Domov názory Prečo by heslá mohli (konečne) zmiznúť Ben Dickson

Prečo by heslá mohli (konečne) zmiznúť Ben Dickson

Obsah:

Video: Revolution OS - movie about GNU/Linux history (English subtitle) (November 2024)

Video: Revolution OS - movie about GNU/Linux history (English subtitle) (November 2024)
Anonim

V roku 2012 Matt Honan od Wired napísal o katastrofálnych následkoch viazania celého digitálneho života na reťazec písmen, číslic a symbolov. Honan je jedným z nespočetných ľudí, ktorých online účty boli unesené potom, ako hackeri objavili svoje heslá; zoznam obetí obsahuje aj špičkových vedúcich pracovníkov v oblasti technológií vrátane Marka Zuckerberga.

Po celé roky hovoríme o potrebe nahradiť heslá bezpečnejšími a spoľahlivejšími metódami. Už minulý mesiac OSN náhodou odhalila heslá zamestnancov na verejne zdieľaných doskách spoločnosti Trello a v dokumentoch Google. Dokonca aj nedávny hack Facebooku súvisel so slabými autentifikačnými systémami založenými na heslách. A miliardy ukradnutých hesiel sa menia na tmavých webových trhoch.

Heslá však naďalej zostávajú hlavnou metódou ochrany účtov online.

V autentifikačnom priestore nedošlo k malému množstvu inovácií. V roku 2016 som písal o autentifikačných technológiách, ktoré poskytovali bezpečné a ľahko použiteľné alternatívy k heslám, ale donedávna sa hromadnému osvojeniu nepodarilo dosiahnuť.

Teraz však existuje nádej, že konečne dokážeme priekopovať dlhé, zložité heslá vďaka rade predpisov a otvoreným štandardom, ktoré uľahčujú a podporujú implementáciu metód overovania bez hesla v online aplikáciách.

Čo zabraňuje overovaniu bez hesla?

„Obrovské množstvo hesiel potrebných v našom každodennom živote sa stalo bremenom, a preto vidíme toľko opakovaných alebo slabých statických údajov, “ hovorí Stina Ehrensvard, generálna riaditeľka a zakladateľka spoločnosti Yubico, ktorá vyrába fyzické bezpečnostné kľúče, ako napríklad Yubikey 5 NFC., „Potrebovali sme premýšľať o tom, ako vyriešiť tento problém spôsobom, ktorý zjednodušuje proces prihlásenia a zároveň dodáva najvyššiu úroveň zabezpečenia. Doteraz neexistoval spôsob, ako úspešne zvládnuť obe tieto veci.“

Chyby organizácií, ktoré ich naďalej používajú, sa nestratia. Pred zvážením alternatív však musia zohľadniť bezpečnosť, použiteľnosť, dostupnosť a náklady na technológiu.

„Dôvodom, prečo sme doteraz nenahradili heslá niečím spoľahlivejším, je to, že všetky alternatívy, ktoré mohli byť lepšie z hľadiska zabezpečenia alebo použiteľnosti, neboli všadeprítomne dostupné pre všetky tvary a veľkosti zariadení pripojených na internet, ani neboli náklady - neefektívne, “hovorí Brett McDowell, výkonný riaditeľ združenia FIDO Alliance, konzorcia, ktoré vyvíja autentifikačné štandardy.

Zadanie hesla je tiež najlacnejšou a najjednoduchšou technológiou overovania, ktorá sa implementuje do nových webových stránok a mobilných aplikácií. A zatiaľ čo alternatívy, ako napríklad technológia biometrickej autentifikácie, sa v mobilných zariadeniach stali dostupnejšie, zadávanie hesla zostáva všadeprítomnou funkciou, ktorú všetky zariadenia podporujú. Jeho odstránenie by bránilo mnohým používateľom v prístupe k týmto službám.

Nedostatok štandardov tiež sťažuje presun od hesiel. Režijné náklady spojené s pridaním podpory pre desiatky rôznych technológií autentifikácie v klientskych aplikáciách a serveroch typu backend sú väčšinou, ktoré väčšina organizácií nemôže znášať.

A samozrejme, vždy existuje ľudský faktor. „Niektoré spoločnosti a jednotlivci sú naďalej presvedčení, že nebudú zasiahnutí kybernetickými útokmi a že ich nezaujímajú kybernetickí zločinci. Nedostatok túžby a zdrojov na zmenu existujúcich riešení brzdí prijatie nových riešení na overenie bez hesla, “ hovorí Alex Momot, generálny riaditeľ REMME, startup, ktorý vyvíja decentralizovaný autentifikačný systém.

Federáli prídu klepať

V posledných rokoch sa zvýšila informovanosť o online bezpečnosti a ochrane súkromia používateľov, najmä medzi vládnymi agentúrami a regulačnými orgánmi. Zatiaľ čo predtým organizácie mohli odhaliť porušenia údajov a bezpečnostné incidenty s malými právnymi a finančnými dôsledkami, to už neplatí.

