Hundratals miljoner människor använder lösenord varje dag – de låser upp våra enheter, e-post, sociala nätverk och till och med bankkonton. Lösenord är dock ett allt svagare sätt att skydda oss själva: Det går knappt en vecka utan att en stor säkerhetsgaff kommer till nyheterna. Den här veckan är det Cisco — tillverkare av mycket av den hårdvara som i huvudsak driver Internet.
Just nu är nästan alla ute efter att gå bortom lösenord till multifaktorautentisering: kräver "något du har" eller "något du är" utöver något du vet. Biometriska tekniker som mäter ögon, fingeravtryck, ansikten och/eller röster blir mer praktiskt, men misslyckas ofta för vissa människor och är svåra att få till hundratals miljoner användare.
Rekommenderade videor
Förbiser vi inte det uppenbara? Finns inte lösningen på multifaktorsäkerhet redan i våra fickor?
Relaterad
- De 15 viktigaste smartphones som förändrade världen för alltid
- SMS 2FA är osäkert och dåligt – använd dessa 5 fantastiska autentiseringsappar istället
- Trötthet på appprenumerationer förstör snabbt min smartphone
Internet bank
Tro det eller ej, amerikaner har använt multifaktorautentisering i åratal när de gör onlinebanker - eller åtminstone urvattnade versioner av det. År 2001 krävde Federal Financial Institutions Examination Council (FFIEC) att amerikanska onlinebanktjänster skulle implementera äkta multifaktorautentisering senast 2006.
Det är 2013 och vi loggar fortfarande in på nätbank med lösenord. Vad hände?
"I grund och botten lobbade banker", säger Rich Mogull, VD och analytiker på Securosis. "Biometri och säkerhetstokens kan fungera bra isolerat, men det är väldigt svårt att skala dem ens till bara bank. Konsumenter vill inte ta itu med flera sådana saker. De flesta sätter inte ens lösenord på telefoner."
Så, bankerna tryckte tillbaka. År 2005, FFIEC utfärdade uppdaterade riktlinjer som gjorde det möjligt för banker att autentisera med lösenord och "enhetsidentifiering" - i princip, profilering av användarnas system. Om en kund loggar in från en känd enhet behöver de bara ett lösenord; annars måste kunden hoppa igenom fler ringar – vanligtvis utmana frågor. Tanken är att profilering av enheter innebär att verifiera något användare ha (en dator, smartphone eller surfplatta) för att åtfölja lösenordet de känna till.
Banker har blivit mer sofistikerade på att identifiera enheter, och ännu nyare federala riktlinjer kräver att banker använder mer än en webbläsarcookie som är lätt att kopiera. Men systemet är fortfarande svagt. Allt händer över en enda kanal, så om en dålig skådespelare kan utnyttja en användares anslutning (kanske genom stöld, hacks eller skadlig programvara), är det hela över. Vidare behandlas alla som en kund som använder en ny enhet – och som New York Times kolumnist David Pogue kan intyga, sanningsenligt besvarade säkerhetsfrågor erbjuder ibland ett ringa skydd.
Internetbankernas begränsade form av multifaktorsäkerhet har dock stor uppåt för konsumenterna. För de flesta användare är enhetsprofilering för det mesta osynlig och fungerar precis som ett lösenord - vilket nästan alla förstår.
Google Authenticator
Digitala tokens, säkerhetskort och andra enheter har använts i multifaktorautentisering i årtionden. Men som biometri har ingenting hittills visat sig fungerande för miljontals vanliga människor. Det finns heller inga utbredda standarder, så folk kan behöva ett dussin olika fobs, tokens, USB-minnen och kort för att komma åt sina favorittjänster. Ingen kommer att göra det.
Så hur är det med telefonerna i våra fickor? För nästan ett år sedan fann forskare nästan 90 procent av amerikanska vuxna ägde mobiltelefoner — nästan hälften hade smartphones. Siffrorna måste vara högre nu: visst används de för multifaktorautentisering?
