Her gün yüz milyonlarca insan şifre kullanıyor; cihazlarımızın, e-postalarımızın, sosyal ağlarımızın ve hatta banka hesaplarımızın kilidini açıyorlar. Ancak şifreler bir gittikçe zayıflayan Kendimizi korumanın yolu: Büyük bir güvenlik gafının haberlere çıkmadan neredeyse bir hafta geçmiyor. Bu hafta, Cisco - esasen İnternet'e güç veren donanımların çoğunun üreticisi.
Şu anda neredeyse herkes şifrelerin ötesine geçerek çok faktörlü kimlik doğrulama: Bildiğiniz bir şeye ek olarak “sahip olduğunuz bir şey” veya “olduğunuz bir şey”i talep etmek. Gözleri, parmak izlerini, yüzleri ve/veya sesleri ölçen biyometrik teknolojiler daha pratik hale geliyor, ancak bazı insanlar için sıklıkla başarısız oluyor ve yüz milyonlarca kullanıcıya ulaştırılması zor.
Önerilen Videolar
Açık olanı gözden kaçırmıyor muyuz? Çok faktörlü güvenliğin çözümü zaten cebimizde değil mi?
İlgili
- Dünyayı sonsuza dek değiştiren en önemli 15 akıllı telefon
- SMS 2FA güvensiz ve kötüdür; bunun yerine bu 5 harika kimlik doğrulama uygulamasını kullanın
- Uygulama aboneliği yorgunluğu akıllı telefonumu hızla mahvediyor
Online bankacılık
İster inanın ister inanmayın, Amerikalılar yıllardır çevrimiçi bankacılık işlemleri yaparken çok faktörlü kimlik doğrulamayı kullanıyor - ya da en azından bunun sulandırılmış versiyonlarını. 2001 yılında Federal Finansal Kurumlar İnceleme Konseyi (FFIEC), ABD çevrimiçi bankacılık hizmetlerinin 2006 yılına kadar gerçek çok faktörlü kimlik doğrulamasını kullanıma sunmasını zorunlu kıldı.
Yıl 2013 ve biz hâlâ internet bankacılığına şifrelerle giriş yapıyoruz. Ne oldu?
CEO ve analist Rich Mogull, "Temel olarak bankalar lobi yaptı" dedi. Sekuroz. “Biyometri ve güvenlik belirteçleri tek başına iyi çalışabilir ancak bunları yalnızca bankacılığa ölçeklendirmek bile çok zordur. Tüketiciler bunun gibi birden fazla şeyle uğraşmak istemiyorlar. Çoğu insan telefonlarına şifre bile koymaz."
Bunun üzerine bankalar geri adım attı. 2005 yılına gelindiğinde FFIEC güncellenmiş yönergeler yayınlandı Bu, bankaların şifre ve "cihaz kimliği" ile kimlik doğrulaması yapmasına, yani temel olarak kullanıcıların sistemlerinin profilinin çıkarılmasına olanak sağladı. Bir müşteri bilinen bir cihazdan oturum açarsa yalnızca bir parolaya ihtiyacı vardır; aksi takdirde müşterinin daha fazla engeli aşması gerekir; genellikle soruları yanıtlar. Buradaki fikir, cihazların profil oluşturmasının kullanıcıların bir şeyi doğrulamak anlamına gelmesidir. sahip olmak (bir bilgisayar, akıllı telefon veya tablet) parolaya eşlik edecek Bilmek.
Bankalar cihazları tanımlama konusunda daha karmaşık hale geldi ve hala daha yeni federal yönergeler bankaların kolayca kopyalanabilen bir tarayıcı çerezinden daha fazlasını kullanmasını gerektirir. Ancak sistem hâlâ zayıf. Her şey tek bir kanal üzerinden gerçekleşir; dolayısıyla kötü bir kişi kullanıcının bağlantısına (hırsızlık, hackleme veya kötü amaçlı yazılım yoluyla) erişebilirse her şey biter. Ayrıca herkese yeni bir cihaz kullanan bir müşteri gibi davranılır ve New York Times köşe yazarı David Pogue bunu doğrulayabilir, doğru yanıtlanan güvenlik soruları bazen yetersiz koruma sağlar.
