Tartalomjegyzék:
- Mi akadályozza meg a jelszó nélküli hitelesítést?
- A Feds jön kopogtatni
- Ugyanazon az oldalon
- Mikor kerülnek el a jelszavak végre?
Videó: Rejtett funkciók az androidon! (November 2024)
2012-ben a Wired Matt Honan írta a katasztrofális következményeiről, ha egész digitális életét betűk, számjegyek és szimbólumok sorozatához kötötte. Honan csak egy a számtalan ember közül, akinek online számláit eltérítették, miután a hackerek felfedezték jelszavukat; az áldozatok listája magas szintű technológiai vezetõket is tartalmaz, köztük Mark Zuckerberg.
És mégis, a jelszavak továbbra is az online fiókok védelmének fő módszerei.
A hitelesítési térben nem történt kevés újítás. 2016-ban írtam a hitelesítési technológiákról, amelyek biztonságos és könnyen használható alternatívákat nyújtottak a jelszavakhoz, ám a közelmúltig egyikük sem valósult meg tömegesen.
Most azonban reménykedünk, hogy végre átadhatjuk a hosszú, összetett jelszavakat egy sor szabályozásnak és nyílt szabványnak köszönhetően, amelyek megkönnyítik és ösztönzik a jelszó nélküli hitelesítési módszereket az online alkalmazásokban.
Mi akadályozza meg a jelszó nélküli hitelesítést?
"A mindennapi életünkben szükséges nagyszámú jelszó terhessé vált, ezért oly sok újrafelhasznált vagy gyenge statikus hitelesítő adatot látunk" - mondta Stina Ehrensvard, a Yubico vezérigazgatója és alapítója, amely fizikai biztonsági kulcsokat gyárt, mint például a Yubikey 5 NFC.. "Gondolnunk kellett volna arra, hogy hogyan kezeljük ezt a problémát oly módon, hogy leegyszerűsítsük a bejelentkezési folyamatot, miközben hozzáadjuk a legmagasabb szintű biztonságot. Ez idáig valójában nem volt mód arra, hogy mindkettőt sikeresen megtegyük."
A jelszavak sebezhetőségét nem veszítik el azok a szervezetek, amelyek továbbra is használják azokat. Az alternatívák megfontolása előtt azonban figyelembe kell venniük a technológia biztonságát, használhatóságát, rendelkezésre állását és költségeit.
"Az az oka, hogy korábban nem cseréltük le a jelszavakat valami megbízhatóbbra, az az volt, hogy a biztonság vagy a használhatóság szempontjából jobb megoldások nem voltak mindenütt hozzáférhetők az internethez csatlakoztatott eszközök minden formájához és méretéhez, és nem voltak költségeik. -hatékony "- mondja Brett McDowell, a hitelesítési szabványokat kidolgozó konzorcium FIDO Alliance ügyvezető igazgatója.
Ezenkívül a jelszó beírása a legolcsóbb és legegyszerűbb hitelesítési technológia, amelyet új webhelyekre és mobilalkalmazásokba lehet bevezetni. És bár az alternatívák, például a biometrikus hitelesítési technológia szélesebb körben elérhetővé váltak a mobil eszközökön, a jelszó megadása továbbra is mindenütt jelenik meg, amelyet minden eszköz támogat. Ennek eltávolítása sok felhasználó számára akadályozná meg a hozzáférést ezekhez a szolgáltatásokhoz.
A szabványok hiánya megnehezíti a jelszavaktól való távolodást. Több tucat különféle hitelesítési technológia támogatásának az ügyfélalkalmazásokban és a háttérkiszolgálókon történő támogatásának általános költségei vannak, amit a legtöbb szervezet nem tudott viselni.
És természetesen mindig ott van az emberi tényező. "Egyes vállalatok és magánszemélyek továbbra is úgy gondolják, hogy a kibernetikus támadások nem érintik őket, és hogy nem érdekli őket a számítógépes bűnözők. A meglévő megoldások megváltoztatásának vágya és erőforrásai akadályozzák az új jelszó nélküli hitelesítési megoldások alkalmazását" - mondja Alex. Momot, a REMME vezérigazgatója, egy startup, amely decentralizált hitelesítési rendszert fejleszt.
A Feds jön kopogtatni
Az utóbbi években nőtt az online biztonság és a felhasználók magánéletének tudatossága, különösen a kormányzati ügynökségek és a szabályozók körében. Míg korábban a szervezetek csak kevés jogi és pénzügyi következménnyel vonhatták volna el az adatok megsértését és a biztonsági eseményeket, ez már nem így van.
"A szabályozók annyira belefáradtak az adatok megsértésének címsorába, mint bárki más, és elkezdenek lépéseket tenni, aminek eredményeként több vállalkozás erős hitelesítést ad az adatvédelmi gyakorlatához" - mondja McDowell.
