Стотине милиона људи користе лозинке сваког дана — оне откључавају наше уређаје, е-пошту, друштвене мреже, па чак и банковне рачуне. Међутим, лозинке су све слабији начин да се заштитимо: Једва прође недеља а да се у вестима не појави велики безбедносни гаф. Ове недеље је Цисцо — произвођач већег дела хардвера који у суштини покреће Интернет.
Тренутно, скоро сви желе да пређу даље од лозинки вишефакторска аутентификација: захтевати „нешто што имате“ или „нешто што јесте“ поред нечега што знате. Биометријске технологије које мере очи, отиске прстију, лица и/или гласове су постаје практичнији, али често не успевају за неке људе и тешко их је довести до стотина милиона корисника.
Препоручени видео снимци
Зар не превиђамо очигледно? Није ли решење за вишефакторну безбедност већ у нашим џеповима?
Повезан
- 15 најважнијих паметних телефона који су заувек променили свет
- СМС 2ФА је несигуран и лош — уместо тога користите ових 5 сјајних апликација за аутентификацију
- Умор од претплате на апликације брзо уништава мој паметни телефон
Интернет банкарство
Веровали или не, Американци годинама користе вишефакторску аутентификацију кад год се баве интернет банкарством - или, барем, њене разводњене верзије. Године 2001., Савезно вијеће за испитивање финансијских институција (ФФИЕЦ) захтијевало је да америчке услуге онлајн банкарства уведу праву мултифакторску аутентификацију до 2006. године.
2013. је и још увек се пријављујемо у онлајн банкарство са лозинкама. Шта се десило?
„У суштини, банке су лобирале“, рекао је Рич Могул, извршни директор и аналитичар у Секуроза. „Биометрија и безбедносни токени могу добро да функционишу у изолацији, али их је веома тешко скалирати чак и само на банкарство. Потрошачи не желе да се баве више таквих ствари. Већина људи чак ни не ставља лозинке на телефоне."
Дакле, банке су се повукле. До 2005. ФФИЕЦ издао ажуриране смернице који је омогућио банкама да се аутентификују лозинком и „идентификацијом уређаја“ — у основи, профилисањем система корисника. Ако се корисник пријави са познатог уређаја, потребна му је само лозинка; у супротном, купац треба да прескочи више обруча — обично изазовна питања. Идеја је да профилисање уређаја значи верификацију нечега корисника имати (рачунар, паметни телефон или таблет) уз лозинку коју знам.
Банке су постале софистицираније у идентификацији уређаја, и још новије савезне смернице захтевају да банке користе више од колачића претраживача који се лако копира. Али систем је и даље слаб. Све се дешава преко једног канала, тако да ако лош актер може да уђе у везу корисника (можда крађом, хаковањем или малвером), све је готово. Даље, свако се третира као купац који користи нови уређај — и као Нев Иорк Тимес колумниста Давид Погуе може потврдити, истинито одговорена безбедносна питања понекад нуде оскудну заштиту.
Међутим, ограничени облик мултифакторске сигурности онлајн банкарства има велики предност за потрошаче. За већину корисника већину времена, профилисање уређаја је невидљиво и функционише као лозинка — што скоро сви разумеју.
Гоогле Аутхентицатор
Дигитални токени, сигурносне картице и други уређаји се деценијама користе у вишефакторској аутентификацији. Међутим, као и биометрија, до сада се ништа није показало функционалним за милионе обичних људи. Такође не постоје широко распрострањени стандарди, тако да би људима могло бити потребно десетак различитих фобова, токена, УСБ стикова и картица да би приступили својим омиљеним услугама. Нико то неће урадити.
Па шта је са телефонима у нашим џеповима? Пре скоро годину дана истраживачи су открили скоро 90 одсто одраслих Американаца поседовало је мобилне телефоне — скоро половина је имала паметне телефоне. Бројеви сада морају бити већи: сигурно се користе за вишефакторску аутентификацију?