Bununla birlikte, çevrimiçi bankacılığın sınırlı çok faktörlü güvenlik biçimi, büyük tüketiciler için olumlu bir gelişme. Çoğu kullanıcı için çoğu zaman cihaz profili oluşturma görünmez ve tıpkı bir şifre gibi çalışır; neredeyse herkes bunu anlar.
Google Kimlik Doğrulayıcı
Dijital belirteçler, güvenlik kartları ve diğer cihazlar, onlarca yıldır çok faktörlü kimlik doğrulamada kullanılıyor. Ancak biyometri gibi, şu ana kadar hiçbir şeyin milyonlarca sıradan insan için işe yaradığı kanıtlanmadı. Ayrıca yaygın standartlar da bulunmadığından, insanların en sevdikleri hizmetlere erişmek için bir düzine farklı anahtarlığa, jetona, USB belleğe ve karta ihtiyacı olabilir. Kimse bunu yapmayacak.
Peki cebimizdeki telefonlar ne olacak? Neredeyse bir yıl önce araştırmacılar buldu Amerikalı yetişkinlerin neredeyse yüzde 90'ının cep telefonu var — neredeyse yarısının akıllı telefonu vardı. Rakamlar artık daha yüksek olmalı: Kesinlikle çok faktörlü kimlik doğrulama için kullanılacaklar mı?
Arkasındaki fikir bu Google'ın iki adımlı doğrulamasıGoogle hizmetlerinde oturum açtığınızda telefona SMS veya sesli olarak tek kullanımlık bir PIN kodu gönderen. Kullanıcılar oturum açmak için hem şifrelerini hem de kodu girerler. Elbette telefonlar kaybolabilir veya çalınabilir ve pilin bitmesi veya mobil hizmetin mevcut olmaması durumunda kullanıcılar erişime kapatılır. Ancak hizmet, özellikli telefonlarla bile çalışır ve tek başına şifre kullanmaktan daha az kullanışlı olsa da kesinlikle daha güvenlidir.
Google'ın iki adımlı doğrulaması daha da ilgi çekici hale geliyor Google Kimlik DoğrulayıcıAndroid, iOS ve BlackBerry'de kullanılabilir. Google Authenticator, tarafından desteklenen bir standart olan Zamana Dayalı Tek Kullanımlık Şifreleri (TOTP) kullanır. Açık Kimlik Doğrulama Girişimi. Temel olarak uygulama şifrelenmiş bir sır içeriyor ve her 30 saniyede bir altı haneli yeni bir kod üretiyor. Kullanıcılar, doğru cihaza sahip olduklarını kanıtlamak için bu kodu şifreleriyle birlikte girerler. Telefonun saati doğru olduğu sürece Google Authenticator telefon hizmeti olmadan çalışır; Dahası, 30 saniyelik kodları aşağıdakilerle çalışır: diğer TOTP'yi destekleyen hizmetler: şu anda buna şunlar dahildir: Dropbox, Son Geçiş, Ve Amazon Web Hizmetleri. Benzer şekilde TOTP'yi destekleyen diğer uygulamalar da Google ile çalışabilir.
Ama sorunlar var. Kullanıcılar doğrulama kodlarını parolalarla aynı kanal üzerinden gönderirler, dolayısıyla çevrimiçi bankacılıkta olduğu gibi aynı müdahale senaryolarına karşı savunmasız kalırlar. TOTP uygulamaları bir sır içerdiğinden, uygulamanın veya sırrın kırılması durumunda herkes (dünyanın herhangi bir yerinde) meşru kodlar oluşturabilir. Ve hiçbir sistem mükemmel değildir: Geçen ay Google, izin verebilecek bir sorunu çözdü toplam hesap devralmaları uygulamaya özel şifreler aracılığıyla. Eğlence.
Buradan nereye gidiyoruz?