A legrelevánsabb szabályozási intézkedések közé tartozik az Általános Adatvédelmi Rendelet (GDPR), egy olyan szabályrendszer, amely meghatározza, hogy a vállalatok hogyan gyűjtik, kezelik és biztonságosák a felhasználói adatokat. A GDPR meghatározza az erős felhasználói hitelesítés szabványait is. Azokat a vállalatokat, amelyek nem tartják be a szabályokat és védik ügyfeleik adatait, súlyos bírság terhelik. A GDPR csak az EU joghatóságaira vonatkozik, de mivel sok olyan társaság, amely nem székhelye az EU-ban, továbbra is üzleti tevékenységet folytat a térségben, ezt a biztonság aranyszabályának tekintik.
"Abban az időben, amikor egyre több vállalat alkalmaz erős hitelesítést, és egyre több adat megsértését okozza a jelszó-kompromisszum, egy vállalkozásnak egyre nehezebb lesz az, hogy a GDPR-szabályozóhoz forduljon, hogy a csak jelszóval történő hitelesítés megfelelő biztonság, potenciálisan pénzbírságnak vetve ki társaságokat, amelyek sokkal drágábbak, mint a jelszavakról az igaz erős hitelesítésre való áttérés ára "- mondja McDowell.
Más iparág-specifikus rendeletek pontosabban ismertetik a hitelesítési technológia alkalmazását. Példa erre a 2. fizetési szolgáltatási irányelv (PSD2), amely az e-kereskedelmet és az online pénzügyi szolgáltatásokat szabályozza Európában, és kéttényezős hitelesítést (2FA) tesz kötelezővé. A PSD2 arra is ösztönzi a biztonsági kártyák, mobil eszközök és biometrikus szkennerek használatát, hogy javítsák a felhasználói élményt a biztonság veszélyeztetése nélkül.
A Nemzeti Szabványügyi és Technológiai Intézet (NIST), amely meghatározza a különféle iparágakra vonatkozó kritériumokat, digitális identitási irányelveiben kijelenti, hogy a szervezeteknek el kell távolodniuk a jelszavaktól és az egyszeri jelszavaktól, és modern, erős hitelesítést kell elfogadniuk.
"Pontosabban, a NIST azt a hitelesítést javasolja, amelyben a modern eszköz kriptográfiai magánkulcsokat hoz létre és használ az új fiók hitelesítő adataiként, és biztonságosan tárolja azokat a személyes eszközére, ugyanúgy, ahogy az okostelefonok most már biztonságosan tárolják az ujjlenyomatadatokat" - mondja McDowell.
Vita folyik arról, hogy a kormányzati szabályozás akadályozza-e vagy ösztönzi-e az innovációt. De ezen a ponton szükség lehet egy szabályozási nyomásra a biztonságosabb hitelesítési mechanizmusok elfogadása felé.
"A kormányok kritikus szerepet játszhatnak a nyílt szabványok elfogadásában" - mondja Ehrensvard. "Vessen egy pillantást például a biztonsági övre. Ez is nyitott szabvány, és használatát a kormány szabályozta. Emiatt manapság tízszer több autó van az úton, de a halálos kimenetelű autóbalesetek száma alacsonyabb..”
Ugyanazon az oldalon
A csak jelszóval történő hitelesítés széles körű cseréjére több, mint a szabályozás szüksége van. Szabványos protokollkészlet nélkül a szervezetek és a vállalatok küzdenek olyan hitelesítési technológia megtalálása érdekében, amely a biztonsági előírásokkal összhangban tartja őket, miközben alkalmazásukat a felhasználók számára elérhetővé teszi.
Ez volt a FIDO által megoldandó probléma. A FIDO hitelesítés egy ingyenes és nyílt technológiai szabványon alapul, amelyeket a World Wide Web Consortium (W3C) együttműködésével fejlesztettek ki. A cél az interoperabilitás megteremtése az eszközök és a szolgáltatások között annak lehetővé tétele révén, hogy a teljes fogyasztói elektronikai ipar integrálhassa a technológiát termékekbe és platformokba.
A FIDO a jelszavakat a nyilvános kulcsú kriptográfiával váltja fel. Ez azt jelenti, hogy a jelszavak helyett a felhasználókat nyilvános és privát kulcsokkal azonosítják. Bármit, amelyet nyilvános kulccsal titkosítunk, csak a megfelelő magánkulccsal lehet visszafejteni. Amikor egy felhasználó feliratkozik egy FIDO hitelesítést támogató online szolgáltatásra, a szolgáltatás generál egy kulcspárt, és tárolja a nyilvános kulcsot a szerverein. A privát kulcsot csak a felhasználó eszközén tárolja. Bejelentkezéskor az ügyfélalkalmazás a nyilvános kulccsal generált kriptográfiai kihívással jelenik meg, amelyet csak a magánkulcs oldhat meg. A felhasználóknak ellenőrizniük kell személyazonosságukat készülékükkel (ujjlenyomat, arc vagy PIN-kódon keresztül), hogy feloldják személyes kulcsát és megoldják a kihívást.
