Сотні мільйонів людей щодня використовують паролі — вони розблоковують наші пристрої, електронну пошту, соціальні мережі та навіть банківські рахунки. Однак паролі є все слабкіше спосіб захистити себе: не проходить і тижня, щоб у новинах не потрапила серйозна помилка безпеки. Цього тижня Cisco — виробник більшої частини апаратного забезпечення, яке, по суті, забезпечує роботу Інтернету.
Зараз майже всі прагнуть вийти за межі паролів багатофакторна аутентифікація: вимагається «щось, що у вас є» або «щось, чим ви є» на додаток до того, що ви знаєте. Біометричні технології, які вимірюють очі, відбитки пальців, обличчя та/або голоси стає більш практичним, але часто не справляються з деякими людьми, і їх важко донести до сотень мільйонів користувачів.
Рекомендовані відео
Хіба ми не випускаємо з уваги очевидне? Хіба рішення багатофакторної безпеки вже не в наших кишенях?
Пов'язані
- 15 найважливіших смартфонів, які назавжди змінили світ
- SMS 2FA небезпечний і поганий — замість цього скористайтеся цими 5 чудовими програмами для автентифікації
- Втома від підписки на додаток швидко псує мій смартфон
Інтернет-банкінг
Вірте чи ні, але американці роками використовують багатофакторну автентифікацію, коли здійснюють онлайн-банкінг — або, принаймні, її пом’якшені версії. У 2001 році Федеральна рада з перевірки фінансових установ (FFIEC) вимагала, щоб онлайн-банкінгові служби США запровадили справжню багатофакторну автентифікацію до 2006 року.
Зараз 2013 рік, а ми все ще входимо в онлайн-банкінг за допомогою паролів. Що сталося?
«По суті, банки лобіювали», — сказав Річ Могулл, генеральний директор і аналітик Секуроз. «Біометрія та токени безпеки можуть добре працювати окремо, але їх дуже важко масштабувати навіть для банківських операцій. Споживачі не хочуть мати справу з кількома такими речами. Більшість людей навіть не встановлюють паролі на телефони».
Отже, банки відштовхнулися. До 2005 року FFIEC видав оновлені рекомендації що дозволяло банкам автентифікуватись за паролем та «ідентифікацією пристрою» — по суті, профілюючи системи користувачів. Якщо клієнт входить із відомого пристрою, йому потрібен лише пароль; інакше клієнту потрібно пройти через додаткові обручі — як правило, виклики. Ідея полягає в тому, що профілювання пристроїв означає перевірку користувачів мати (комп’ютера, смартфона або планшета), щоб додати пароль знати.
Банки стали більш досконалими в ідентифікації пристроїв ще нові федеральні вказівки вимагати, щоб банки використовували більше, ніж легко скопійовані файли cookie браузера. Але система ще слабка. Усе відбувається через один канал, тож якщо зловмисник може підключитися до з’єднання користувача (можливо, шляхом крадіжки, злому чи зловмисного програмного забезпечення), усе закінчено. Крім того, до будь-кого ставляться як до клієнта, який використовує новий пристрій — і як Нью-Йорк Таймс оглядач Девід Пог може підтвердитиправдиві відповіді на контрольні запитання інколи забезпечують слабкий захист.
Однак онлайн-банкінг має обмежену форму багатофакторної безпеки великий користь для споживачів. Для більшості користувачів більшу частину часу профілювання пристрою невидиме й працює так само, як пароль, який майже всі розуміють.
Google Authenticator
Цифрові токени, картки безпеки та інші пристрої використовувалися для багатофакторної автентифікації протягом десятиліть. Однак, як і біометрія, наразі ніщо не виявилося ефективним для мільйонів звичайних людей. Також немає загальноприйнятих стандартів, тому людям може знадобитися десяток різних брелоків, жетонів, USB-накопичувачів і карток для доступу до улюблених сервісів. Ніхто не збирається цього робити.
А як щодо телефонів у наших кишенях? Майже рік тому дослідники виявили майже 90 відсотків дорослих американців мали мобільні телефони — майже половина мала смартфони. Зараз цифри мають бути більшими: напевно, вони використовуються для багатофакторної автентифікації?