Google'ın iki adımlı doğrulaması gibi sistemlerin en büyük sorunu, bunların baş belası olmalarıdır. Telefonunuz ve kodlarınızla oynamak mı istiyorsunuz? her seferinde bir servise giriş yaptınız mı? Anne babanız, büyükanne ve büyükbabanız, arkadaşlarınız veya çocuklarınız mı? Çoğu insan bunu yapmaz. Harika faktörü (ve güvenliği) seven teknoloji tutkunları bile muhtemelen yalnızca birkaç hafta içinde süreci tuhaf bulacaktır.
Rakamlar acının gerçek olduğunu gösteriyor. Ocak ayında Google şunları sağladı: Kablolu Robert MacMillan iki aşamalı benimseme grafiği, bir başak dahil Mat Honan’ın “Epik Hacking” Geçen ağustos ayındaki makale. Hangi eksende etiket bulunmadığına dikkat edin? Google temsilcileri, iki faktörlü kimlik doğrulamayı kaç kişinin kullandığını söylemeyi reddetti ancak Google güvenlikten sorumlu başkan yardımcısı Eric Grosse, Honan'ın makalesinden sonra MacMillan'a çeyrek milyon kullanıcının kaydolduğunu söyledi. Bu ölçüme göre, benim ilk tahminim şu ana kadar yaklaşık 20 milyon kişinin kaydolduğu yönünde; 500 milyondan fazla kişide neredeyse hiç bir fark yok. iddialar Google+ hesaplarınız var. Bu rakam, ismini vermek istemeyen bir Google çalışanı için neredeyse doğru görünüyordu: "Aktif" Google+ kullanıcılarının yüzde onundan azının kaydolduğunu tahmin ediyordu. "Ve hepsi buna bağlı kalmıyor" diye belirtti.
"Dizginlenmemiş bir izleyici kitleniz olduğunda, temel kuralların ötesinde herhangi bir davranış sergileyemezsiniz; özellikle de o izleyiciye bunu yapması için bir neden vermediyseniz. istek Bu davranış," dedi mobil kimlik doğrulama şirketinin CEO'su Christian Hessler LiveEnsure. “Bir milyar insanı yapmak istemedikleri bir şeyi yapması için eğitmenin imkânı yok.”
LiveEnsure, kullanıcıların mobil cihazlarını (hatta e-posta yoluyla) kullanarak bant dışı doğrulama yapmasına dayanır. Yalnızca bir kullanıcı adı girin (veya Twitter veya Facebook gibi tek oturum açma hizmetini kullanın) ve LiveEnsure, kimlik doğrulaması için kullanıcının daha geniş bağlamından yararlanır: parola gerekmez. LiveEnsure şu anda "görüş hattı"nı kullanıyor; kullanıcılar, oturum açmalarını onaylamak için telefonlarını kullanarak ekrandaki bir QR kodunu tararlar; ancak diğer doğrulama yöntemleri de yakında eklenecektir. LiveEnsure, doğrulama için ayrı bir bağlantı kullanarak müdahalenin önüne geçer ancak aynı zamanda tarayıcılarda, cihazlarda ve hatta hizmetinde paylaşılan sırlara da güvenmez. LiveEnsure, sistem kırılırsa bireysel parçaların saldırgan için hiçbir değerinin olmayacağını söylüyor.
Hessler, "Veritabanımızda bulunanlar Noel hediyesi olarak CD'lere gönderilebilir ve hiçbir işe yaramaz" dedi. "Hiçbir sır açığa çıkmaz, tek işlem basit bir evet ya da hayırdır."
LiveEnsure'un yaklaşımı PIN girmekten daha kolaydır ancak yine de kullanıcıların oturum açmak için mobil cihazlar ve uygulamalarla uğraşmasını gerektirir. Bazıları ise süreci daha şeffaf hale getirmeyi amaçlıyor.
Dişçi Kullanıcıların kimliğini şeffaf bir şekilde doğrulamanın bir yolu olarak, en azından önceden onaylanmış konumlardan, GPS veya Wi-Fi aracılığıyla mobil cihazların konum farkındalığından yararlanıyor.
Kurucu ve CTO Evan Grimm, "Toopher, kimlik doğrulama kararını görünmez kılmak için ona daha fazla bağlam getiriyor" dedi. "Bir kullanıcı genellikle evinde çevrimiçi bankacılık yapıyorsa, kararı görünmez hale getirmek için bunu otomatikleştirebilir."
