Indholdsfortegnelse:
- Hvad forhindrer adgangskodeløs godkendelse?
- Feds kommer bankende
- Kom på samme side
- Hvornår vil adgangskoder endelig gå væk?
Video: The Real Story of Paris Hilton | This Is Paris Official Documentary (Oktober 2024)
I 2012 skrev Wired 's Matt Honan om de katastrofale følger af at binde hele dit digitale liv til en række bogstaver, cifre og symboler. Honan er blot en af utallige mennesker, hvis onlinekonti blev kapret, efter at hackere opdagede deres adgangskoder; listen over ofre indeholder også højt profilerede tech-ledere, herunder Mark Zuckerberg.
Og alligevel er adgangskoder stadig den vigtigste metode til at beskytte onlinekonti.
Der har ikke været nogen lille mængde innovation i godkendelsesrummet. I 2016 skrev jeg om godkendelsesteknologier, der leverede sikre og brugervenlige alternativer til adgangskoder, men indtil for nylig havde ingen opnået masseoptagelse.
Men nu er der dog håb om, at vi endelig kan grøfte lange, komplekse adgangskoder takket være en række regler og åbne standarder, der letter og tilskynder til implementering af kodeordfri godkendelsesmetoder i online-applikationer.
Hvad forhindrer adgangskodeløs godkendelse?
"Det store antal adgangskoder, der er nødvendige i vores daglige liv, er blevet en byrde, og det er derfor, vi ser så mange genbrugte eller svage statiske legitimationsoplysninger, " siger Stina Ehrensvard, administrerende direktør og grundlægger af Yubico, der fremstiller fysiske sikkerhedsnøgler som Yubikey 5 NFC. "Vi var nødt til at tænke over, hvordan vi løser dette problem på en måde, der forenkler loginprocessen, mens vi tilføjer det højeste niveau af sikkerhed. Indtil nu har der ikke virkelig været en måde at gøre begge disse ting med succes."
Adgangskoders sårbarheder går ikke tabt på de organisationer, der fortsætter med at bruge dem. Men inden de overvejer alternativer, skal de tage hensyn til teknologiens sikkerhed, anvendelighed, tilgængelighed og omkostninger.
”Årsagen til, at vi ikke har erstattet adgangskoder før nu med noget mere pålideligt, er, at alle de alternativer, der måske har været bedre for sikkerhed eller brugervenlighed, ikke har været allestedsnærværende tilgængelige for alle former og størrelser af internetforbundne enheder, og det har heller ikke været omkostninger -effektiv, ”siger Brett McDowell, administrerende direktør for FIDO Alliance, et konsortium, der udvikler godkendelsesstandarder.
Indtastning af adgangskode er også den billigste og letteste godkendelsesteknologi til implementering på nye websteder og mobile apps. Og selvom alternativer som biometrisk godkendelsesteknologi er blevet mere udbredt på mobile enheder, forbliver adgangskodeindtastning den allestedsnærværende funktion, som alle enheder understøtter. Fjernelse af det ville forhindre mange brugere i at få adgang til disse tjenester.
Mangel på standarder gør det også svært at bevæge sig væk fra adgangskoder. De faste omkostninger ved at tilføje support til snesevis af forskellige godkendelsesteknologier i klientapplikationer og backend-servere er noget, som de fleste organisationer ikke kunne bære.
Og selvfølgelig er der altid den menneskelige faktor. "Nogle virksomheder og enkeltpersoner tror fortsat, at de ikke vil blive påvirket af cyberangreb, og at de ikke er af interesse for cyberkriminelle. En mangel på ønske om og ressourcer til at ændre eksisterende løsninger er til hinder for vedtagelsen af nye kodeordløse autentificeringsløsninger, " siger Alex Momot, administrerende direktør for REMME, en opstart, der udvikler et decentraliseret autentificeringssystem.
Feds kommer bankende
I de senere år har der været en stigning i opmærksomheden omkring brugernes online sikkerhed og privatliv, især blandt myndigheder og myndigheder. Mens tidligere kunne organisationer have trukket væk fra dataovertrædelser og sikkerhedshændelser med få juridiske og økonomiske konsekvenser, er det ikke længere tilfældet.
"Tilsynsmyndighederne er lige så trætte af overskridelser af data som nogen anden, og de begynder at tage skridt, hvilket resulterer i, at flere virksomheder tilføjer en stærk autentificering til deres databeskyttelsespraksis, " siger McDowell.