Det är tanken bakom Googles tvåstegsverifiering, som skickar en engångs-PIN-kod till en telefon via SMS eller röst när du loggar in på Googles tjänster. Användare anger både sitt lösenord och koden för att logga in. Naturligtvis kan telefoner gå förlorade eller bli stulna, och om batteriet dör eller ingen mobiltjänst finns tillgänglig låses användarna ute. Men tjänsten fungerar även med funktionstelefoner och är säkerligen säkrare - om mindre bekvämt - än ett lösenord enbart.
Googles tvåstegsverifiering blir mer intressant med Google Authenticator, tillgänglig för Android, iOS och BlackBerry. Google Authenticator använder tidsbaserade engångslösenord (TOTP), en standard som stöds av Initiativ för öppen autentisering. I grund och botten innehåller appen en krypterad hemlighet och genererar en ny sexsiffrig kod var 30:e sekund. Användare anger den koden tillsammans med sitt lösenord för att bevisa att de har rätt enhet. Så länge telefonens klocka är korrekt fungerar Google Authenticator utan telefontjänst; dessutom fungerar dess 30-sekunderskoder med Övrig tjänster som stöder TOTP: just nu, det inkluderar Dropbox, LastPass, och Amazon webbtjänster. På samma sätt kan andra appar som stöder TOTP fungera med Google.
Men det finns problem. Användare skickar in verifieringskoder på samma kanal som lösenord, så de är sårbara för samma avlyssningsscenarier som onlinebanker. Eftersom TOTP-appar innehåller en hemlighet kan vem som helst (var som helst i världen) generera legitima koder om appen eller hemligheten spricker. Och inget system är perfekt: Förra månaden fixade Google ett problem som kunde tillåta totala kontouppköp via appspecifika lösenord. Roligt.
Vart går vi härifrån?
Det största problemet med system som Googles tvåstegsverifiering är helt enkelt att de är jobbiga. Vill du pilla med din telefon och koder varje gång loggar du in på en tjänst? Gör dina föräldrar, farföräldrar, vänner eller barn? De flesta människor gör det inte. Även tenofiler som älskar den coola faktorn (och säkerheten) tycker sannolikt att processen är besvärlig på bara några veckor.
Siffror tyder på att smärtan är verklig. I januari levererade Google Wireds Robert MacMillan en graf över adoption i två steg, inklusive en spik ackompanjerar Mat Honans "Episk hacking” artikel i augusti förra året. Lägg märke till vilken axel som inte har några etiketter? Googles representanter avböjde att säga hur många som använder dess tvåfaktorsautentisering, men Googles säkerhetschef Eric Grosse sa till MacMillan att en kvarts miljon användare registrerade sig efter Honans artikel. Med det värdet är min uppskattning bakom kuvertet att cirka 20 miljoner människor har anmält sig hittills – knappt en buckla i 500+ miljoner människor som Google påståenden har Google+-konton. Den siffran verkade vara rätt för en Google-anställd som inte ville bli namngiven: hon uppskattade att mindre än tio procent av "aktiva" Google+-användare hade registrerat sig. "Och inte alla håller fast vid det," noterade hon.
"När du har en ohämmad publik kan du inte anta något slags beteende utöver det grundläggande - särskilt om du inte har gett den publiken en anledning att vilja det beteendet, säger Christian Hessler, VD för företaget för mobilautentisering LiveEnsure. "Det finns inget sätt att du kommer att träna en miljard människor att göra något de inte vill göra."
LiveEnsure förlitar sig på att användare verifierar utanför bandet med sin mobila enhet (eller till och med via e-post). Ange bara ett användarnamn (eller använd en enkel inloggningstjänst som Twitter eller Facebook), och LiveEnsure utnyttjar användarens bredare sammanhang för att autentisera: inget lösenord krävs. Just nu använder LiveEnsure "line-of-sight" - användare skannar en QR-kod på skärmen med sin telefon för att bekräfta sin inloggning - men andra verifieringsmetoder kommer snart. LiveEnsure kringgår avlyssning genom att använda en separat anslutning för verifiering, men förlitar sig inte heller på delade hemligheter i webbläsare, enheter eller ens dess tjänst. Om systemet är knäckt säger LiveEnsure att de enskilda bitarna inte har något värde för en angripare.
