Na stotine milijonov ljudi vsak dan uporablja gesla – odklenejo naše naprave, e-pošto, družabna omrežja in celo bančne račune. Vendar pa so gesla vse bolj šibka način, da se zaščitimo: komaj teden dni ne mine, da v novicah ne pride do večje varnostne napake. Ta teden je Cisco — proizvajalec večine strojne opreme, ki v bistvu poganja internet.
Trenutno si skoraj vsi želijo preseči gesla na večfaktorsko avtentikacijo: zahtevati "nekaj, kar imaš" ali "nekaj, kar si" poleg nečesa, kar veš. Biometrične tehnologije, ki merijo oči, prstne odtise, obraze in/ali glasove, so postanejo bolj praktični, vendar nekaterim ljudem pogosto ne uspejo in jih je težko prinesti na stotine milijonov uporabnikov.
Priporočeni videoposnetki
Ali ne spregledamo očitnega? Ali ni rešitev za večfaktorsko varnost že v naših žepih?
Povezano
- 15 najpomembnejših pametnih telefonov, ki so za vedno spremenili svet
- SMS 2FA ni varen in slab – namesto tega uporabite teh 5 odličnih aplikacij za preverjanje pristnosti
- Utrujenost zaradi naročnin na aplikacije hitro uniči moj pametni telefon
Internetno bančništvo
Verjeli ali ne, Američani že leta uporabljajo večfaktorsko avtentikacijo, kadar koli opravljajo spletno bančništvo - ali vsaj njegove razvodenele različice. Leta 2001 je Zvezni svet za preverjanje finančnih institucij (FFIEC) zahteval, da storitve spletnega bančništva v ZDA do leta 2006 uvedejo pravo večfaktorsko avtentikacijo.
Piše se leto 2013 in še vedno se v spletno banko prijavljamo z gesli. Kaj se je zgodilo?
"V bistvu so lobirale banke," je dejal Rich Mogull, izvršni direktor in analitik pri Sekuroza. »Biometrija in varnostni žetoni lahko dobro delujejo ločeno, vendar jih je zelo težko prilagoditi celo samo bančništvu. Potrošniki se nočejo ukvarjati s številnimi takimi stvarmi. Večina ljudi sploh ne vstavi gesla v telefone.«
Banke so se torej umaknile. Do leta 2005 je FFIEC izdal posodobljene smernice ki je bankam omogočal preverjanje pristnosti z geslom in "identificiranje naprave" - v bistvu profiliranje sistemov uporabnikov. Če se stranka vpiše iz znane naprave, potrebuje le geslo; v nasprotnem primeru mora stranka skočiti skozi več obročev – običajno izzivalna vprašanja. Ideja je, da profiliranje naprav pomeni preverjanje uporabnikov nečesa imajo (računalnik, pametni telefon ali tablični računalnik), ki bodo dodali geslo vedeti.
Banke so postale bolj izpopolnjene pri prepoznavanju naprav in še novejše zvezne smernice zahtevajo, da banke uporabljajo več kot preprosto kopiran piškotek brskalnika. A sistem je še vedno šibak. Vse se zgodi prek enega samega kanala, tako da, če lahko slab igralec vdre v uporabnikovo povezavo (morda s krajo, vdori ali zlonamerno programsko opremo), je vsega konec. Poleg tega se vsakogar obravnava kot stranko, ki uporablja novo napravo – in kot New York Times kolumnist David Pogue lahko potrdi, varnostna vprašanja z resničnimi odgovori včasih nudijo pomanjkljivo zaščito.
Vendar ima omejena oblika večfaktorske varnosti spletnega bančništva velik prednosti za potrošnike. Za večino uporabnikov je profiliranje naprave večino časa nevidno in deluje tako kot geslo – ki ga skoraj vsi razumejo.
Google Authenticator
Digitalni žetoni, varnostne kartice in druge naprave se že desetletja uporabljajo pri večfaktorski avtentikaciji. Vendar se tako kot biometrija doslej še nič ni izkazalo za uporabnega za milijone navadnih ljudi. Prav tako ni splošno razširjenih standardov, tako da ljudje lahko potrebujejo ducat različnih fobov, žetonov, ključkov USB in kartic za dostop do svojih najljubših storitev. Nihče tega ne bo naredil.
Kaj pa telefoni v naših žepih? Pred skoraj enim letom so raziskovalci ugotovili skoraj 90 odstotkov odraslih Američanov je imelo mobilne telefone — skoraj polovica je imela pametne telefone. Številke morajo biti zdaj višje: zagotovo se uporabljajo za večfaktorsko avtentikacijo?
