Sadržaj:
- Što sprečava provjeru autentičnosti bez lozinke?
- Saveznici kucaju
- Dolazak na istu stranicu
- Kada će lozinke napokon nestati?
Video: Zaboravljena lozinka (Studeni 2024)
Wiredov Matt Honan napisao je 2012. o katastrofalnim posljedicama vezanja čitavog digitalnog života na niz slova, znamenki i simbola. Honan je samo jedan od bezbroj ljudi čiji su internetski računi oteti nakon što su hakeri otkrili svoje lozinke; na popisu žrtava nalaze se i visoki tehnološki rukovoditelji, uključujući Mark Zuckerberg.
Pa ipak, lozinke su i dalje glavna metoda zaštite mrežnih računa.
U prostoru za provjeru autentičnosti nije bilo male količine inovacija. U 2016. pisao sam o tehnologijama za provjeru autentičnosti koje pružaju sigurne i jednostavne alternative za lozinke, ali sve donedavno nijedna nije postigla masovno prihvaćanje.
Sada se, međutim, nadamo da ćemo konačno moći iskopati dugačke, složene lozinke zahvaljujući nizu propisa i otvorenih standarda koji olakšavaju i potiču implementaciju metoda za provjeru autentičnosti bez lozinke u internetskim aplikacijama.
Što sprečava provjeru autentičnosti bez lozinke?
"Ogroman broj lozinki potrebnih u našem svakodnevnom životu postao je teret, zbog čega vidimo toliko mnogo ponovno korištenih ili slabih statičkih vjerodajnica", kaže Stina Ehrensvard, izvršni direktor i osnivač tvrtke Yubico, koja proizvodi ključeve fizičkog osiguranja poput Yubikey 5 NFC, "Morali smo razmisliti o tome kako riješiti ovaj problem na način koji pojednostavljuje postupak prijave, a pritom dodaje najvišu razinu sigurnosti. Do sada doista nije postojao način da obje ove stvari učinimo uspješno."
Ranjivosti lozinki ne gube se na organizacijama koje ih i dalje koriste. Prije nego što razmotre alternative, moraju uzeti u obzir sigurnost, upotrebljivost, dostupnost i troškove tehnologije.
"Razlog što do sada nismo zamijenili lozinke nečim pouzdanijim je taj što sve alternative koje su mogle biti bolje zbog sigurnosti ili upotrebljivosti nisu sveprisutno dostupne svim oblicima i veličinama uređaja povezanih s internetom, niti su koštale - Učinkovito ", kaže Brett McDowell, izvršni direktor FIDO saveza, konzorcija koji razvija standarde provjere autentičnosti.
Također, unos lozinke je najmanje skupa i najjednostavnija tehnologija za provjeru autentičnosti za implementaciju u nove web stranice i mobilne aplikacije. I dok su alternative poput tehnologije biometrijske autentifikacije postale široko dostupne na mobilnim uređajima, unos lozinke i dalje je sveprisutna značajka koju podržavaju svi uređaji. Uklanjanje ove mreže onemogućilo bi mnogim korisnicima pristup tim uslugama.
Nedostatak standarda također otežava odstupanje od lozinki. Opći troškovi dodavanja podrške za desetine različitih tehnologija za provjeru autentičnosti u klijentskim aplikacijama i pomoćnim poslužiteljima nešto je što većina organizacija ne može podnijeti.
I naravno, uvijek postoji ljudski faktor. "Neke tvrtke i pojedinci i dalje vjeruju da cyber napadi neće biti pogođeni te da cyber-kriminalci ne zanimaju. Nedostatak želje i resursa za promjenom postojećih rješenja ometa usvajanje novih rješenja za provjeru autentičnosti bez lozinke", kaže Alex Momot, direktor REMME-a, startupa koji razvija decentralizirani sustav za provjeru autentičnosti.
Saveznici kucaju
Posljednjih godina došlo je do povećanja svijesti o internetskoj sigurnosti i privatnosti korisnika, posebno među vladinim agencijama i regulatorima. Iako su ranije organizacije mogle spriječiti kršenje podataka i sigurnosne incidente s malim pravnim i financijskim posljedicama, to više nije slučaj.
"Regulatori su umorni od naslova kršenja podataka kao i svi drugi i oni počinju poduzimati mjere, što rezultira time da više tvrtki dodaje snažnu provjeru autentičnosti svojim praksama zaštite podataka", kaže McDowell.