„Regulačné orgány sú unavené z titulkov o narušení bezpečnosti údajov ako ktokoľvek iný a začínajú konať, čo vedie k väčšiemu počtu spoločností, ktoré k svojim postupom ochrany údajov pridávajú silnú autentizáciu, “ hovorí McDowell.

Medzi najdôležitejšie regulačné opatrenia patrí všeobecné nariadenie o ochrane údajov (GDPR), súbor pravidiel, ktoré definujú, ako spoločnosti zhromažďujú, spracúvajú a zabezpečujú užívateľské údaje. GDPR tiež definuje štandardy pre silné autentifikácie používateľov. Spoločnostiam, ktoré nedodržiavajú pravidlá a chránia údaje svojich zákazníkov, bude uložená pokuta. GDPR sa vzťahuje iba na jurisdikciu EÚ, ale keďže mnoho spoločností, ktoré nemajú sídlo v EÚ, stále podnikajú v tomto regióne, teraz sa považuje za zlatý štandard bezpečnosti.

„V čase, keď čoraz viac spoločností prijíma silnú autentizáciu a stále viac a viac porušení údajov je spôsobených kompromitáciou s heslom, bude pre spoločnosť čoraz ťažšie predložiť regulačnému orgánu GDPR dôvod, že overovanie iba pomocou hesla je primeraná bezpečnosť, ktorá potenciálne vystavuje ich spoločnosť pokutám, ktoré sú oveľa drahšie ako cena prechodu od hesiel k skutočne silnej autentifikácii, “hovorí McDowell.

Iné predpisy špecifické pre dané odvetvie sú výslovnejšie o používaní autentifikačnej technológie. Príkladom je smernica o platobných službách 2 (PSD2), ktorá reguluje elektronické obchodovanie a finančné služby online v Európe a vyžaduje dvojfaktorové overenie (2FA). Spoločnosť PSD2 podporuje používanie bezpečnostných kariet, mobilných zariadení a biometrických skenerov na zlepšenie používateľského komfortu bez ohrozenia bezpečnosti.

A Národný inštitút pre normy a technológie (NIST), ktorý definuje kritériá pre rôzne priemyselné odvetvia, vo svojich pokynoch pre digitálnu identitu uvádza, že organizácie by sa mali vzdať hesiel a jednorazových prístupových kódov a prijať moderné silné overovanie.

„Presnejšie povedané, NIST odporúča autentifikáciu, pri ktorej vaše moderné zariadenie vytvára a používa kryptografické súkromné ​​kľúče ako vaše nové poverenia účtu a bezpečne ich ukladá do vášho osobného zariadenia rovnakým spôsobom, ako väčšina smartfónov teraz bezpečne ukladá vaše údaje o odtlačkoch prstov, “ hovorí McDowell.

Diskutuje sa o tom, či vládna regulácia obmedzí alebo podporí inovácie. V tejto chvíli by sme však mohli potrebovať regulačný tlak na prijatie bezpečnejších mechanizmov overovania.

„Vlády môžu zohrávať rozhodujúcu úlohu pri prijímaní otvorených štandardov, “ hovorí Ehrensvard. „Pozrite sa napríklad na bezpečnostný pás. Je to tiež otvorený štandard a jeho používanie bolo regulované vládou. Z tohto dôvodu je dnes na cestách desaťkrát viac automobilov, ale nižší celkový počet smrteľných nehôd na cestách."

Ako sa dostať na rovnakú stránku

Rozšírená výmena autentifikácie iba pomocou hesla si vyžaduje viac ako len predpisy. Bez sady štandardných protokolov sa organizácie a spoločnosti budú usilovať nájsť autentifikačnú technológiu, ktorá ich udržiava v súlade s bezpečnostnými predpismi a zároveň sprístupní svoje aplikácie svojim používateľom.

To bol problém, ktorý mal FIDO vyriešiť. Autentifikácia FIDO je založená na súbore bezplatných a otvorených technologických štandardov vyvinutých v spolupráci s konzorciom World Wide Web Consortium (W3C). Cieľom je vytvoriť interoperabilitu medzi zariadeniami a službami tým, že umožní celému spotrebiteľskému elektronickému priemyslu integrovať túto technológiu do svojich produktov a platforiem.

FIDO nahrádza heslá kryptografiou s verejným kľúčom. To znamená, že namiesto hesiel sú používatelia identifikovaní pomocou pár verejných a súkromných kľúčov. Čokoľvek šifrované verejným kľúčom je možné dešifrovať iba zodpovedajúcim súkromným kľúčom. Keď sa užívateľ zaregistruje v službe online, ktorá podporuje autentizáciu FIDO, služba vygeneruje pár kľúčov a uloží verejný kľúč na svoje servery. Súkromný kľúč je uložený iba v zariadení používateľa. Pri prihlásení je klientskej aplikácii predložená kryptografická výzva vygenerovaná pomocou verejného kľúča, ktorú je možné vyriešiť iba súkromným kľúčom. Používatelia musia overiť svoju totožnosť so svojím zariadením (pomocou odtlačku prsta, tváre alebo PIN), aby mohli odomknúť svoj súkromný kľúč a vyriešiť problém.