To je ideja v ozadju Googlovo preverjanje v dveh korakih, ki ob prijavi v Googlove storitve pošlje enkratno kodo PIN na telefon s SMS-om ali glasom. Uporabniki za prijavo vnesejo svoje geslo in kodo. Seveda se lahko telefoni izgubijo ali ukradejo in če se baterija izprazni ali mobilna storitev ni na voljo, se uporabniki zaklenejo. Toda storitev deluje tudi s telefoni s funkcijami in je zagotovo bolj varna - če manj priročna - kot samo geslo.
Googlovo preverjanje v dveh korakih postane bolj zanimivo Google Authenticator, na voljo za Android, iOS in BlackBerry. Google Authenticator uporablja časovno zasnovana enkratna gesla (TOTP), standard, ki ga podpira Pobuda za odprto avtentikacijo. V bistvu aplikacija vsebuje šifrirano skrivnost in vsakih 30 sekund ustvari novo šestmestno kodo. Uporabniki vnesejo to kodo skupaj z geslom, da dokažejo, da imajo pravo napravo. Dokler je ura telefona pravilna, Google Authenticator deluje brez telefonske storitve; še več, njegove 30-sekundne kode delujejo z drugo storitve, ki podpirajo TOTP: trenutno, to vključuje Dropbox, LastPass, in Spletne storitve Amazon. Podobno lahko druge aplikacije, ki podpirajo TOTP, delujejo z Googlom.
Vendar obstajajo težave. Uporabniki pošiljajo kode za preverjanje na istem kanalu kot gesla, zato so ranljivi za iste scenarije prestrezanja kot spletno bančništvo. Ker aplikacije TOTP vsebujejo skrivnost, lahko kdorkoli (kjer koli na svetu) ustvari zakonite kode, če se aplikacija ali skrivnost vdre. In noben sistem ni popoln: prejšnji mesec je Google odpravil težavo, ki bi lahko dovolila popolni prevzemi računov prek gesel za posamezne aplikacije. zabava.
Kam gremo od tukaj?
Največja težava s sistemi, kot je Googlovo preverjanje v dveh korakih, je preprosto ta, da so nadloga. Se želite ukvarjati s telefonom in kodami? vsakič se prijaviš v storitev? Ali vaši starši, stari starši, prijatelji ali otroci? Večina ljudi ne. Tudi tehnofili, ki obožujejo kul dejavnik (in varnost), se bodo verjetno zdeli nerodni v samo nekaj tednih.
Številke kažejo, da je bolečina resnična. Januarja je dobavil Google Žično Robert MacMillan graf posvojitve v dveh korakih, vključno s konico spremlja Mata Honana "Epsko hekanje” članek avgusta lani. Opazite, katera os nima oznak? Googlovi predstavniki niso želeli povedati, koliko ljudi uporablja njegovo dvofaktorsko avtentikacijo, vendar je Googlov varnostni podpredsednik Eric Grosse MacMillanu povedal četrt milijona uporabnikov, vpisanih po Honanovem članku. Po tej metriki je moja ocena na hrbtni strani ovojnice približno 20 milijonov ljudi, ki se je prijavilo do danes – komaj manj kot 500+ milijonov ljudi Google terjatve imajo račune Google+. Ta številka se je Googlovemu uslužbencu, ki ni želel biti imenovan, zdela približno prava: ocenila je, da se je prijavilo manj kot deset odstotkov »aktivnih« uporabnikov storitve Google+. "In vsi se tega ne držijo," je opozorila.
»Ko imate nebrzdano občinstvo, ne morete prevzeti nobenega vedenja, ki presega osnove – še posebej, če temu občinstvu niste dali razloga, da želim to vedenje,« je dejal Christian Hessler, izvršni direktor podjetja za mobilno avtentikacijo LiveEnsure. "Ni možnosti, da boste usposobili milijardo ljudi, da naredijo nekaj, česar ne želijo."
LiveEnsure se zanaša na uporabnike, ki preverjajo zunajpasovno s svojo mobilno napravo (ali celo prek e-pošte). Vnesite samo uporabniško ime (ali uporabite storitev za enotno prijavo, kot sta Twitter ali Facebook) in LiveEnsure izkoristi uporabnikov širši kontekst za preverjanje pristnosti: geslo ni potrebno. Trenutno LiveEnsure uporablja "linijo vidnega polja" - uporabniki skenirajo kodo QR na zaslonu s svojim telefonom, da potrdijo svojo prijavo - vendar bodo kmalu na voljo druge metode preverjanja. LiveEnsure se izogne prestrezanju z uporabo ločene povezave za preverjanje, vendar se tudi ne zanaša na skupne skrivnosti v brskalnikih, napravah ali celo svoji storitvi. Če je sistem vlomljen, LiveEnsure pravi, da posamezni deli nimajo vrednosti za napadalca.
