Съдържание:
- Какво предотвратява удостоверяване без парола?
- Федерите чукат
- Попадане на една и съща страница
- Кога най-накрая ще отпаднат паролите?
Видео: unboxing turtles slime surprise toys learn colors (Септември 2024)
През 2012 г. Мат Хонан на Wired писа за пагубните последици от обвързването на целия ви дигитален живот с низ от букви, цифри и символи. Хонан е само един от безброй хора, чиито онлайн акаунти бяха отвлечени, след като хакери откриха паролите си; списъкът на жертвите съдържа и високотехнологични ръководители на технологии, включително Марк Цукерберг.
И все пак, паролите остават основният метод за защита на онлайн акаунти.
Не е имало малко количество иновации в пространството за удостоверяване. През 2016 г. писах за автентификационните технологии, които осигуряват сигурни и лесни за използване алтернативи на паролите, но доскоро никоя не беше постигнала масово приемане.
Сега обаче има надежда, че най-накрая можем да извадим дългите сложни пароли благодарение на поредица от регулации и отворени стандарти, които улесняват и насърчават прилагането на методи за удостоверяване без пароли в онлайн приложенията.
Какво предотвратява удостоверяване без парола?
"Огромният брой пароли, необходими в ежедневието ни, се превърна в тежест, поради което виждаме толкова много повторно използвани или слаби статични данни", казва Stina Ehrensvard, изпълнителен директор и основател на Yubico, която произвежда ключове за физическа защита като Yubikey 5 NFC, "Трябваше да помислим как да се справим с този проблем по начин, който опростява процеса на влизане, като същевременно добавя най-високото ниво на сигурност. Досега наистина не е имало начин да направим и двете неща успешно."
Уязвимостите на паролите не се губят от организациите, които продължават да ги използват. Но преди да обмислят алтернативи, те трябва да вземат предвид сигурността, използваемостта, наличността и разходите на технологията.
„Причината, че досега не сме заменяли паролите с нещо по-надеждно, е, че всички алтернативи, които може би са били по-добри за сигурност или използваемост, не са били повсеместно достъпни за всички форми и размери на свързани с интернет устройства, нито са били оскъпявани -ефективно ", казва Брет Макдауъл, изпълнителен директор на FIDO Alliance, консорциум, който разработва стандарти за удостоверяване.
Също така въвеждането на парола е най-евтината и лесна технология за удостоверяване, която се прилага в нови уебсайтове и мобилни приложения. И докато алтернативи като технологията за биометрично удостоверяване стават все по-широко достъпни на мобилни устройства, въвеждането на парола остава повсеместната функция, която поддържат всички устройства. Премахването му ще попречи на много потребители да имат достъп до тези услуги.
Липсата на стандарти също затруднява отдалечаването от паролите. Общите разходи за добавяне на поддръжка за десетки различни технологии за удостоверяване в клиентските приложения и задните сървъри са нещо, което повечето организации не биха могли да понесат.
И разбира се, винаги има човешкия фактор. "Някои компании и лица продължават да вярват, че няма да бъдат засегнати от кибератаки и че не представляват интерес за киберпрестъпниците. Липсата на желание и ресурси за промяна на съществуващите решения пречи на приемането на нови решения за удостоверяване на парола без парола", казва Алекс Момот, изпълнителен директор на REMME, стартиращ разработчик на децентрализирана система за удостоверяване.
Федерите чукат
През последните години се наблюдава повишаване на информираността относно онлайн сигурността и поверителността на потребителите, особено сред правителствените агенции и регулатори. Докато по-рано организациите можеха да намалят нарушенията на данните и инциденти със сигурността с малко правни и финансови последици, това вече не е така.
"Регулаторите са уморени от заглавия за нарушаване на данните, както всеки друг, и те започват да предприемат действия, което води до това, че повече фирми добавят силна автентификация към своите практики за защита на данните", казва Макдауъл.