"Det som finns i vår databas skulle kunna skickas ut på cd-skivor som en julklapp, och det skulle vara värdelöst", sa Hessler. "Inga hemligheter går över tråden, den enda transaktionen är ett enkelt ja eller nej."
LiveEnsures tillvägagångssätt är enklare än att ange PIN-koder, men kräver fortfarande att användare fifflar med mobila enheter och appar för att logga in. Andra strävar efter att göra processen mer transparent.
Toopher utnyttjar mobila enheters medvetenhet om sin plats via GPS eller Wi-Fi som ett sätt att transparent autentisera användare – åtminstone från förgodkända platser.
"Toopher ger mer sammanhang till autentiseringsbeslutet för att göra det osynligt", säger grundaren och CTO Evan Grimm. "Om en användare vanligtvis är hemma och gör onlinebanker, kan en användare automatisera det för att göra beslutet osynligt."
Automatisering krävs inte: Användare kan bekräfta på sin mobila enhet varje gång, om de vill. Men om användare berättar för Toopher vad som är normalt behöver de bara ha sin telefon i fickan och autentiseringen sker transparent. Användare anger bara ett lösenord och allt annat är osynligt. Om enheten är på en okänd plats måste användarna bekräfta på sin telefon - och om det inte finns någon anslutning, faller Toopher tillbaka till en tidsbaserad PIN-kod med samma teknik som Google Autentisering.
"Toopher försöker inte förändra användarupplevelsen i grunden, sa Grimm. "Problemet med andra multifaktorlösningar var inte att de inte lade till skydd, utan att de ändrade användarupplevelsen och därför hade hinder för adoption."
Du måste vara med i spelet
Lösenord försvinner inte, men de kommer att utökas med platser, engångs-PIN-koder, siktlinje- och ljudlinjelösningar, biometri eller till och med information om närliggande Bluetooth- och Wi-Fi-enheter. Smartphones och mobila enheter verkar vara det mest troliga sättet att lägga till mer sammanhang för autentisering.
Självklart måste du vara med i spelet om du vill spela. Alla har inte smartphones, och ny autentiseringsteknik kan utesluta användare utan ny teknik, vilket gör resten av världen mer sårbar för hacks och identitetsstöld. Digital säkerhet kan lätt bli något som särskiljer vad man har från vad man har.
Och än så länge vet man inte vilka lösningar som kommer att vinna. Toopher och LiveEnsure är bara två av många spelare, och de står alla inför ett höna-och-ägg-problem: Utan adoption av både användare och tjänster hjälper de ingen. Toopher säkrade nyligen 2 miljoner dollar i startfinansiering; LiveEnsure pratar med några stora namn och hoppas kunna komma ur stealth-läget snart. Men det är för tidigt att säga var någon kommer att hamna.
Under tiden, om en tjänst du litar på erbjuder någon form av multifaktorautentisering - oavsett om det är via SMS, en smartphone-app eller till och med ett telefonsamtal - överväg det allvarligt. Det är nästan säkert bättre skydd än ett lösenord enbart... även om det också nästan säkert är jobbigt.
Bild via Shutterstock / Adam Radosavljevic
[Uppdaterad 24-mars-2013 för att förtydliga detaljer om FFIEC och LiveEnsure och korrigera ett produktionsfel.]
Redaktörens rekommendationer
- Hur man hittar nedladdade filer på din iPhone eller Android smartphone
- Din Google One-plan har precis fått två stora säkerhetsuppdateringar för att hålla dig säker online
- Hur din smartphone kan ersätta en professionell kamera 2023
- Googles Pixel 6 är en bra smartphone, men kommer det att räcka för att övertyga köpare?
- Googles ledare säger att han är "besviken" med Apples nya iPhone-säkerhetsprogram