Blandt de mest relevante lovgivningsmæssige handlinger er General Data Protection Regulation (GDPR), et sæt regler, der definerer, hvordan virksomheder indsamler, håndterer og sikrer brugerdata. GDPR definerer også standarder for stærk brugergodkendelse. Virksomheder, der ikke overholder reglerne og beskytter deres kunders data, bliver bøder hårdt. GDPR gælder kun for EU-jurisdiktion, men da mange virksomheder, der ikke er hjemmehørende i EU, stadig driver forretning i regionen, betragtes det nu som en gylden standard for sikkerhed.
"På et tidspunkt, hvor flere og flere virksomheder vedtager stærk autentificering, og flere og flere dataovertrædelser er forårsaget af kodeordskompromis, bliver det stadig vanskeligere for en virksomhed at gøre sagen til en GDPR-regulator, at kun adgangskodegodkendelse er passende sikkerhed og potentielt udsætte deres virksomhed for bøder, der er langt dyrere end prisen på at flytte fra adgangskoder til ægte stærk autentificering, ”siger McDowell.
Andre branchespecifikke regler er mere eksplicit om brugen af godkendelsesteknologi. Et eksempel er Payment Services-direktiv 2 (PSD2), der regulerer e-handel og online finansielle tjenester i Europa og gør tofaktorautentisering (2FA) obligatorisk. PSD2 tilskynder også brugen af sikkerhedskort, mobile enheder og biometriske scannere til at forbedre brugeroplevelsen uden at gå på kompromis med sikkerheden.
Og National Institute of Standards and Technology (NIST), der definerer kriterierne for forskellige brancher, siger i sine retningslinjer for digitale identiteter, at organisationer skal bevæge sig væk fra adgangskoder og engangs-adgangskoder og vedtage moderne stærk autentificering.
"Mere specifikt anbefaler NIST autentificering, hvor din moderne enhed opretter og bruger kryptografiske private nøgler som dine nye kontooplysninger og gemmer dem sikkert på din personlige enhed på samme måde som de fleste smartphones nu gemmer dine fingeraftryksdata sikkert, " siger McDowell.
Der er debat om, hvorvidt regeringens regulering vil hæmme eller tilskynde til innovation. Men på dette tidspunkt har vi muligvis brug for et lovgivningsmæssigt skub i retning af vedtagelse af mere sikre godkendelsesmekanismer.
"Regeringer kan spille en kritisk rolle i vedtagelsen af åbne standarder, " siger Ehrensvard. "Se f.eks. Sikkerhedsselen. Det er også en åben standard, og dens anvendelse blev reguleret af regeringen. På grund af dette er der 10 gange flere biler på vejen i dag, men et lavere samlet antal dødsulykke af bilulykker."
Kom på samme side
Udbredt udskiftning af kun adgangskodegodkendelse kræver mere end regler. Uden et sæt standardprotokoller vil organisationer og virksomheder kæmpe for at finde en godkendelsesteknologi, der holder dem i overensstemmelse med sikkerhedsforskrifterne, mens de gør deres applikationer tilgængelige for deres brugere.
Det var problemet, FIDO var indstillet til at løse. FIDO-godkendelse er baseret på et sæt gratis og åbne teknologistandarder, der er udviklet i samarbejde med World Wide Web Consortium (W3C). Målet er at skabe interoperabilitet mellem enheder og tjenester ved at gøre det muligt for hele forbrugerelektronikindustrien at integrere teknologien i deres produkter og platforme.
FIDO erstatter adgangskoder med offentlig nøglekryptografi. Dette betyder, at i stedet for adgangskoder, identificeres brugere med et par offentlige og private nøgler. Alt, der er krypteret med en offentlig nøgle, kan kun dekrypteres med den tilhørende private nøgle. Når en bruger tilmelder sig en onlinetjeneste, der understøtter FIDO-godkendelse, genererer tjenesten et nøglepar og gemmer den offentlige nøgle på dets servere. Den private nøgle gemmes kun på brugerens enhed. Når du logger ind, vises klientapplikationen med en kryptografisk udfordring, der er genereret med den offentlige nøgle, som kun kan løses med den private nøgle. Brugere skal verificere deres identitet med deres enhed (gennem fingeraftryk, ansigt eller PIN) for at låse deres private nøgle op og løse udfordringen.
