.]

Рекомендации редакции

• Как найти загруженные файлы на вашем iPhone или Android-смартфоне
• В ваш тарифный план Google One только что поступило два больших обновления безопасности, которые обеспечат вашу безопасность в Интернете.
• Как ваш смартфон может заменить профессиональную камеру в 2023 году
• Google Pixel 6 — хороший смартфон, но будет ли его достаточно, чтобы убедить покупателей?
• Руководитель Google говорит, что он «разочарован» новой программой Apple по обеспечению безопасности iPhone