Це ідея Двоетапна перевірка Google, який надсилає одноразовий PIN-код на телефон за допомогою SMS або голосу під час входу в сервіси Google. Користувачі вводять свій пароль і код для входу. Звичайно, телефони можуть бути втрачені або викрадені, і якщо батарея розряджається або послуга мобільного зв’язку недоступна, доступ користувачів буде заблоковано. Але ця послуга працює навіть із мобільними телефонами й, звичайно, безпечніша, хоча й менш зручна, ніж лише пароль.
Двоетапна перевірка Google стає ще цікавішою Google Authenticator, доступний для Android, iOS і BlackBerry. Google Authenticator використовує одноразові паролі на основі часу (TOTP), стандарт, який підтримується Ініціатива відкритої автентифікації. По суті, програма містить зашифрований секрет і генерує новий шестизначний код кожні 30 секунд. Користувачі вводять цей код разом із паролем, щоб підтвердити, що вони мають правильний пристрій. Поки годинник на телефоні правильний, Google Authenticator працює без телефонної служби; більш того, його 30-секундні коди працюють інший служби, які підтримують TOTP: прямо зараз, це включає Dropbox, LastPass, і Веб-сервіси Amazon. Так само інші програми, які підтримують TOTP, можуть працювати з Google.
Але є питання. Користувачі надсилають коди підтвердження на той самий канал, що й паролі, тому вони вразливі до тих самих сценаріїв перехоплення, що й онлайн-банкінг. Оскільки програми TOTP містять секрет, будь-хто (у будь-якій точці світу) може генерувати законні коди, якщо програму або секрет буде зламано. І жодна система не є ідеальною: минулого місяця Google вирішив проблему, яка могла дозволити повне захоплення облікового запису через спеціальні паролі програм. Весело.
Куди нам далі йти?
Найбільша проблема таких систем, як двоетапна перевірка Google, полягає просто в тому, що вони неприємні. Хочете повозитися з телефоном і кодами кожен раз ви входите в службу? Ваші батьки, бабусі, дідусі, друзі чи діти? Більшість людей цього не робить. Навіть для технофілів, які люблять крутий фактор (і безпеку), швидше за все, цей процес буде незручним лише за кілька тижнів.
Цифри свідчать про реальний біль. У січні Google поставив Wired’s Роберт Макміллан графік двоетапного прийняття, в тому числі шип у супроводі Мета Хонана "Епічний хакінг» стаття минулого серпня. Зверніть увагу, яка вісь не має міток? Представники Google відмовилися повідомити, скільки людей використовують її двофакторну автентифікацію, але віце-президент із безпеки Google Ерік Гросс повідомив MacMillan про чверть мільйона користувачів, які зареєструвалися після статті Хонана. Згідно з цим показником, за моїми попередніми оцінками, на сьогоднішній день зареєструвалося близько 20 мільйонів людей — це майже невелика частка серед 500+ мільйонів користувачів Google претензії мають облікові записи Google+. Співробітнику Google, яка не захотіла називати свою назву, ця цифра здалася правильною: за її оцінками, менше десяти відсотків «активних» користувачів Google+ зареєструвалися. "І не всі з них дотримуються цього", - зазначила вона.
«Коли у вас є неприборкана аудиторія, ви не можете приймати будь-яку поведінку, окрім основ, особливо якщо ви не дали цій аудиторії приводу хочуть така поведінка», — сказав Крістіан Хесслер, генеральний директор компанії мобільної автентифікації LiveEnsure. «Неможливо навчити мільярд людей робити те, чого вони не хочуть».
LiveEnsure покладається на те, що користувачі перевіряються поза мережею за допомогою свого мобільного пристрою (або навіть електронною поштою). Введіть лише ім’я користувача (або скористайтеся службою єдиного входу, наприклад Twitter або Facebook), і LiveEnsure використовує ширший контекст користувача для автентифікації: пароль не потрібен. Прямо зараз LiveEnsure використовує «пряму видимість» — користувачі сканують QR-код на екрані за допомогою свого телефону, щоб підтвердити свій вхід — але незабаром з’являться інші методи перевірки. LiveEnsure обходить стороною перехоплення, використовуючи окреме підключення до верифікації, але також не покладається на спільні секрети у веб-переглядачах, на пристроях чи навіть у своїх службах. Якщо систему зламано, LiveEnsure каже, що окремі частини не мають жодної цінності для зловмисника.
