Innholdsfortegnelse:
- Hva forhindrer passordløs autentisering?
- Feds Come knocking
- Komme på samme side
- Når vil passord endelig forsvinne?
Video: Arv Genetikk Bioteknologi episode 8b antibiotikaresistens (Oktober 2024)
I 2012 skrev Wired 's Matt Honan om de katastrofale konsekvensene av å binde hele ditt digitale liv til en streng med bokstaver, sifre og symboler. Honan er bare en av utallige mennesker hvis nettkontoer ble kapret etter at hackere oppdaget passordene sine; listen over ofre inneholder også høyprofilerte teknologiledere, inkludert Mark Zuckerberg.
Og likevel er passord den viktigste metoden for å beskytte nettkontoer.
Det har ikke vært noen liten innovasjon på autentiseringsområdet. I 2016 skrev jeg om autentiseringsteknologier som ga sikre og brukervennlige alternativer til passord, men inntil nylig hadde ingen oppnådd masseadopsjon.
Nå er det imidlertid håp om at vi endelig kan grøfte lange, sammensatte passord takket være en rekke forskrifter og åpne standarder som letter og oppmuntrer til implementering av passordløse godkjenningsmetoder i online applikasjoner.
Hva forhindrer passordløs autentisering?
"Det store antallet passord som trengs i hverdagen vår, har blitt en belastning, og det er grunnen til at vi ser så mange gjenbrukte eller svake statiske referanser, " sier Stina Ehrensvard, administrerende direktør og grunnlegger av Yubico, som produserer fysiske sikkerhetsnøkler som Yubikey 5 NFC. "Vi trengte å tenke på hvordan vi skulle løse dette problemet på en måte som forenkler påloggingsprosessen mens vi legger til det høyeste sikkerhetsnivået. Til nå har det ikke virkelig vært en måte å gjøre begge disse tingene vellykket på."
Passordene til passord går ikke tapt på organisasjonene som fortsetter å bruke dem. Men før de vurderer alternativer, må de ta hensyn til sikkerheten, brukervennligheten, tilgjengeligheten og kostnadene til teknologien.
Årsaken til at vi ikke har erstattet passord før nå med noe mer pålitelig, er at alle alternativene som kan ha vært bedre for sikkerhet eller brukervennlighet, ikke har vært allestedsnærværende tilgjengelig for alle former og størrelser på internett-tilkoblede enheter, og det har heller ikke blitt kostet -effektiv, "sier Brett McDowell, administrerende direktør i FIDO Alliance, et konsortium som utvikler autentiseringsstandarder.
Dessuten er passordoppføring den billigste og enkleste autentiseringsteknologien å implementere på nye nettsteder og mobilapper. Og mens alternativer som biometrisk autentiseringsteknologi har blitt mer tilgjengelig på mobile enheter, er passordoppføring fortsatt den allestedsnærværende funksjonen som alle enheter støtter. Hvis du fjerner det, vil mange brukere ikke få tilgang til disse tjenestene.
Mangel på standarder gjør det også vanskelig å bevege seg bort fra passord. Kostnadene ved å legge til støtte for dusinvis av forskjellige autentiseringsteknologier i klientapplikasjoner og backend-servere er noe som de fleste organisasjoner ikke kunne bære.
Og selvfølgelig er det alltid den menneskelige faktoren. "Noen selskaper og enkeltpersoner fortsetter å tro at de ikke vil bli berørt av cyberangrep og at de ikke er av interesse for nettkriminelle. Mangel på lyst og ressurser til å endre eksisterende løsninger er til hinder for å ta i bruk nye passordløse autentiseringsløsninger, " sier Alex Momot, administrerende direktør i REMME, en oppstart som utvikler et desentralisert autentiseringssystem.
Feds Come knocking
De siste årene har det vært en økning i bevisstheten rundt online sikkerhet og personvern for brukere, spesielt blant offentlige etater og regulatorer. Mens tidligere kunne organisasjoner ha trukket fra seg brudd på data og sikkerhetshendelser med få juridiske og økonomiske konsekvenser, er det ikke lenger tilfelle.
"Tilsynsmyndigheter er like lei av overskrifter for datainnbrudd som noen andre, og de begynner å ta grep, noe som resulterer i at flere bedrifter legger sterk godkjenning til sin databeskyttelsespraksis, " sier McDowell.