"Kar je v naši bazi podatkov, bi lahko poslali po pošti na CD-jih kot božično darilo in bi bilo neuporabno," je dejal Hessler. "Nobena skrivnost ne gre prek žice, edina transakcija je preprost da ali ne."
Pristop LiveEnsure je lažji od vnašanja kode PIN, vendar še vedno zahteva, da se uporabniki za prijavo ukvarjajo z mobilnimi napravami in aplikacijami. Drugi želijo narediti postopek bolj pregleden.
Toopher izkorišča zaznavanje lokacije mobilnih naprav prek GPS-a ali Wi-Fi-ja kot način za pregledno preverjanje pristnosti uporabnikov – vsaj z vnaprej odobrenih lokacij.
"Toopher prinaša več konteksta v odločitev o preverjanju pristnosti, da postane nevidna," je dejal ustanovitelj in tehnični direktor Evan Grimm. "Če je uporabnik običajno doma in opravlja spletno bančništvo, lahko to avtomatizira, da bo odločitev nevidna."
Avtomatizacija ni potrebna: uporabniki lahko vsakič potrdijo na svoji mobilni napravi, če želijo. Toda če uporabniki povedo Toopherju, kaj je normalno, morajo imeti le telefon v žepu in preverjanje pristnosti poteka pregledno. Uporabniki samo vnesejo geslo in vse ostalo je nevidno. Če je naprava na neznani lokaciji, morajo uporabniki potrditi na svojem telefonu - in če ni povezljivost, se Toopher vrne na časovni PIN z uporabo iste tehnologije kot Google Authenticator.
"Toopher ne poskuša bistveno spremeniti uporabniške izkušnje," je dejal Grimm. "Težava pri drugih večfaktorskih rešitvah ni bila v tem, da niso dodale zaščite, ampak v tem, da so spremenile uporabniško izkušnjo in so zato imele ovire za sprejetje."
Moraš biti v igri
Gesla ne bodo izginila, vendar bodo razširjena z lokacijami, enkratnimi kodami PIN, rešitvami za vidno in zvočno linijo, biometričnimi podatki ali celo informacijami o bližnjih napravah Bluetooth in Wi-Fi. Pametni telefoni in mobilne naprave se zdijo najverjetnejši način za dodajanje več konteksta za preverjanje pristnosti.
Seveda moraš biti v igri, če želiš igrati. Pametnih telefonov nimajo vsi in nova tehnologija za preverjanje pristnosti lahko izključi uporabnike, ki nimajo nove tehnologije, zaradi česar bo preostali svet bolj ranljiv za vdore in krajo identitete. Digitalna varnost bi lahko zlahka postala nekaj, kar razlikuje od tistih, ki nimajo.
In zaenkrat ni mogoče vedeti, katere rešitve bodo zmagale. Toopher in LiveEnsure sta le dva od mnogih igralcev in vsi se soočajo s problemom piščanca in jajca: brez posvojitve s strani uporabnikov in storitev ne pomagajo nikomur. Toopher je nedavno zagotovil 2 milijona dolarjev financiranja zagona; LiveEnsure se pogovarja z nekaterimi velikimi imeni in upa, da bo kmalu izstopil iz prikritega načina. Toda prezgodaj je reči, kje bo kdo končal.
Medtem, če storitev, na katero se zanašate, ponuja kakršno koli obliko večfaktorske avtentikacije – bodisi prek SMS-a, aplikacije za pametni telefon ali celo telefonskega klica – resno razmislite o tem. To je skoraj zagotovo boljša zaščita kot samo geslo … čeprav je skoraj zagotovo tudi bolečina v riti.
Slika prek Shutterstock / Adam Radosavljević
[Posodobljeno 24. marca 2013, da se razjasnijo podrobnosti o FFIEC in LiveEnsure ter popravi proizvodna napaka.]
Priporočila urednikov
- Kako najti prenesene datoteke na pametnem telefonu iPhone ali Android
- Vaš paket Google One je pravkar dobil 2 veliki varnostni posodobitvi, da boste varni v spletu
- Kako bi lahko vaš pametni telefon leta 2023 nadomestil profesionalni fotoaparat
- Googlov Pixel 6 je dober pametni telefon, a bo dovolj prepričal kupce?
- Googlov vodja pravi, da je "razočaran" nad Applovim novim varnostnim programom za iPhone
