Domov Mnenja Zakaj bi gesla (končno) ušla | ben dickson

Zakaj bi gesla (končno) ušla | ben dickson

Kazalo:

Video: Zaslužite 1000 USD + Kopiraj in prilepi slike (brez videoposnetkov, brez prodaje, brez napotite... (November 2024)

Video: Zaslužite 1000 USD + Kopiraj in prilepi slike (brez videoposnetkov, brez prodaje, brez napotite... (November 2024)
Anonim

Leta 2012 je Wired 'Matt Honan pisal o katastrofalnih posledicah vezave celotnega digitalnega življenja na niz črk, številk in simbolov. Honan je le eden od neštetih ljudi, katerih spletni računi so bili ugrabljeni, potem ko so hekerji odkrili gesla; na seznamu žrtev so tudi vodilni tehnološki voditelji, vključno z Markom Zuckerbergom.

Že leta govorimo o potrebi po zamenjavi gesel z bolj varnimi in zanesljivimi metodami. Nedavno prejšnji mesec so Združeni narodi po nesreči razkrili gesla zaposlenih na javno deljenih ploščah Trello in v Google Dokumentih. Tudi nedavni kramp Facebooka je bil povezan s slabimi sistemi za preverjanje pristnosti, ki temeljijo na geslu. In milijarde ukradenih gesel se spreminjajo na temnih spletnih trgih.

Kljub temu pa gesla ostajajo glavni način zaščite spletnih računov.

V prostoru za preverjanje pristnosti ni bilo veliko inovacij. Leta 2016 sem pisal o tehnologijah za preverjanje pristnosti, ki so zagotavljale varne in enostavne alternative za gesla, vendar do nedavnega nobena ni dosegla množičnega sprejemanja.

Zdaj pa upamo, da bomo lahko končno odstranili dolga, zapletena gesla, zahvaljujoč seriji predpisov in odprtih standardov, ki olajšajo in spodbujajo izvajanje metod za preverjanje pristnosti brez gesel v spletnih aplikacijah.

Kaj preprečuje preverjanje pristnosti brez gesla?

"Ogromno število gesel, potrebnih v našem vsakdanjem življenju, je postalo breme, zato vidimo toliko ponovno uporabljenih ali šibkih statičnih podatkov, " pravi Stina Ehrensvard, izvršni direktor in ustanovitelj podjetja Yubico, ki izdeluje fizične varnostne ključe, kot je Yubikey 5 NFC. "Morali smo razmišljati o tem, kako bi rešili to težavo na način, ki poenostavi postopek prijave, hkrati pa doda najvišjo raven varnosti. Do zdaj še ni bilo načina, da bi uspešno izvedli obe stvari."

Organizacije, ki jih še naprej uporabljajo, ranljivosti gesel ne izgubijo. Preden pa razmislite o alternativah, morajo upoštevati varnost, uporabnost, razpoložljivost in stroške tehnologije.

"Razlog, da gesla doslej nismo zamenjali z nečim bolj zanesljivim, je, da vse alternative, ki bi bile morda boljše za varnost ali uporabnost, niso bile vseprisotne na voljo v vseh oblikah in velikostih naprav, povezanih z internetom, niti niso bile stroške -efektivno, «pravi Brett McDowell, izvršni direktor konzorcija FIDO Alliance, ki razvija standarde za preverjanje pristnosti.

Vnos gesla je tudi najcenejša in najpreprostejša tehnologija za preverjanje pristnosti, ki jo je mogoče uporabiti na novih spletnih mestih in mobilnih aplikacijah. Medtem ko so alternative, kot je biometrična tehnologija za preverjanje pristnosti, postale širše dostopne na mobilnih napravah, vnos gesla ostaja vseprisotna funkcija, ki jo podpirajo vse naprave. Če ga odstranite, bi mnogim uporabnikom preprečil dostop do teh storitev.

Pomanjkanje standardov tudi otežuje odmik od gesel. Večina organizacij ne bi mogla podpreti splošnih stroškov dodajanja podpore za več deset različnih tehnologij za preverjanje pristnosti v odjemalskih aplikacijah in zalednih strežnikih.

In seveda vedno obstaja človeški dejavnik. "Nekatera podjetja in posamezniki še vedno verjamejo, da kibernetski napadi ne bodo vplivali nanje in da kibernetski kriminalci ne zanimajo. Pomanjkanje želje in sredstev, da bi spremenili obstoječe rešitve, ovira sprejem novih rešitev za preverjanje pristnosti brez gesla, " pravi Alex Momot, izvršni direktor REMME, zagonskega podjetja, ki razvija decentraliziran sistem za preverjanje pristnosti.

Fedji prihajajo

V zadnjih letih se je povečala ozaveščenost o spletni varnosti in zasebnosti uporabnikov, zlasti med vladnimi agencijami in regulatorji. Medtem ko so se prej organizacije lahko izognile kršitvam podatkov in varnostnim incidentom z le malo pravnimi in finančnimi posledicami, to ne drži več.

