Зміст:
- Що запобігає аутентифікації без пароля?
- Федери приходять стукати
- Потрапляння на ту ж сторінку
- Коли паролі нарешті відійдуть?
Відео: Настя и сборник весёлых историй (Вересень 2024)
У 2012 році Метт Хонан ( Wired ) Метт Хонан писав про згубні наслідки прив’язки всього цифрового життя до рядка літер, цифр та символів. Хонан - лише один із незліченних людей, чиї онлайн-акаунти були викрадені після того, як хакери виявили свої паролі; у списку жертв також є керівники високотехнологічних технологій, зокрема Марк Цукерберг.
І все-таки паролі залишаються основним методом захисту онлайн-акаунтів.
Немало інновацій у просторі аутентифікації. У 2016 році я писав про технології аутентифікації, які забезпечували безпечні та прості у використанні альтернативи паролів, але до недавнього часу жоден не досяг масового прийняття.
Однак тепер є надія, що ми зможемо нарешті позбутися довгих складних паролів завдяки ряду правил та відкритих стандартів, які полегшують та заохочують впровадження методів аутентифікації без паролів в онлайн-додатках.
Що запобігає аутентифікації без пароля?
"Величезна кількість паролів, необхідних у нашому повсякденному житті, стала тягарем, саме тому ми бачимо стільки повторно використаних або слабких статичних даних", - говорить Стіна Еренсвард, генеральний директор і засновник компанії Yubico, яка виробляє ключі фізичної безпеки, такі як Yubikey 5 NFC . "Нам потрібно було подумати над тим, як вирішити цю проблему таким чином, що спрощує процес входу, додаючи найвищий рівень безпеки. До цих пір насправді не було можливості зробити обидва ці речі успішно".
Уразливості паролів не втрачаються в організаціях, які продовжують їх використовувати. Але перш ніж розглянути альтернативи, вони повинні врахувати безпеку, зручність використання, доступність та витрати на технологію.
"Причина, по якій ми раніше не заміняли паролі чимось більш надійною, полягає в тому, що всі альтернативи, які, можливо, були б кращими для безпеки або зручності використання, не були всюди доступні для всіх форм і розмірів пристроїв, підключених до Інтернету, і не були витрачені на них -ефективно, - каже Бретт МакДауелл, виконавчий директор Альянсу FIDO, консорціуму, який розробляє стандарти аутентифікації.
Також введення пароля - найменш дорога і найпростіша технологія аутентифікації, яку можна впровадити на нових веб-сайтах і мобільних додатках. І хоча такі альтернативи, як технологія біометричної автентифікації, стали більш доступними на мобільних пристроях, введення пароля залишається всюдисущою особливістю, яку підтримують усі пристрої. Його видалення дозволить багатьом користувачам отримати доступ до цих послуг.
Відсутність стандартів також ускладнює відхід від паролів. Більшість організацій не могли перенести накладні витрати на додавання підтримки для десятків різних технологій аутентифікації в клієнтських додатках та серверах сервера.
І звичайно, завжди є людський фактор. "Деякі компанії та приватні особи продовжують вважати, що кібер-атаки на них не постраждають і що не цікавлять кіберзлочинців. Відсутність бажання та ресурсів для зміни існуючих рішень перешкоджає прийняттю нових рішень аутентифікації без паролів", - каже Алекс Момот, генеральний директор REMME, стартап, що розробляє децентралізовану систему аутентифікації.
Федери приходять стукати
Останніми роками спостерігається підвищення рівня обізнаності щодо безпеки в Інтернеті та конфіденційності користувачів, особливо серед державних установ та регуляторів. Хоча раніше організації могли відмовитись від порушень даних та інцидентів із безпекою, які мають мало правових та фінансових наслідків, це вже не так.
"Регулятори настільки втомилися від заголовків щодо порушення даних, як і будь-хто інший, і вони починають вживати заходів, внаслідок чого більше підприємств додають сильну автентифікацію до своїх методів захисту даних", - каже МакДоуелл.