Blant de mest relevante reguleringshandlingene er General Data Protection Regulation (GDPR), et sett med regler som definerer hvordan selskaper samler inn, håndterer og sikrer brukerdata. GDPR definerer også standarder for sterk brukerautentisering. Selskaper som ikke overholder reglene og beskytter kundenes data vil bli bøtelagt tungt. GDPR gjelder bare for EUs jurisdiksjon, men siden mange selskaper som ikke har base i EU fremdeles driver virksomhet i regionen, regnes det nå som en gylden standard for sikkerhet.
"I en tid hvor flere og flere selskaper innfører sterk autentisering, og flere og flere datainnbrudd er forårsaket av passordkompromiss, vil det bli stadig vanskeligere for en virksomhet å gjøre saken til en GDPR-regulator om at kun passordgodkjenning er passende sikkerhet, og potensielt utsette selskapet for bøter som er langt dyrere enn prisen for å flytte fra passord til ekte sterk autentisering, sier McDowell.
Andre bransjespesifikke forskrifter er mer eksplisitte om bruk av autentiseringsteknologi. Et eksempel er Payment Services Direktiv 2 (PSD2), som regulerer e-handel og online finansielle tjenester i Europa og gjør tofaktorautentisering (2FA) obligatorisk. PSD2 oppfordrer også til bruk av sikkerhetskort, mobile enheter og biometriske skannere for å forbedre brukeropplevelsen uten at det går ut over sikkerheten.
Og National Institute of Standards and Technology (NIST), som definerer kriteriene for ulike bransjer, uttaler i sine retningslinjer for digitale identiteter at organisasjoner skal bevege seg bort fra passord og passordskoder i én gang og ta i bruk moderne sterk autentisering.
"Mer spesifikt, anbefaler NIST autentisering der den moderne enheten din oppretter og bruker kryptografiske private nøkler som de nye kontoopplysningene dine og lagrer dem sikkert på den personlige enheten din på samme måte som de fleste smarttelefoner nå lagrer fingeravtrykkdataene dine på en sikker måte, " sier McDowell.
Det er debatt om regjeringens regulering vil hemme eller oppmuntre til innovasjon. Men på dette tidspunktet kan det hende vi trenger et regulatorisk press mot å ta i bruk mer sikre autentiseringsmekanismer.
"Regjeringer kan spille en kritisk rolle i vedtakelsen av åpne standarder, " sier Ehrensvard. "Ta en titt på bilbeltet, for eksempel. Det er også en åpen standard, og bruken ble regulert av myndighetene. På grunn av dette er det 10 ganger flere biler på veien i dag, men et lavere totalt antall dødsulykker i bil."
Komme på samme side
Utbredt utskifting av godkjenning kun med passord trenger mer enn forskrifter. Uten et sett med standardprotokoller vil organisasjoner og selskaper kjempe for å finne en autentiseringsteknologi som holder dem i tråd med sikkerhetsbestemmelser mens de gjør applikasjonene tilgjengelige for brukerne.
Det var problemet FIDO var satt til å løse. FIDO Authentication er basert på et sett med gratis og åpne teknologistandarder, utviklet i samarbeid med World Wide Web Consortium (W3C). Målet er å skape interoperabilitet mellom enheter og tjenester ved å gjøre det mulig for hele forbrukerelektronikkindustrien å integrere teknologien i sine produkter og plattformer.
FIDO erstatter passord med offentlig nøkkelkryptografi. Dette betyr at i stedet for passord, blir brukerne identifisert med et par offentlige og private nøkler. Alt som er kryptert med en offentlig nøkkel kan dekrypteres bare med den tilhørende private nøkkelen. Når en bruker registrerer seg med en online tjeneste som støtter FIDO-godkjenning, genererer tjenesten et nøkkelpar og lagrer den offentlige nøkkelen på serverne sine. Den private nøkkelen lagres bare på brukerens enhet. Ved innlogging blir klientprogrammet presentert med en kryptografisk utfordring generert med den offentlige nøkkelen, som bare kan løses av den private nøkkelen. Brukere må bekrefte identiteten sin med enheten sin (gjennom fingeravtrykk, ansikt eller PIN-kode) for å låse opp sin private nøkkel og løse utfordringen.