«Те, що є в нашій базі даних, можна було б розіслати поштою на компакт-дисках як різдвяний подарунок, і це було б марно», — сказав Гесслер. «Жодних секретів не передано, єдина транзакція — це просте «так» або «ні».
Підхід LiveEnsure легший, ніж введення PIN-кодів, але все одно користувачі потребують роботи з мобільними пристроями та програмами для входу. Інші прагнуть зробити процес більш прозорим.
Toopher використовує інформацію про місцезнаходження мобільних пристроїв через GPS або Wi-Fi як спосіб прозорої автентифікації користувачів — принаймні з попередньо схвалених місць.
«Toopher привносить більше контексту в рішення щодо автентифікації, щоб зробити його невидимим», — сказав засновник і технічний директор Еван Грімм. «Якщо користувач зазвичай перебуває вдома й здійснює онлайн-банкінг, він може автоматизувати це, щоб зробити рішення непомітним».
Автоматизація не потрібна: користувачі можуть щоразу підтверджувати на своєму мобільному пристрої, якщо хочуть. Але якщо користувачі скажуть Toopher, що це нормально, їм достатньо мати свій телефон у кишені, і автентифікація відбувається прозоро. Користувачі просто вводять пароль, а все інше невидиме. Якщо пристрій знаходиться в невідомому місці, користувачі повинні підтвердити на своєму телефоні, а якщо ні підключення, Toopher повертається до PIN-коду на основі часу, використовуючи ту саму технологію, що й Google Автентифікатор.
«Toopher не намагається кардинально змінити досвід користувача», — сказав Грімм. «Проблема з іншими багатофакторними рішеннями полягала не в тому, що вони не додали захист, а в тому, що вони змінили взаємодію з користувачем, і тому мали перешкоди для впровадження».
Ви повинні бути в грі
Паролі не зникнуть, але вони будуть доповнені місцезнаходженням, одноразовими PIN-кодами, рішеннями прямої видимості та лінії звуку, біометричними даними або навіть інформацією про пристрої Bluetooth і Wi-Fi поблизу. Смартфони та мобільні пристрої здаються найбільш імовірним способом додати більше контексту для автентифікації.
Звичайно, ви повинні бути в грі, якщо хочете грати. Не у всіх є смартфони, і нова технологія автентифікації може виключати користувачів, які не користуються останніми технологіями, роблячи решту світу більш вразливою для хакерів і крадіжки особистих даних. Цифрова безпека легко може стати чимось, що відрізнятиме заможних від бідних.
І поки що неможливо сказати, які рішення переможуть. Toopher і LiveEnsure — лише двоє з багатьох гравців, і всі вони стикаються з проблемою курки та яйця: без прийняття користувачами та службами вони нікому не допоможуть. Нещодавно Toopher отримав 2 мільйони доларів фінансування стартапу; LiveEnsure спілкується з кількома відомими іменами та сподівається незабаром вийти з прихованого режиму. Але куди хтось потрапить, говорити зарано.
Тим часом, якщо служба, на яку ви покладаєтеся, пропонує будь-яку форму багатофакторної автентифікації — через SMS, програму для смартфона чи навіть телефонний дзвінок — серйозно подумайте про це. Це майже напевно кращий захист, ніж сам по собі пароль... навіть якщо це також майже напевно біль у дупі.
Зображення через Shutterstock / Адам Радосавлевич
[Оновлено 24 березня 2013 р., щоб уточнити деталі FFIEC і LiveEnsure і виправити помилку виробництва.]
Рекомендації редакції
- Як знайти завантажені файли на смартфоні iPhone або Android
- Ваш тарифний план Google One щойно отримав 2 великі оновлення системи безпеки, щоб забезпечити безпеку в Інтернеті
- Як ваш смартфон може замінити професійну камеру в 2023 році
- Pixel 6 від Google — хороший смартфон, але чи вистачить цього, щоб переконати покупців?
- Керівник Google каже, що він «розчарований» новою програмою захисту iPhone від Apple