Серед найбільш релевантних регуляторних дій - Загальний регламент захисту даних (GDPR) - набір правил, що визначають, як компанії збирають, обробляють та захищають дані користувачів. GDPR також визначає стандарти для сильної аутентифікації користувачів. Компанії, які не дотримуються правил та захищають дані своїх клієнтів, будуть суворо штрафовані. GDPR застосовується лише до юрисдикції ЄС, але оскільки багато компаній, які не знаходяться в ЄС, все ще ведуть бізнес у регіоні, це вважається золотим стандартом безпеки.
"У той час, коли все більше і більше компаній приймають потужну автентифікацію, і все більше і більше порушень даних спричинені компромісними паролями, бізнесу буде все складніше звернутися до регулятора GDPR, що автентифікація лише паролем є відповідна безпека, потенційно піддаючи їхню компанію штрафам, що набагато дорожче, ніж ціна переходу від паролів до справжньої сильної автентичності », - говорить МакДауелл.
Інші нормативно-правові акти більш чіткі щодо використання технології аутентифікації. Приклад - Директива про платіжні послуги 2 (PSD2), яка регулює електронну комерцію та онлайн-фінансові послуги в Європі та робить двофакторну автентифікацію (2FA) обов'язковою. PSD2 також заохочує використання карток безпеки, мобільних пристроїв та біометричних сканерів для поліпшення роботи користувачів без шкоди для безпеки.
А Національний інститут стандартів і технологій (NIST), який визначає критерії для різних галузей промисловості, у своїх керівництвах щодо цифрових ідентифікацій зазначає, що організації повинні відійти від паролів та одноразових паролів і прийняти сучасну потужну автентифікацію.
"Більш конкретно, NIST рекомендує аутентифікацію, при якій ваш сучасний пристрій створює та використовує криптографічні приватні ключі як ваші нові облікові дані облікового запису та надійно зберігає їх на вашому персональному пристрої так само, як і більшість смартфонів тепер надійно зберігає ваші дані відбитків пальців", - говорить МакДоуелл.
Існує дискусія щодо того, чи буде державне регулювання гальмувати чи заохочувати інновації. Але в цей момент нам може знадобитися регулятивний поштовх до прийняття більш безпечних механізмів аутентифікації.
"Уряди можуть відігравати вирішальну роль у прийнятті відкритих стандартів", - каже Еренсвард. "Погляньте, наприклад, на ремінь безпеки. Це теж є відкритим стандартом, і його використання регулювалося урядом. Через це сьогодні на дорозі в 10 разів більше автомобілів, але менша загальна кількість ДТП зі смертельними випадками . "
Потрапляння на ту ж сторінку
Широка заміна автентифікації, яка використовується лише паролем, потребує більше, ніж норм. Без набору стандартних протоколів організації та компанії будуть намагатися знайти технологію аутентифікації, яка б відповідала їм правилам безпеки, роблячи доступними для своїх користувачів свої програми.
Це була проблема, яку FIDO було вирішено вирішити. Автентифікація FIDO базується на наборі безкоштовних та відкритих технологічних стандартів, розроблених у партнерстві з Всесвітньою консорціумом веб-сторінок (W3C). Метою є створення інтероперабельності між пристроями та послугами шляхом надання можливості всій галузі побутової електроніки інтегрувати технологію у свої продукти та платформи.
FIDO замінює паролі криптографією відкритого ключа. Це означає, що замість паролів користувачі ототожнюють пару відкритих та приватних ключів. Все, що зашифроване відкритим ключем, може бути розшифровано лише відповідним приватним ключем. Коли користувач реєструється в Інтернеті, який підтримує FIDO-аутентифікацію, служба генерує пару ключів і зберігає відкритий ключ на своїх серверах. Приватний ключ зберігається лише на пристрої користувача. Під час входу в систему клієнтській програмі надається криптографічний виклик, згенерований відкритим ключем, який може бути вирішений лише приватним ключем. Користувачі повинні підтвердити свою особу своїм пристроєм (за допомогою відбитків пальців, обличчя чи PIN-коду), щоб розблокувати їх приватний ключ і вирішити проблему.