Výhodou tohto modelu je, že poskytuje viacfaktorové overenie bez potreby ukladania a výmeny hesiel. Aj keď hackeri dokážu narušiť servery poskytovateľa služieb, získajú prístup iba k verejným kľúčom, ktoré sú zbytočné bez zodpovedajúcich súkromných kľúčov uložených na zariadeniach používateľov. Ak hackeri ukradnú zariadenie používateľa, stále potrebujú obísť overenie miestnej identity, aby získali súkromný kľúč. Z pohľadu používateľa to vylučuje potrebu zapamätať si dlhé, zložité heslá pre každý účet a zároveň poskytovať vyššiu bezpečnosť.

Veľkým úspechom spoločnosti FIDO je však rozsiahla podpora zo strany technologického priemyslu. Aliancia spojila veľké mená ako Google, Microsoft, Amazon a Intel s cieľom vyvinúť štandardy, ktoré by bolo ľahké implementovať na rôzne typy zariadení a operačné systémy.

„Podniky, ktoré sa spojili, aby vytvorili Alianciu FIDO, pochopili, že nahradenie hesiel za online autentifikáciu by sa mohlo stať komerčne životaschopné iba v rozsahu prostredníctvom kombinácie bezplatných a otvorených technologických štandardov, výrazne vyššej používateľskej skúsenosti a zásadne odlišného prístupu k bezpečnostnému modelu., “Hovorí McDowell.

FIDO nedávno vydala FIDO2, rozšírenie svojho štandardu, ktoré pridáva podporu overovania pomocou verejného kľúča do prehliadačov a širokú škálu aplikačných rámcov. Štandard podporuje systém Windows 10, služby Google Play v systéme Android a webové prehliadače Chrome, Firefox a Edge. WebKit, technológia prehliadača Safari spoločnosti Apple, môže čoskoro pridať podporu pre FIDO2.

„Norma FIDO2 umožňuje nahradenie slabej autentifikácie založenej na hesle silnou hardvérovou autentifikáciou, ktorá využíva kryptografiu s verejným kľúčom, “ hovorí Ehrensvard, ktorého spoločnosť Yubico je medzi kľúčovými členmi FIDO. „Tento štandard umožňuje bezchybnú autentifikáciu vo viacerých formách, a to aj prostredníctvom USB a NFC typu„ click and go “, čo poskytuje optimálny dojem používateľa a výrazne zvyšuje bezpečnosť a produktivitu.“

Kedy heslá konečne pominú?

Hoci priemysel prešiel dlhou cestou k vývoju alternatívnych metód overovania, heslá nezmiznú cez noc. „Mali by sme vziať do úvahy, že máme veľa„ starých “softvérových a informačných systémov. Preto nie je vždy možné ľahko zmeniť zavedené pravidlá overovania vrátane pravidiel založených na heslách, “ hovorí Momot, generálny riaditeľ spoločnosti REMME.

Ďalší odborníci, ako napríklad Sandor Palfy, CTO spoločnosti LogMeIn, sa domnievajú, že heslá zostanú ústredným aspektom pri identifikácii používateľov. Je tiež presvedčený, že by sa priemysel mal zamerať na zlepšenie používania hesla.

  • Najlepší správcovia hesiel pre rok 2019 Najlepší správcovia hesiel pre rok 2019
  • Aké je heslo? Prehrajte si hudbu a prihláste sa cez Brainwaves Čo je heslo? Prehrajte si hudbu a prihláste sa cez Brainwaves
  • Falošné porno e-maily pomocou starých hesiel, aby ste sa zbavili peňazí Bogus porno e-maily pomocou starých hesiel, aby ste sa podvodom

„Kým nebude dostupné univerzálne pokrytie pomocou viacfaktorovej autentifikácie (alebo dokonca behaviorálnej alebo kontextovej autentifikácie), spoločnosti musia investovať do posilňovania služieb chránených heslom, ktoré sa používajú v celej organizácii, “ hovorí Palfy.

„Pamätanie si jedinečných komplexných hesiel pre všetky naše pracovné a osobné účty sa nezhoduje s prirodzeným ľudským správaním. Pri používaní nástrojov, ako sú správcovia hesiel, by si malo zapamätanie viacerých hesiel byť minulosťou, pričom používatelia si musia pamätať iba jedno hlavné heslo, “hovorí Palfy, ktorej spoločnosť je vývojárom manažéra hesiel LastPass.

Ale McDowellovi, ktorý je od roku 2014 v čele organizácie FIDO, sa snaha vykoreniť heslá konečne dostáva do svojich konečných fáz. „Dnes sa budúcnosť bez hesiel stáva realitou, jedna aplikácia po druhej. O niekoľko rokov očakávam, že formuláre na zadanie hesla budú na webových stránkach asi také zriedkavé, pretože verejné telefónne búdky sú dnes vo verejných priestoroch a pre verejnosť z toho istého dôvodu - máme nákladovo efektívnu, všadeprítomnú alternatívu, ktorá ponúka omnoho lepšiu používateľskú skúsenosť, “hovorí.

Prečo by heslá mohli (konečne) zmiznúť Ben Dickson