Fordelen ved denne model er, at den giver godkendelse med flere faktorer uden at kræve opbevaring og udveksling af adgangskoder. Selv hvis hackere formår at bryde tjenesteudbyderens servere, får de kun adgang til offentlige nøgler, som er ubrukelige uden de tilsvarende private nøgler, der er gemt på brugernes enheder. Hvis hackerne stjæler en brugers enhed, bliver de stadig nødt til at omgå den lokale identitetsverifikation for at få den private nøgle. Fra en brugers perspektiv undgår dette behovet for at huske lange, komplekse adgangskoder for hver konto, samtidig med at den giver overlegen sikkerhed.
Men FIDOs større præstation er at få bred støtte fra tech-industrien. Alliancen har samlet store navne som Google, Microsoft, Amazon og Intel for at udvikle standarder, der ville være lette at implementere på forskellige enhedstyper og operativsystemer.
”Virksomhederne, der mødtes for at danne FIDO Alliance, forstod, at udskiftning af adgangskoder til online-autentificering kun nogensinde kunne blive kommercielt levedygtig på skala gennem en kombination af gratis og åbne teknologistandarder, en meget overlegen brugeroplevelse og en grundlæggende anderledes tilgang til sikkerhedsmodellen, Siger McDowell.
FIDO udgav for nylig FIDO2, en udvidelse til dets standard, der tilføjer understøttelse af godkendelse af offentlig nøgle til browsere og en bred vifte af applikationsrammer. Standarden understøttes af Windows 10, Google Play Services på Android og Chrome, Firefox og Edge webbrowsere. WebKit, teknologien bag Apples Safari-browser, tilføjer muligvis også support til FIDO2.
"FIDO2-standarden muliggør udskiftning af svag adgangskodebaseret autentificering med stærk hardwarebaseret autentificering, der bruger offentlig nøglekryptografi, " siger Ehrensvard, hvis firma Yubico er blandt de vigtigste medlemmer af FIDO. "Denne standard tillader adgangskodeløs godkendelse i flere former, herunder via USB og tap-and-go NFC, som giver en optimal brugeroplevelse og forbedrer drastisk sikkerhed og produktivitet."
Hvornår vil adgangskoder endelig gå væk?
Selvom branchen er kommet langt i retning af at udvikle alternative godkendelsesmetoder, forsvinder adgangskoder ikke natten over. "Vi bør tage højde for, at vi har en masse 'ældre' software og informationssystemer. Derfor er det ikke altid muligt let at ændre etablerede regler for godkendelse, herunder dem, der er adgangskodebaseret, " siger Momot, administrerende direktør fra REMME.
Andre eksperter som Sandor Palfy, CTO for LogMeIn, mener, at adgangskoder forbliver en central facet til at identificere brugere. Han mener også, at branchen bør fokusere på at forbedre adgangskodeoplevelsen.
- De bedste adgangskodeadministratorer for 2019 De bedste adgangskodeadministratorer for 2019
- Hvad er adgangskoden? Afspil noget musik og log ind via Brainwaves Hvad er adgangskoden? Spil noget musik, og log ind via Brainwaves
- Bogus-porno-e-mails ved hjælp af gamle adgangskoder til at svindle dig ud af kontanter Bogus-porno-e-mails ved hjælp af gamle adgangskoder til at lure dig ude af kontanter
"Indtil der er tilgængelig universel dækning med multifaktorautentificering (eller endda adfærdsmæssig eller kontekstuel autentificering), er virksomheder nødt til at investere i at styrke adgangskodebeskyttede tjenester, der bruges i hele organisationen, " siger Palfy.
"At huske unikke, komplekse adgangskoder til alle vores arbejds- og personlige konti stemmer ikke overens med naturlig menneskelig opførsel. Ved at bruge værktøjer som adgangskodeadministratorer skal huske flere adgangskoder være en saga ting, hvor brugerne kun skal huske en hovedadgangskode, "siger Palfy, hvis firma er udvikleren af LastPass password manager.
Men til McDowell, der har været ved roret for FIDO siden 2014, er stræben efter at udrydde adgangskoder endelig ved at nå sine sidste faser. "I dag er den fremgang uden adgangskode en realitet, en applikation ad gangen. I løbet af få år forventer jeg, at adgangskodeadgangsformularer er omtrent så sjældne at finde på websider, som offentlige telefonbås er i offentlige rum i disse dage, og for samme grund - vi har et omkostningseffektivt, allestedsnærværende alternativ, der tilbyder en meget bedre brugeroplevelse, ”siger han.