"Regulatorji so tako utrujeni od naslovov o kršitvi podatkov kot vsi drugi, zato začnejo ukrepati, zaradi česar je več podjetij svojim praksam za varstvo podatkov dodalo močno preverjanje pristnosti, " pravi McDowell.

Med najpomembnejšimi regulativnimi ukrepi je Splošna uredba o varstvu podatkov (GDPR), skup pravil, ki opredeljujejo, kako podjetja zbirajo, ravnajo z njimi in varujejo podatke uporabnikov. GDPR določa tudi standarde za močno preverjanje pristnosti uporabnikov. Podjetjem, ki ne bodo ravnala v skladu s pravili in ne ščitijo podatkov svojih strank, bodo strogo kaznovane. GDPR velja samo za pristojnost EU, a ker mnoga podjetja, ki nimajo sedeža v EU, še vedno poslujejo v regiji, se to danes šteje za zlati standard varnosti.

"V času, ko vse več podjetij sprejema močno avtentifikacijo in čedalje več kršitev podatkov povzroča kompromis z geslom, bo podjetje vedno težje, da to preveri v regulatorju GDPR, da je preverjanje pristnosti samo z geslom ustrezne varnosti, ki bi njihovo podjetje potencialno izpostavilo globo, ki je veliko dražje od cene prehoda z gesla do resnično močne avtentikacije, "pravi McDowell.

Drugi posebni panožni predpisi so bolj jasni glede uporabe tehnologije za preverjanje pristnosti. Primer je Direktiva o plačilnih storitvah 2 (PSD2), ki ureja e-poslovanje in spletne finančne storitve v Evropi in obvezno dvofaktorsko overjanje (2FA) obvezno. PSD2 spodbuja tudi uporabo varnostnih kartic, mobilnih naprav in biometričnih optičnih bralnikov za izboljšanje uporabniške izkušnje brez ogrožanja varnosti.

Nacionalni inštitut za standarde in tehnologijo (NIST), ki določa merila za različne panoge, v svojih smernicah za digitalno identiteto navaja, da bi se morale organizacije oddaljiti od gesel in enkratnih šifrantov ter sprejeti sodobno močno avtentikacijo.

"Natančneje, NIST priporoča preverjanje pristnosti, pri kateri vaša sodobna naprava ustvari in uporablja kriptografske zasebne ključe kot vaše nove poverilnice računa in jih varno shrani v svojo osebno napravo na enak način, kot večina pametnih telefonov zdaj varno hrani podatke o prstnih odtisih, " pravi McDowell.

Razpravlja se o tem, ali bo vladna ureditev ovirala ali spodbujala inovacije. Toda na tej točki bomo morda potrebovali regulativni pritisk k sprejetju bolj varnih mehanizmov za preverjanje pristnosti.

"Vlade lahko igrajo ključno vlogo pri sprejemanju odprtih standardov, " pravi Ehrensvard. "Oglejte si na primer varnostni pas. Tudi to je odprt standard, njegovo uporabo pa je regulirala vlada. Zaradi tega je danes na cesti 10-krat več avtomobilov, a manjše skupno število prometnih nesreč s smrtnim izidom."

Kako na isti strani

Široka zamenjava avtentikacije samo z geslom potrebuje več kot predpisi. Brez nabora standardnih protokolov se bodo organizacije in podjetja borile, da bi našle tehnologijo za preverjanje pristnosti, ki bi jih uskladila z varnostnimi predpisi in hkrati omogočila dostop do njihovih uporabnikov svojim uporabnikom.

To je bil problem, ki ga je FIDO rešil. Avtentifikacija FIDO temelji na naboru brezplačnih in odprtih tehnoloških standardov, razvitih v partnerstvu s konzorcijem svetovnega spleta (W3C). Cilj je ustvariti interoperabilnost med napravami in storitvami z omogočanjem celotni industriji elektronske opreme za široko porabo, da tehnologijo vključi v svoje izdelke in platforme.

FIDO gesla nadomešča s kriptografijo z javnim ključem. To pomeni, da se uporabniki namesto gesel identificirajo s parom javnih in zasebnih ključev. Vse, šifrirano z javnim ključem, je mogoče dešifrirati le z ustreznim zasebnim ključem. Ko se uporabnik prijavi na spletno storitev, ki podpira preverjanje pristnosti FIDO, storitev ustvari par ključev in shrani javni ključ na svoje strežnike. Zasebni ključ je shranjen samo na uporabnikovi napravi. Ko se prijavite, se odjemalska aplikacija predstavi s kriptografskim izzivom, ustvarjenim z javnim ključem, ki ga lahko reši le zasebni ključ. Uporabniki morajo preveriti svojo identiteto s svojo napravo (prek prstnega odtisa, obraza ali PIN-a), da odklenejo zasebni ključ in rešijo izziv.