То је идеја иза Гоогле-ова верификација у два корака, који шаље једнократни ПИН код на телефон СМС-ом или гласом приликом пријављивања на Гоогле услуге. Корисници уносе и своју лозинку и код за пријаву. Наравно, телефони могу бити изгубљени или украдени, а ако се батерија испразни или није доступна мобилна услуга, корисници остају искључени. Али услуга функционише чак и са телефонима са функцијама, и свакако је сигурнија — ако је мање згодна — од саме лозинке.
Гоогле-ова верификација у два корака постаје занимљивија Гоогле Аутхентицатор, доступно за Андроид, иОС и БлацкБерри. Гоогле Аутхентицатор користи једнократне лозинке засноване на времену (ТОТП), стандард који подржава Иницијатива за отворену аутентификацију. У суштини, апликација садржи шифровану тајну и генерише нови шестоцифрени код сваких 30 секунди. Корисници уносе тај код заједно са својом лозинком како би доказали да имају исправан уређај. Све док је сат на телефону тачан, Гоогле Аутхентицатор ради без телефонске услуге; штавише, његови кодови од 30 секунди раде са друго услуге које подржавају ТОТП: управо сада, то укључује Дропбок, ЛастПасс, и Амазон веб услуге. Исто тако, друге апликације које подржавају ТОТП могу да раде са Гоогле-ом.
Али постоје проблеми. Корисници шаљу верификационе кодове на истом каналу као и лозинке, тако да су рањиви на исте сценарије пресретања као и онлајн банкарство. Пошто ТОТП апликације садрже тајну, свако (било где у свету) може да генерише легитимне кодове ако се апликација или тајна разбије. И ниједан систем није савршен: Прошлог месеца Гоогле је решио проблем који би могао да дозволи укупна преузимања рачуна преко лозинки специфичних за апликацију. Забавно.
Куда идемо одавде?
Највећи проблем са системима као што је Гоогле верификација у два корака је једноставно то што су проблем. Да ли желите да се поигравате са својим телефоном и кодовима сваки пут да ли се пријављујете на услугу? Да ли ваши родитељи, баке и деде, пријатељи или деца? Већина људи не. Чак и технофили који воле цоол фактор (и сигурност) вероватно ће сматрати да је процес незгодан за само неколико недеља.
Бројке сугеришу да је бол стваран. У јануару је Гоогле испоручио Виред’с Роберт МацМиллан графикон усвајања у два корака, укључујући шиљак у пратњи Мат Хонана “Епиц Хацкинг” чланак прошлог августа. Приметите која оса нема ознаке? Представници Гугла су одбили да кажу колико људи користи његову двофакторску аутентификацију, али потпредседник Гугла за безбедност Ерик Грос рекао је Мекмилану да се четврт милиона корисника уписало након Хонановог чланка. Према том показатељу, моја процена је да се око 20 милиона људи пријавило до данас – једва да је удубљење међу 500+ милиона људи Гоогле тврди имају Гоогле+ налоге. Та цифра се чинила тачном запосленом у Гоогле-у који није желео да буде именован: проценила је да се мање од десет процената „активних“ корисника Гоогле+ пријавило. „И не држе се сви тога“, приметила је она.
„Када имате необуздану публику, не можете да претпоставите било какво понашање ван основних – поготово ако тој публици нисте дали разлог да желим такво понашање“, рекао је Кристијан Хеслер, извршни директор компаније за мобилну аутентификацију ЛивеЕнсуре. „Нема шансе да обучите милијарду људи да раде нешто што не желе.
ЛивеЕнсуре се ослања на кориснике који верификују ван опсега помоћу свог мобилног уређаја (или чак путем е-поште). Унесите само корисничко име (или користите услугу јединственог пријављивања као што је Твиттер или Фацебоок), а ЛивеЕнсуре користи шири контекст корисника за аутентификацију: лозинка није потребна. Тренутно, ЛивеЕнсуре користи „линију видокруга“ — корисници скенирају КР код на екрану користећи свој телефон да потврде своју пријаву — али друге методе верификације ће ускоро стићи. ЛивеЕнсуре заобилази пресретање користећи засебну везу за верификацију, али се такође не ослања на дељене тајне у прегледачима, уређајима, па чак ни у његовој услузи. Ако је систем крекован, ЛивеЕнсуре каже да појединачни делови немају вредност за нападача.
