Rsa: більше ніколи не буде паролів?

Google оголосив війну паролям, але Елісдейр Фолкнер, керівник продуктів і співзасновник ThreatMetrix, вважає, що вони ведуть боротьбу з неправильною війною. "Ідея похвальна", - сказав Фолкнер. "Фактично більшість людей знову і знову використовують один і той же простий пароль. Google пропонує фізичний автентифікатор. Проблема полягає в тому, що будь-яку двофакторну схему потрібно приймати як сайти, так і користувачі. І якщо ви втратите свій автентифікатор, що потім?" Він також вказав на проблему автентифікації користувача під час первинної реєстрації.

ThreatMetrix пропонує інше рішення, яке не потребує ніяких зусиль з боку користувача. "Ми (та багато інших) вважаємо, що нам потрібно зробити безпеку частиною кожної операції за замовчуванням", - сказав Фолкнер. "Це повинно бути пасивним, а не нав'язливим. Поєднання вашої поведінки та ваших пристроїв у багатьох взаємодіях може послужити ідентифікації вас та лише вас".

Девіантна поведінка

Банки виявляють підозрілі операції, помічаючи відхилення від нормальних зразків. ThreatMetrix застосовує таку ж логіку для онлайн-аутентифікації. Вони не обов'язково знають нічого про вас особисто, але вони знають, наприклад, що певний обліковий запис електронної пошти зазвичай підключається з трьох конкретних пристроїв, як правило, в Каліфорнії. Якщо цей обліковий запис раптово починає з'єднуватися відразу кілька разів з невідомих пристроїв, можливо, в Китаї, це червоний прапор.

"Банки, сайти електронної комерції та деякі з найбільших технологічних компаній використовують ThreatMetrix", - сказав Фолкнер. "Вони стежать за ознаками поглинання рахунків та шахрайства з кредитними картками та використовують його для підтвердження нової реєстрації". Він підкреслив, що компанія суворо шукає шаблони даних, а не особисту інформацію.

Де всі знають ваше ім’я

Це має для мене багато сенсу. Коли я гуляю по конференції RSA, люди, які мене знають, кажуть "Привіт!", А люди, які не перевіряють мій значок. Якби приваблива молода жінка носила мій значок, ніхто не повірив би, що вона - я; значок - це не моя особа. Мені не потрібно вводити пароль, щоб зайти в прес-центр; вони знають, хто я. План ThreatMetrix розширює знання того, хто ви перебуваєте в кіберпросторі.

Я запитав Фолкнера, що з помилковими позитивами? Багато хто з нас відчували свої кредитні картки, тому що ми зробили покупку в незвичному місці. Не міг ThreatMetrix помилково заблокувати мій доступ до, скажімо, банківського сайту? "Ми надаємо контекст, - відповів він, - але ми не є виконавцем. Сайт може вирішити відхилити транзакцію або піддавати її додатковому контролю. Якщо тільки це не є кримінально шахрайським, вони, ймовірно, не відмовлять це прямо".

Банківська галузь уже використовує подібні методи для позначення потенційно ризикових операцій. Я цілком бачу розширення цієї моделі на автентифікацію веб-сайту. Звичайно, це може статися лише при майже універсальній участі. Якщо ця висока ціль буде досягнута, нам більше ніколи не доведеться запам'ятовувати такий пароль, як 8l3yO5JgtxIC або CorrectHorseBatteryStaple.

Щоб переглянути всі публікації з нашого висвітлення RSA, перегляньте нашу сторінку Показати звіти.