Među najrelevantnijim regulatornim radnjama je Opća uredba o zaštiti podataka (GDPR), skup pravila koja određuju kako tvrtke prikupljaju, obrađuju i štite podatke korisnika. GDPR također definira standarde za jaku provjeru autentičnosti korisnika. Tvrtke koje se ne pridržavaju pravila i zaštite podataka svojih kupaca bit će strogo novčano kažnjene. GDPR se odnosi samo na nadležnost EU-a, ali budući da mnoge tvrtke koje nemaju svoje sjedište u EU još uvijek posluju u regiji, to se sada smatra zlatnim standardom sigurnosti.
"U vrijeme kada sve više i više tvrtki prihvaća snažnu provjeru autentičnosti, a sve je više kršenja podataka uzrokovano kompromisom lozinkom, poslovanje će biti sve teže pretvoriti u GDPR regulator koji provjerava identitet samo lozinkom odgovarajuću sigurnost, što potencijalno izlaže njihovu tvrtku novčanim kaznama koje su puno skuplje od cijene prelaska s lozinki na istinsku jaku provjeru autentičnosti ", kaže McDowell.
Ostali propisi specifični za ovu industriju jasniji su o upotrebi tehnologije za provjeru autentičnosti. Primjer je Direktiva o platnim uslugama 2 (PSD2) koja regulira e-trgovinu i internetske financijske usluge u Europi i obvezuje dvofaktorsku provjeru autentičnosti (2FA). PSD2 također potiče upotrebu sigurnosnih kartica, mobilnih uređaja i biometrijskih skenera za poboljšanje korisničkog iskustva bez ugrožavanja sigurnosti.
I Nacionalni institut za standarde i tehnologiju (NIST), koji definira kriterije za različite industrije, u svojim smjernicama za digitalni identitet navodi da se organizacije trebaju udaljiti od lozinki i jednokratnih lozinki te usvojiti modernu jaku provjeru autentičnosti.
"Preciznije, NIST preporučuje provjeru autentičnosti u kojoj vaš moderni uređaj stvara i koristi kriptografske privatne ključeve kao nove vjerodajnice vašeg računa i sigurno ih pohranjuje na vaš osobni uređaj na isti način na koji većina pametnih telefona sada sigurno pohranjuje vaše podatke o otiscima prsta", kaže McDowell.
Raspravlja se o tome hoće li vladina regulacija kočiti ili potaknuti inovacije. Ali u ovom trenutku, možda će nam trebati regulatorni pritisak na usvajanje sigurnijih mehanizama provjere autentičnosti.
"Vlade mogu igrati kritičnu ulogu u usvajanju otvorenih standarda", kaže Ehrensvard. "Pogledajte, primjerice, sigurnosni pojas. I to je otvoren standard, a njegovo korištenje regulirala je vlada. Zbog toga je danas na cesti 10 puta više automobila, ali niži ukupni broj prometnih nesreća sa smrtnim ishodom. „.
Dolazak na istu stranicu
Široka zamjena za provjeru autentičnosti samo zaporkom zahtijeva više od propisa. Bez skupa standardnih protokola, organizacije i tvrtke borit će se da pronađu tehnologiju za provjeru autentičnosti koja će ih držati u skladu sa sigurnosnim propisima, a svoje aplikacije stavljaju na raspolaganje svojim korisnicima.
To je bio problem koji je FIDO trebao riješiti. Autentifikacija FIDO temelji se na skupu besplatnih i otvorenih tehnoloških standarda, razvijenih u partnerstvu sa World Wide Web Consortium (W3C). Cilj je stvoriti interoperabilnost među uređajima i uslugama omogućavanjem čitavoj industriji elektronike potrošača da tehnologiju integrira u svoje proizvode i platforme.
FIDO zamjenjuje lozinke kriptografijom s javnim ključem. To znači da se umjesto lozinki, korisnici identificiraju s parom javnih i privatnih ključeva. Sve što je kodirano javnim ključem može se dešifrirati samo odgovarajućim privatnim ključem. Kad se korisnik prijavi putem internetske usluge koja podržava FIDO provjeru autentičnosti, usluga generira par ključeva i sprema javni ključ na svoje poslužitelje. Privatni ključ pohranjuje se samo na korisnikov uređaj. Prilikom prijave klijentu se predstavlja kriptografski izazov generiran javnim ključem koji se može riješiti samo privatnim ključem. Korisnici moraju potvrditi svoj identitet svojim uređajem (putem otiska prsta, lica ili PIN-a) kako bi otključali svoj privatni ključ i riješili izazov.