„Оно што је у нашој бази података могло би се послати поштом на ЦД-овима као божићни поклон, и било би бескорисно“, рекао је Хесслер. „Никакве тајне не иду преко жице, једина трансакција је једноставно да или не.”
Приступ ЛивеЕнсуре-а је лакши од уноса ПИН-ова, али и даље захтева да корисници петљају са мобилним уређајима и апликацијама да би се пријавили. Други имају за циљ да процес учине транспарентнијим.
Тоопхер користи свест мобилних уређаја о њиховој локацији преко ГПС-а или Ви-Фи-ја као начина за транспарентну аутентификацију корисника — барем са унапред одобрених локација.
„Тоопхер доноси више контекста у одлуку о аутентификацији како би је учинио невидљивом“, рекао је оснивач и ЦТО Еван Гримм. „Ако је корисник обично код куће и ради онлајн банкарство, корисник га може аутоматизовати како би одлука била невидљива.
Аутоматизација није потребна: Корисници могу сваки пут да потврде на свом мобилном уређају, ако желе. Али ако корисници кажу Тоопхеру шта је нормално, потребно је само да имају свој телефон у џепу и аутентификација се одвија транспарентно. Корисници само унесу лозинку и све остало је невидљиво. Ако је уређај на непознатој локацији, корисници морају да потврде на свом телефону - а ако нема повезивање, Тоопхер се враћа на ПИН заснован на времену користећи исту технологију као Гоогле Аутхентицатор.
„Тоопхер не покушава суштински да промени корисничко искуство, рекао је Грим. „Проблем са другим мултифакторским решењима није био у томе што нису додали заштиту, већ у томе што су променили корисничко искуство и стога су имали препреке за усвајање.“
Морате бити у игри
Лозинке неће нестати, али ће бити проширене локацијама, једнократним ПИН-овима, решењима за видно поље и линију звука, биометријским подацима или чак информацијама о оближњим Блуетоотх и Ви-Фи уређајима. Чини се да су паметни телефони и мобилни уређаји највероватнији начин за додавање више контекста за аутентификацију.
Наравно, морате бити у игри ако желите да играте. Немају сви паметне телефоне, а нова технологија аутентификације може искључити кориснике без најновије технологије, остављајући остатак света рањивијим на хакове и крађу идентитета. Дигитална безбедност би лако могла да постане нешто што разликује оне који имају од оних који немају.
И за сада се не зна која ће решења победити. Тоопхер и ЛивеЕнсуре су само два од многих играча, и сви се суочавају са проблемом пилетине и јаја: без усвајања од стране корисника и услуга, никоме не помажу. Тоопхер је недавно обезбедио 2 милиона долара за финансирање покретања; ЛивеЕнсуре разговара са неким великим именима и нада се да ће ускоро изаћи из стеалтх мода. Али прерано је рећи где ће неко завршити.
У међувремену, ако услуга на коју се ослањате нуди било који облик вишефакторске аутентификације — било путем СМС-а, апликације за паметни телефон или чак телефонског позива — озбиљно размислите о томе. То је скоро сигурно боља заштита од саме лозинке... чак и ако је такође скоро сигурно проблем.
Слика преко Схуттерстоцк / Адам Радосављевић
[Ажурирано 24. марта 2013. да би се разјаснили детаљи о ФФИЕЦ-у и ЛивеЕнсуре-у и исправила грешка у производњи.]
Препоруке уредника
- Како пронаћи преузете датотеке на вашем иПхоне или Андроид паметном телефону
- Ваш Гоогле Оне план је управо добио 2 велика безбедносна ажурирања да бисте били безбедни на мрежи
- Како би ваш паметни телефон могао да замени професионалну камеру 2023
- Гоогле-ов Пикел 6 је добар паметни телефон, али да ли ће то бити довољно да убеди купце?
- Вођа Гугла каже да је „разочаран“ Аппле-овим новим сигурносним програмом за иПхоне