Ennek a modellnek az az előnye, hogy több tényezőjű hitelesítést biztosít, anélkül, hogy a jelszavakat tárolni és cserélni kellene. Még ha a hackereknek sikerül megsérteni a szolgáltató szervereit, akkor csak a nyilvános kulcsokhoz férnek hozzá, amelyek haszontalanok, a felhasználói eszközökön tárolt megfelelő magánkulcsok nélkül. Ha a hackerek ellopják a felhasználó eszközét, akkor még mindig meg kell kerülniük a helyi identitás ellenőrzését, hogy megszerezzék a privát kulcsot. A felhasználó szempontjából ez kiküszöböli annak szükségességét, hogy minden fiókban hosszú, összetett jelszavakat megjegyezze, miközben kiemelkedő biztonságot nyújt.
De a FIDO nagyobb sikere az, hogy széles körű támogatást kap a technológiai ipar. A szövetség olyan nagyneveket hozott össze, mint a Google, a Microsoft, az Amazon és az Intel, hogy olyan szabványokat dolgozzanak ki, amelyeket könnyen lehet alkalmazni különféle típusú készülékeken és operációs rendszereken.
"A FIDO Szövetség létrehozására összegyűlt vállalkozások megértették, hogy az online hitelesítéshez használt jelszavak cseréje csak kereskedelmi szempontból életképesvé válhat szabad és nyílt technológiai szabványok, rendkívül kiváló felhasználói élmény és a biztonsági modell alapvetően eltérő megközelítésének kombinálásával. "- mondja McDowell.
A FIDO nemrégiben kiadta a FIDO2-t, a szabvány kibővítését, amely támogatja a böngészők nyilvános kulcsú hitelesítését és az alkalmazási keretek széles skáláját. A szabványt a Windows 10, az Androidon a Google Play Services, valamint a Chrome, Firefox és az Edge böngészők támogatják. A WebKit, az Apple Safari böngészőjének technológiája hamarosan szintén támogatást nyújthat a FIDO2-hez.
"A FIDO2 szabvány lehetővé teszi a gyenge jelszó-alapú hitelesítés cseréjét erős hardver-alapú hitelesítéssel, amely nyilvános kulcsú kriptográfiát használ" - mondja Ehrensvard, akinek a Yubico társasága a FIDO kulcsfontosságú tagja. "Ez a szabvány számos formátumban lehetővé teszi a jelszó nélküli hitelesítést, többek között USB-n és tap-and-go NFC-n keresztül, amely optimális felhasználói élményt nyújt, és drasztikusan javítja a biztonságot és a termelékenységet."
Mikor kerülnek el a jelszavak végre?
Noha az iparág hosszú utat tett az alternatív hitelesítési módszerek kifejlesztése felé, a jelszavak nem tűnnek el egyetlen nap alatt. "Figyelembe kell vennünk, hogy nagyon sok" örökölt "szoftver és információs rendszer van. Ezért nem mindig lehetséges a bevált hitelesítési szabályok egyszerű megváltoztatása, beleértve a jelszó alapú szabályokat is" - mondta Momot, a REMME vezérigazgatója.
Más szakértők, mint például Palfy Sandor, a LogMeIn műszaki vezetője, úgy vélik, hogy a jelszavak továbbra is központi szempontot jelentenek a felhasználók azonosításában. Úgy véli továbbá, hogy az iparágnak a jelszó élményének javítására kell összpontosítania.
- A legjobb jelszókezelők 2019-ig A legjobb jelszókezelők 2019-ig
- Mi a jelszó? Zene lejátszása és bejelentkezés Brainwaves segítségével Mi a jelszó? Játssz zenét és jelentkezz be a Brainwaves segítségével
- Hamis pornó e-mailek, régi jelszavak felhasználásával, hogy pénzt keresjen tévesen Hamis pornó e-mailek, régi pénzalapok használatával, hogy pénzeszközöket csaljon meg téged
"Mindaddig, amíg a több tényezős hitelesítéssel (vagy akár viselkedésbeli vagy kontextusbeli hitelesítéssel) egyetemes lefedettség nem áll rendelkezésre, a vállalatoknak befektetniük kell a jelszóval védett, az egész szervezetben használt szolgáltatások megerősítésébe" - mondja Palfy.
"Az egyedi, összetett jelszavak emlékezete minden munka és személyes fiókunkhoz nem igazodik a természetes emberi viselkedéshez. Az olyan eszközök használatával, mint például a jelszókezelők, a többszörös jelszavak emlékezetének múltnak kell lennie, a felhasználóknak csak egy főjelszóval kell megjegyezniük, "- mondja Palfy, akinek a vállalata a LastPass jelszókezelő fejlesztője.
De McDowell számára, aki 2014 óta áll a FIDO élén, a jelszavak kiürítésére irányuló törekvés végül eléri a végső szakaszát. "A jelszó nélküli jövő ma valósággá válik, egy alkalmazás egyszerre. Néhány éven belül azt várom, hogy a jelszóbeviteli űrlapok ugyanolyan ritkán találhatók meg a weboldalakon, mint a nyilvános telefonfülkék manapság a nyilvános terekben, és a Ugyanez az oka - költséghatékony, mindenütt jelen lévő alternatívánk, amely sokkal jobb felhasználói élményt nyújt ”- mondja.