Prednost ovog modela je što pruža multifaktornu provjeru autentičnosti bez potrebe za pohranjivanjem i razmjenom lozinki. Čak i ako hakeri uspiju probiti poslužitelje davatelja usluga, imat će pristup samo javnim ključevima, koji su beskorisni bez odgovarajućih privatnih ključeva pohranjenih na korisnikovim uređajima. Ako hakeri ukradu korisnikov uređaj, i dalje će morati zaobići provjeru lokalnog identiteta da bi dobili privatni ključ. Iz korisničke perspektive, ovo ukida potrebu za pamćenjem dugačkih, složenih lozinki za svaki račun, istovremeno pružajući vrhunsku sigurnost.
Ali FIDO-ovo veće postignuće dobija široku podršku tehnološke industrije. Savez je okupio velika imena kao što su Google, Microsoft, Amazon i Intel kako bi razvili standarde koje je lako implementirati na različitim vrstama uređaja i operativnim sustavima.
"Tvrtke koje su se udružile u FIDO Alliance shvatile su da bi zamjena lozinki za internetsku provjeru autentičnosti mogla ikad postati komercijalno održiva u mjerilu kombinacijom besplatnih i otvorenih tehnoloških standarda, izuzetno superiornog korisničkog iskustva i bitno drugačijim pristupom sigurnosnom modelu., "Kaže McDowell.
FIDO je nedavno objavio FIDO2, proširenje na svoj standard koji preglednicima nudi podršku za provjeru autentičnosti javnog ključa i širok raspon okvira aplikacija. Standard podržavaju Windows 10, Google Play usluge na Androidu te web preglednici Chrome, Firefox i Edge. WebKit, tehnologija koja stoji iza Appleovog preglednika Safari, uskoro bi također mogla dodati podršku za FIDO2.
"Standard FIDO2 omogućuje zamjenu slabe provjere autentičnosti na lozinci jakom provjerom autentičnosti utemeljene na hardveru koja koristi kriptografiju javnih ključeva", kaže Ehrensvard, čija je tvrtka Yubico među ključnim članovima FIDO-a. "Ovaj standard omogućuje provjeru autentičnosti bez lozinke u nekoliko oblika, uključujući putem USB-a i NFC-a" tap-and-go ", što pruža optimalno korisničko iskustvo i drastično poboljšava sigurnost i produktivnost."
Kada će lozinke napokon nestati?
Iako je industrija prešla dug put prema razvoju alternativnih metoda provjere autentičnosti, lozinke neće nestati preko noći. "Trebali bismo uzeti u obzir da imamo puno" naslijeđenog "softverskog i informacijskog sustava. Zato nije uvijek moguće jednostavno promijeniti uspostavljena pravila provjere autentičnosti, uključujući ona koja se temelje na zaporkama", kaže Momot, izvršni direktor REMME-a.
Ostali stručnjaci poput Sandor Palfy, CTO-a tvrtke LogMeIn, vjeruju da će lozinke ostati središnje područje identificiranja korisnika. Također vjeruje da bi se industrija trebala usredotočiti na poboljšanje iskustva s lozinkom.
- Najbolji upravitelji lozinki za 2019. Najbolji menadžeri lozinki za 2019. godinu
- Što je lozinka? Svirajte neku glazbu i prijavite se putem Brainwaves Što je lozinka? Svirajte neku glazbu i prijavite se putem programa Brainwaves
- Lažne e-poruke s lažom pomoću starih lozinki kako bi vas prevarili od novca
"Dok nije dostupna univerzalna pokrivenost multifaktornom autentifikacijom (ili čak ponašanjem ili kontekstualnom provjerom identiteta), tvrtke moraju ulagati u jačanje usluga zaštićenih lozinkom koje se koriste u cijeloj organizaciji", kaže Palfy.
"Sjećanje na jedinstvene, složene lozinke za sve naše radne i osobne račune ne podudara se s prirodnim ljudskim ponašanjem. Upotrebom alata kao što su upravitelji lozinki pamćenje više lozinki trebalo bi biti prošlost, jer se korisnici moraju sjetiti samo jedne glavne lozinke, ", kaže Palfy, čija je tvrtka programer upravitelja lozinki LastPass.
No McDowellu, koji je na čelu FIDO-a od 2014. godine, potraga za iskorjenjivanjem zaporki napokon doseže posljednju fazu. "Danas se budućnost bez šifre postaje stvarnost, jedna po jedna aplikacija. Očekujem da će se obrasci za unos lozinke otprilike rijetko naći na web stranicama jer su javne telefonske govornice ovih dana u javnim prostorima. iz istog razloga - imamo isplativu, sveprisutnu alternativu koja nudi puno bolje korisničko iskustvo “, kaže on.