Prednost tega modela je, da omogoča večfaktorno preverjanje pristnosti, ne da bi potrebovali shranjevanje in izmenjavo gesel. Tudi če hekerji uspejo prekršiti strežnike ponudnika storitev, bodo imeli dostop le do javnih ključev, ki so brez uporabnih zasebnih ključev, shranjenih v uporabnikovih napravah, neuporabni. Če hekerji ukradejo uporabniško napravo, bodo še vedno morali zaobiti lokalno preverjanje identitete, da bi pridobili zasebni ključ. Z vidika uporabnika to odpravlja potrebo po pomnjenju dolgih, zapletenih gesel za vsak račun, hkrati pa zagotavlja vrhunsko varnost.

Toda večji dosežek FIDO je pridobivanje široke podpore tehnološke industrije. Zavezništvo je združilo velika imena, kot so Google, Microsoft, Amazon in Intel, da bi razvili standarde, ki bi jih bilo enostavno implementirati v različne vrste naprav in operacijske sisteme.

"Podjetja, ki so združila združenje FIDO Alliance, so razumela, da lahko zamenjava gesel za spletno preverjanje pristnosti postane komercialno izvedljiva le v obsegu s kombinacijo brezplačnih in odprtih tehnoloških standardov, izredno boljše uporabniške izkušnje in bistveno drugačnega pristopa k varnostnemu modelu, "Pravi McDowell.

FIDO je nedavno izdal FIDO2, razširitev na svoj standard, ki dodaja podporo brskalnikom in pristnost javnih ključev za pristnost javnih ključev. Standard podpirajo Windows 10, storitve Google Play v sistemu Android ter spletni brskalniki Chrome, Firefox in Edge. Podpora za FIDO2 lahko kmalu doda tudi WebKit, tehnologija, ki stoji za Applovim brskalnikom Safari.

"Standard FIDO2 omogoča zamenjavo šibke avtentikacije na geslu z močno avstrijsko avtentikacijo, ki uporablja kriptografijo javnih ključev, " pravi Ehrensvard, katerega podjetje Yubico je med ključnimi člani FIDO. "Ta standard omogoča brezhibno preverjanje pristnosti v več oblikah, med drugim prek USB-ja in NFC-a, ki omogoča optimalno uporabniško izkušnjo in drastično izboljšuje varnost in produktivnost."

Kdaj bodo gesla končno minila?

Čeprav je industrija že dolgo napredovala do razvoja alternativnih metod preverjanja pristnosti, gesla ne bodo izginila čez noč. "Upoštevati bi morali, da imamo veliko" zapuščenih "programskih in informacijskih sistemov. Zato ni vedno mogoče enostavno spremeniti ustaljenih pravil za preverjanje pristnosti, vključno s tistimi, ki temeljijo na geslu, " pravi Momot, izvršni direktor REMME.

Drugi strokovnjaki, kot je Sandor Palfy, CTO podjetja LogMeIn, verjamejo, da bodo gesla ostala osrednja plat prepoznave uporabnikov. Prav tako je prepričan, da bi se morala industrija osredotočiti na izboljšanje gesla.

  • Najboljši upravljavci gesla za leto 2019 Najboljši upravljavci gesla za leto 2019
  • Kaj je geslo? Predvajajte nekaj glasbe in se prijavite prek Brainwaves Kaj je geslo? Predvajajte nekaj glasbe in se prijavite prek Brainwaves
  • Bogus porno e-poštna sporočila s starimi gesli, da vas prevarajo brez denarja Bogus porno e-poštna sporočila s starimi gesli, da vas prevarajo brez denarja

"Dokler ni na voljo univerzalnega pokritja z večfaktorno avtentikacijo (ali celo vedenjske ali kontekstne avtentikacije), morajo podjetja vlagati v krepitev storitev, zaščitenih z geslom, ki se uporabljajo v celotni organizaciji, " pravi Palfy.

"Spomin na edinstvena, zapletena gesla za vsa naša delovna in osebna računa se ne ujema z naravnim človeškim vedenjem. Z uporabo orodij, kot so upravljavci gesel, bi moralo biti spominjanje več gesel preteklost, saj si morajo uporabniki zapomniti le eno glavno geslo, "pravi Palfy, katere podjetje je razvijalec upravitelja gesel LastPass.

Toda McDowell, ki je na čelu FIDO že od leta 2014, prizadevanje za izkoreninjenje gesla končno končuje. "Danes brezpastna prihodnost postaja resničnost, ena aplikacija naenkrat. V nekaj letih pričakujem, da bodo obrazci za vnos gesla na spletnih straneh približno tako redki, saj so javne telefonske govorilnice v teh dneh v javnih prostorih. iz istega razloga - imamo stroškovno učinkovito vseprisotno alternativo, ki ponuja veliko boljšo uporabniško izkušnjo, "pravi.

Zakaj bi gesla (končno) ušla | ben dickson