Перевага цієї моделі полягає в тому, що вона забезпечує багатофакторну автентифікацію, не вимагаючи зберігання та обміну паролями. Навіть якщо хакерам вдасться зламати сервери постачальника послуг, вони отримають доступ лише до відкритих ключів, які марні без відповідних приватних ключів, що зберігаються на пристроях користувачів. Якщо хакери вкрадуть пристрій користувача, їм все одно доведеться обійти локальну перевірку ідентичності, щоб отримати приватний ключ. З точки зору користувача, це уникає необхідності запам'ятовувати довгі, складні паролі для кожного облікового запису, забезпечуючи високу безпеку.
Але більшим досягненням FIDO є отримання широкої підтримки з боку технологічної галузі. Альянс об'єднав такі великі імена, як Google, Microsoft, Amazon та Intel, щоб розробити стандарти, які легко було б реалізувати для різних типів пристроїв та операційних систем.
"Підприємства, які об'єдналися для створення FIDO Alliance, зрозуміли, що заміна паролів для аутентифікації в Інтернеті може коли-небудь стати комерційно життєздатною в масштабах за допомогою комбінації вільних і відкритих технологічних стандартів, надзвичайно чудового досвіду користувачів та принципово іншого підходу до моделі безпеки. ", - каже МакДауелл.
Нещодавно FIDO випустила FIDO2, розширення до свого стандарту, що додає підтримку аутентифікації відкритих ключів для браузерів та широкий спектр рамок прикладних програм. Стандарт підтримується системами Windows 10, Google Play Services на Android та веб-браузерами Chrome, Firefox та Edge. WebKit, технологія браузера Safari від Apple, незабаром може також додати підтримку FIDO2.
"Стандарт FIDO2 дозволяє замінити слабку автентифікацію на основі паролів сильною аутентифікацією на основі апаратних засобів, яка використовує криптографію відкритого ключа", - каже Еренсвард, компанія Yubico входить до числа ключових членів FIDO. "Цей стандарт дозволяє беззахисну автентифікацію в декількох формах, в тому числі через USB та NFC" тактично ", що забезпечує оптимальну роботу користувачів та суттєво покращує безпеку та продуктивність."
Коли паролі нарешті відійдуть?
Хоча галузь пройшла довгий шлях до розробки альтернативних методів аутентифікації, паролі не зникнуть протягом ночі. "Ми повинні врахувати, що у нас є багато" застарілих "програмних та інформаційних систем. Ось чому не завжди можливо легко змінити встановлені правила аутентифікації, включаючи правила, засновані на паролі", - каже Момот, виконавчий директор REMME.
Інші експерти, такі як Sandor Palfy, CTO з LogMeIn, вважають, що паролі залишаться центральною стороною для визначення користувачів. Він також вважає, що галузь повинна зосередитися на вдосконаленні роботи з паролем.
- Кращі менеджери паролів на 2019 рік. Найкращі менеджери паролів на 2019 рік
- Що таке пароль? Відтворити музику та увійти через Brainwaves Що пароль? Відтворити музику та увійти через Brainwaves
- Електронні повідомлення електронної пошти з використанням старого пароля, щоб обманути вас без грошей
"Доки не буде доступно універсальне покриття багатофакторною автентифікацією (або навіть поведінковою або контекстною автентифікацією), компаніям потрібно інвестувати в посилення захищених паролем служб, які використовуються для всієї організації", - говорить Палфі.
"Запам'ятовування унікальних, складних паролів для всіх наших робочих та особистих облікових записів не співпадає з природною поведінкою людини. Використовуючи такі інструменти, як менеджери паролів, запам'ятовування декількох паролів повинно бути минулим, тому що користувачі повинні пам'ятати лише один головний пароль, "каже Palfy, компанія якої розробник менеджера паролів LastPass.
Але для МакДоуелла, який перебуває на чолі FIDO з 2014 року, прагнення викорінити паролі нарешті доходить до завершальних етапів. "Сьогодні майбутнє без паролів стає реальністю, по одній програмі. За кілька років, я очікую, що форми введення пароля приблизно так рідко можна зустріти на веб-сторінках. З тієї ж причини - у нас є вигідна, всюдисуща альтернатива, яка пропонує набагато кращий досвід користувача », - говорить він.