Fordelen med denne modellen er at den gir autentisering med flere faktorer uten å kreve lagring og utveksling av passord. Selv om hackere klarer å bryte serverne til tjenesteleverandøren, vil de bare få tilgang til offentlige nøkler, som er ubrukelige uten de tilsvarende private nøklene som er lagret på brukernes enheter. Hvis hackerne stjeler en brukers enhet, vil de fortsatt måtte omgå den lokale identitetsbekreftelsen for å få den private nøkkelen. Fra brukerens perspektiv unngår dette behovet for å huske lange, komplekse passord for hver konto, samtidig som den gir overlegen sikkerhet.
Men FIDOs større prestasjon er å få bred støtte fra teknologibransjen. Alliansen har samlet store navn som Google, Microsoft, Amazon og Intel for å utvikle standarder som ville være enkle å implementere på forskjellige enhetstyper og operativsystemer.
Virksomhetene som kom sammen for å danne FIDO Alliance forsto at å erstatte passord for online autentisering bare noen gang kunne bli kommersielt levedyktig på skala gjennom en kombinasjon av gratis og åpen teknologistandarder, en enormt overlegen brukeropplevelse og en grunnleggende annen tilnærming til sikkerhetsmodellen., "Sier McDowell.
FIDO ga nylig ut FIDO2, en utvidelse til standarden som legger til støtte for offentlig nøkkelgodkjenning til nettlesere og et bredt spekter av applikasjonsrammer. Standarden støttes av Windows 10, Google Play Services på Android og Chrome, Firefox og Edge nettlesere. WebKit, teknologien bak Apples Safari-nettleser, vil kanskje også legge til støtte for FIDO2.
"FIDO2-standarden muliggjør erstatning av svak passordbasert autentisering med sterk maskinvarebasert autentisering som benytter kryptografi av offentlig nøkkel, " sier Ehrensvard, hvis selskap Yubico er blant de viktigste medlemmene i FIDO. "Denne standarden gir mulighet for passordløs autentisering i flere former, inkludert via USB og tap-and-go NFC, som gir en optimal brukeropplevelse, og forbedrer drastisk sikkerhet og produktivitet."
Når vil passord endelig forsvinne?
Selv om bransjen har kommet langt i retning av å utvikle alternative autentiseringsmetoder, forsvinner ikke passord over natten. "Vi bør ta hensyn til at vi har mye 'arvelig' programvare og informasjonssystemer. Det er derfor det ikke alltid er mulig å endre etablerte regler for godkjenning, inkludert de som er passordbasert, " sier Momot, administrerende direktør fra REMME.
Andre eksperter som Sandor Palfy, CTO for LogMeIn, tror passord vil forbli en sentral fasit for å identifisere brukere. Han mener også bransjen bør fokusere på å forbedre passordopplevelsen.
- De beste passordadministratorene for 2019 De beste passordadministratorene for 2019
- Hva er passordet? Spill litt musikk og logg inn via Brainwaves Hva er passordet? Spill litt musikk og logg deg på via Brainwaves
- Bogus Porno e-poster ved å bruke gamle passord for å lure deg ut av penger Bogus Porno e-poster med gamle passord for å lure deg ut av kontanter
"Inntil universell dekning med multifaktorautentisering (eller til og med atferdsmessig eller kontekstuell autentisering) er tilgjengelig, må selskaper investere i å styrke passordbeskyttede tjenester som brukes i hele organisasjonen, " sier Palfy.
"Å huske unike, komplekse passord for alle våre arbeids- og personlige kontoer stemmer ikke overens med naturlig menneskelig oppførsel. Ved å bruke verktøy som passordadministratorer, bør huske flere passord være en saga blott, med brukere som bare trenger å huske ett hovedpassord, "sier Palfy, hvis selskap er utvikler av LastPass passordbehandler.
Men til McDowell, som har vært ved roret til FIDO siden 2014, når endelig søken etter å rote ut passord. "I dag blir den passordløse fremtiden en realitet, en applikasjon av gangen. I løpet av få år forventer jeg at passordoppføringsskjemaer vil være omtrent like sjeldne å finne på websider som offentlige telefonkiosker er i offentlige rom i disse dager, og for samme grunn - vi har et kostnadseffektivt, allestedsnærværende alternativ som tilbyr en mye bedre brukeropplevelse, "sier han.