Сред най-подходящите регулаторни действия е Общият регламент за защита на данните (GDPR), набор от правила, които определят как компаниите събират, обработват и защитават потребителски данни. GDPR също така определя стандартите за силна автентификация на потребителите. Компаниите, които не спазват правилата и защитават данните на своите клиенти, ще бъдат строго глобени. GDPR се прилага само за юрисдикцията на ЕС, но тъй като много компании, които не са базирани в ЕС, все още правят бизнес в региона, сега той се счита за златен стандарт за сигурност.
„Във време, когато все повече компании приемат силна автентификация и все повече нарушения на данни са причинени от компромис с паролата, за бизнеса ще бъде все по-трудно да направи случая на GDPR регулатор, че само удостоверяването с парола е подходяща сигурност, потенциално излагаща компанията им на глоби, които са далеч по-скъпи от цената на преминаване от пароли към истински силна автентификация “, казва Макдауъл.
Други специфични за индустрията разпоредби са по-изрични относно използването на технология за удостоверяване. Пример е Директива 2 за платежните услуги (PSD2), която регулира електронната търговия и онлайн финансовите услуги в Европа и прави двуфакторното удостоверяване (2FA) задължително. PSD2 също насърчава използването на защитни карти, мобилни устройства и биометрични скенери за подобряване на потребителското изживяване, без да се компрометира сигурността.
А Националният институт за стандарти и технологии (NIST), който определя критериите за различните индустрии, посочва в своите насоки за дигитална идентичност организациите да се отдалечат от паролите и еднократните пароли и да приемат съвременна силна автентификация.
„По-конкретно, NIST препоръчва удостоверяване, при което вашето модерно устройство създава и използва криптографски частни ключове като вашите нови идентификационни данни на акаунта и сигурно ги съхранява на вашето лично устройство по същия начин, по който повечето смартфони сега сигурно съхраняват данните за пръстови отпечатъци“, казва Макдауъл.
Води се дебат дали правителствената регулация ще възпрепятства или насърчи иновациите. Но в този момент може да ни е необходим регулаторен тласък към приемането на по-сигурни механизми за удостоверяване.
„Правителствата могат да играят критична роля при приемането на отворени стандарти“, казва Еренсвард. "Обърнете внимание например на предпазния колан. Той също е отворен стандарт и неговото използване беше регулирано от правителството. Поради това днес на пътя има 10 пъти повече автомобили, но по-нисък общ брой катастрофи с катастрофи."
Попадане на една и съща страница
Широко заместената само за парола автентификация се нуждае от повече от регулациите. Без набор от стандартни протоколи организациите и компаниите ще се борят да намерят технология за удостоверяване, която да ги поддържа в съответствие с разпоредбите за сигурност, като същевременно предоставят своите приложения на своите потребители.
Това беше проблемът, който FIDO трябваше да реши. Удостоверяването на FIDO се основава на набор от безплатни и отворени стандарти за технологии, разработени в партньорство с Консорциума на World Wide Web (W3C). Целта е да се създаде оперативна съвместимост между устройства и услуги, като се даде възможност на цялата потребителска електроника да интегрира технологията в своите продукти и платформи.
FIDO замества паролите с криптография с публичен ключ. Това означава, че вместо паролите, потребителите се идентифицират с двойка публични и частни ключове. Всичко, криптирано с публичен ключ, може да се дешифрира само чрез съответния му частен ключ. Когато потребител се регистрира с онлайн услуга, която поддържа FIDO удостоверяване, услугата генерира двойка ключове и съхранява публичния ключ на своите сървъри. Частният ключ се съхранява само на устройството на потребителя. При влизане в системата клиентското приложение се представя с криптографско предизвикателство, генерирано с публичния ключ, което може да бъде разрешено само с частния ключ. Потребителите трябва да потвърдят самоличността си с устройството си (чрез пръстов отпечатък, лице или ПИН код), за да отключат личния си ключ и да разрешат предизвикателството.