Otomasyon gerekli değildir: Kullanıcılar isterlerse her zaman mobil cihazları üzerinden onay verebilirler. Ancak kullanıcılar Toopher'a neyin normal olduğunu söylerse, yalnızca telefonlarını cebinde bulundurmaları yeterli olur ve kimlik doğrulama şeffaf bir şekilde gerçekleşir. Kullanıcılar yalnızca bir şifre girerler ve geri kalan her şey görünmez. Cihaz bilinmeyen bir konumdaysa kullanıcıların bunu telefonlarından onaylaması gerekir; Toopher, Google ile aynı teknolojiyi kullanarak zamana dayalı bir PIN'e geri döner Kimlik doğrulayıcı.
Grimm, "Toopher kullanıcı deneyimini temelden değiştirmeye çalışmıyor" dedi. "Diğer çok faktörlü çözümlerin sorunu, koruma eklememeleri değil, kullanıcı deneyimini değiştirmeleri ve dolayısıyla benimsenmeye engel oluşturmalarıydı."
Oyunun içinde olmalısın
Şifreler kaybolmayacak ancak konumlar, tek kullanımlık PIN'ler, görüş hattı ve ses hattı çözümleri, biyometri ve hatta yakındaki Bluetooth ve Wi-Fi cihazları hakkındaki bilgilerle artırılacak. Akıllı telefonlar ve mobil cihazlar, kimlik doğrulama için daha fazla bağlam eklemenin en olası yolu gibi görünüyor.
Tabii ki oynamak istiyorsanız oyunun içinde olmanız gerekiyor. Herkesin akıllı telefonu yoktur ve yeni kimlik doğrulama teknolojisi, en son teknolojiye sahip olmayan kullanıcıları dışlayabilir ve dünyanın geri kalanını bilgisayar korsanlarına ve kimlik hırsızlığına karşı daha savunmasız bırakabilir. Dijital güvenlik kolaylıkla sahip olanları olmayanlardan ayıran bir şey haline gelebilir.
Ve şu ana kadar hangi çözümlerin kazanacağını söylemek mümkün değil. Toopher ve LiveEnsure pek çok oyuncudan sadece ikisi ve hepsi bir tavuk-yumurta sorunuyla karşı karşıya: Hem kullanıcılar hem de hizmetler tarafından benimsenmedikçe kimseye yardımcı olmuyorlar. Toopher kısa süre önce başlangıç finansmanı için 2 milyon dolar sağladı; LiveEnsure bazı büyük isimlerle görüşüyor ve yakında gizlilik modundan çıkmayı umuyor. Ancak herhangi birinin sonunun nereye varacağını söylemek için henüz çok erken.
Bu arada, güvendiğiniz bir hizmet, ister SMS, akıllı telefon uygulaması, hatta telefon görüşmesi yoluyla olsun, çok faktörlü kimlik doğrulamanın herhangi bir biçimini sunuyorsa, bunu ciddi şekilde değerlendirin. Tek başına parola kullanmaktan neredeyse kesinlikle daha iyi bir korumadır… aynı zamanda neredeyse kesinlikle baş belası olsa bile.
Resim aracılığıyla Shutterstock / Adam Radosavljevic
[FFIEC ve LiveEnsure ile ilgili ayrıntıları açıklığa kavuşturmak ve bir üretim hatasını düzeltmek için 24 Mart 2013'te güncellendi.]
Editörlerin Önerileri
- İndirilen dosyaları iPhone veya Android akıllı telefonunuza nasıl bulabilirsiniz?
- Google One planınıza, çevrimiçi ortamda güvende olmanızı sağlayacak 2 büyük güvenlik güncellemesi geldi
- Akıllı telefonunuz 2023'te profesyonel bir kameranın yerini nasıl alabilir?
- Google'ın Pixel 6'sı iyi bir akıllı telefon ancak alıcıları ikna etmeye yetecek mi?
- Google lideri, Apple'ın yeni iPhone güvenlik programından 'hayal kırıklığına uğradığını' söyledi