Предимството на този модел е, че той осигурява многофакторна автентификация, без да изисква съхранение и обмен на пароли. Дори ако хакерите успеят да нарушат сървърите на доставчика на услуги, те ще получат достъп само до публични ключове, които са безполезни без съответните частни ключове, съхранявани на устройствата на потребителите. Ако хакерите откраднат устройство на потребителя, те все още ще трябва да заобиколят проверката на местната идентичност, за да получат частния ключ. От гледна точка на потребителя, това премахва необходимостта от запаметяване на дълги сложни пароли за всеки акаунт, като същевременно осигурява превъзходна сигурност.
Но по-голямото постижение на FIDO е получаването на широка подкрепа от технологичната индустрия. Алиансът обедини големи имена като Google, Microsoft, Amazon и Intel, за да разработи стандарти, които биха били лесни за изпълнение на различни типове устройства и операционни системи.
„Фирмите, които се събраха, за да формират FIDO Alliance, разбраха, че подмяната на пароли за онлайн удостоверяване може да стане някога търговска жизнеспособна в мащаб чрез комбинация от безплатни и отворени технологични стандарти, изключително превъзходно потребителско изживяване и коренно различен подход към модела на сигурност ", Казва Макдауъл.
Наскоро FIDO пусна FIDO2, разширение към стандарта си, което добавя поддръжка за удостоверяване на публични ключове за браузърите и широк спектър от рамки на приложения. Стандартът се поддържа от Windows 10, Google Play Services на Android и уеб браузърите Chrome, Firefox и Edge. WebKit, технологията зад браузъра Safari на Apple, може също да добави поддръжка за FIDO2 скоро.
„Стандартът FIDO2 дава възможност да се замени слабата автентификация, базирана на парола, със силна хардуерна автентификация, която използва криптография с публичен ключ“, казва Еренсвард, чиято компания Yubico е сред ключовите членове на FIDO. "Този стандарт дава възможност за автентификация без парола в няколко форми, включително чрез USB и NFC с натискане и пускане, което осигурява оптимално потребителско изживяване и драстично подобрява сигурността и производителността."
Кога най-накрая ще отпаднат паролите?
Въпреки че индустрията измина дълъг път към разработването на алтернативни методи за удостоверяване, паролите няма да изчезнат за една нощ. „Трябва да вземем предвид, че имаме много„ наследени “софтуерни и информационни системи. Ето защо не винаги е възможно лесно да променяте установените правила за удостоверяване, включително тези, които се базират на парола“, казва Момот, изпълнителен директор на REMME.
Други експерти като Sandor Palfy, CTO на LogMeIn, смятат, че паролите ще останат централно място за идентифициране на потребителите. Той също така смята, че индустрията трябва да се съсредоточи върху подобряването на паролата.
- Най-добрите мениджъри на пароли за 2019 г. Най-добрите мениджъри на пароли за 2019 г.
- Каква е паролата? Пуснете музика и влезте чрез Brainwaves Какво е паролата? Пуснете някои музика и влезте чрез Brainwaves
- Bogus порно имейли, използващи стари пароли, за да ви измамят от кеш Bogus порно имейли, използващи стари пароли, за да ви измамят без пари
„Докато не е налице универсално покритие с многофакторна автентификация (или дори поведенческо или контекстуално удостоверяване), компаниите трябва да инвестират в укрепване на услуги, защитени с парола, които се използват в цялата организация“, казва Palfy.
„Запомнянето на уникални, сложни пароли за цялата ни работа и лични акаунти не съвпада с естественото човешко поведение. Използвайки инструменти като мениджъри на пароли, запомнянето на няколко пароли трябва да е минало, като потребителите трябва да помнят само една главна парола, ", казва Palfy, чиято компания е разработчикът на мениджъра на пароли LastPass.
Но за Макдауъл, който е начело на FIDO от 2014 г., стремежът да изкорени паролите най-накрая достига своите крайни етапи. „Днес бъдещето без пароли се превръща в реалност, едно по едно приложение. Очаквам в рамките на няколко години формулярите за въвеждане на парола да бъдат толкова редки, че да се намерят на уеб страници, тъй като кабините за обществена телефонна връзка са в публичните пространства в наши дни, и за същата причина - имаме рентабилна, повсеместна алтернатива, която предлага много по-добро потребителско изживяване “, казва той.
