Obsah:
- Co zabraňuje ověřování bez hesla?
- Federálové přicházejí klepat
- Jak se dostat na stejnou stránku
- Kdy hesla konečně zmizí?
Video: Humans Need Not Apply (Listopad 2024)
V roce 2012 Matt Honan od Wired psal o katastrofálních důsledcích vázání celého digitálního života na řetězec písmen, číslic a symbolů. Honan je jen jedním z nesčetných lidí, jejichž online účty byly uneseny poté, co hackeři objevili svá hesla; seznam obětí také obsahuje špičkové technologické manažery, včetně Marka Zuckerberga.
A přesto hesla zůstávají hlavní metodou ochrany online účtů.
V autentizačním prostoru nedošlo k malému množství inovací. V roce 2016 jsem psal o autentizačních technologiích, které poskytovaly bezpečné a snadno použitelné alternativy k heslům, ale donedávna žádné z nich nedosáhlo hromadného osvojení.
Nyní však existuje naděje, že konečně dokážeme kopat dlouhá složitá hesla díky řadě předpisů a otevřených standardů, které usnadňují a podporují implementaci metod autentizace bez hesla v online aplikacích.
Co zabraňuje ověřování bez hesla?
„Obrovský počet hesel potřebných v našich každodenních životech se stal břemenem, a proto vidíme tolik opakovaných nebo slabých statických údajů, “ říká Stina Ehrensvard, generální ředitelka a zakladatelka společnosti Yubico, která vyrábí fyzické bezpečnostní klíče jako Yubikey 5 NFC. "Potřebovali jsme přemýšlet o tom, jak tento problém řešit způsobem, který zjednoduší proces přihlášení a zároveň přidá nejvyšší úroveň zabezpečení. Až dosud nebyl opravdu žádný způsob, jak úspěšně zvládnout obě tyto věci."
O zranitelnosti hesel se neztrácí organizace, které je nadále používají. Před zvažováním alternativ však musí brát v úvahu bezpečnost, použitelnost, dostupnost a náklady na technologii.
„Důvodem, proč jsme dosud nenahrazovali hesla něčím spolehlivějším, je to, že všechny alternativy, které by mohly být lepší pro zabezpečení nebo použitelnost, nebyly všudypřítomně dostupné pro všechny tvary a velikosti zařízení připojených k internetu, ani nebyly náklady - neefektivní, “říká Brett McDowell, výkonný ředitel konsorcia FIDO Alliance, které vyvíjí autentizační standardy.
Zadávání hesla je také nejméně nákladnou a nejjednodušší autentizační technologií, kterou lze implementovat do nových webů a mobilních aplikací. A zatímco na mobilních zařízeních jsou stále dostupnější alternativy, jako je biometrická ověřovací technologie, zadávání hesla zůstává všudypřítomnou funkcí, kterou všechna zařízení podporují. Jeho odstranění by zabránilo mnoha uživatelům v přístupu k těmto službám.
Nedostatek standardů také ztěžuje přesun od hesel. Režijní náklady na přidávání podpory pro desítky různých autentizačních technologií v klientských aplikacích a serverech typu backend je něco, co většina organizací nemůže nést.
A samozřejmě, vždy existuje lidský faktor. "Některé společnosti a jednotlivci i nadále věří, že nebudou ovlivněni kybernetickými útoky a že se netýkají kybernetických zločinců. Nedostatek touhy a zdrojů ke změně stávajících řešení brání přijetí nových řešení pro autentizaci bez hesla, " říká Alex Momot, generální ředitel REMME, startup, který vyvíjí decentralizovaný autentizační systém.
Federálové přicházejí klepat
V posledních letech došlo ke zvýšení povědomí o online bezpečnosti a soukromí uživatelů, zejména mezi vládními agenturami a regulačními orgány. Zatímco dříve, organizace mohly pokrýt porušení dat a bezpečnostní incidenty s několika právními a finančními důsledky, to už není pravda.
„Regulátoři jsou unaveni z titulků o narušení dat jako kdokoli jiný a začínají podnikat kroky, což vede k tomu, že více firem přidává do svých postupů ochrany údajů silnou autentizaci, “ říká McDowell.
Mezi nejdůležitější regulační opatření patří obecné nařízení o ochraně údajů (GDPR), soubor pravidel, která definují, jak společnosti shromažďují, zpracovávají a zabezpečují uživatelská data. GDPR také definuje standardy pro silné ověřování uživatelů. Společnosti, které nedodržují pravidla a chrání údaje svých zákazníků, budou přísně pokutovány. GDPR se vztahuje pouze na jurisdikci EU, ale protože mnoho společností, které nemají sídlo v EU, stále podnikají v regionu, je nyní považováno za zlatý standard pro bezpečnost.
„V době, kdy stále více společností přijímá silnou autentizaci a čím dál více porušení dat je způsobeno kompromisem s heslem, bude pro firmu stále obtížnější předložit regulačnímu orgánu GDPR argument, že autentizace pouze pomocí hesla je vhodné zabezpečení, které potenciálně vystavuje jejich společnost pokutám, které jsou mnohem dražší než cena přechodu od hesel k opravdově silné autentizaci, “říká McDowell.
Další předpisy týkající se konkrétního odvětví jsou o používání technologie ověřování explicitnější. Příkladem je směrnice o platebních službách 2 (PSD2), která reguluje elektronický obchod a online finanční služby v Evropě a vyžaduje dvoufaktorové ověřování (2FA). PSD2 také podporuje používání bezpečnostních karet, mobilních zařízení a biometrických skenerů pro zlepšení uživatelského dojmu bez ohrožení bezpečnosti.
A Národní institut pro standardy a technologie (NIST), který definuje kritéria pro různá průmyslová odvětví, ve svých pokynech pro digitální identitu uvádí, že organizace by se měly vzdálit od hesel a jednorázových přístupových kódů a přijmout moderní silnou autentizaci.
„Konkrétně společnost NIST doporučuje ověřování, při kterém vaše moderní zařízení vytváří a používá kryptografické soukromé klíče jako vaše nové přihlašovací údaje k účtu, a bezpečně je ukládá do vašeho osobního zařízení stejným způsobem, jak většina chytrých telefonů nyní bezpečně ukládá vaše údaje o otiscích prstů, “ říká McDowell.
Diskutuje se o tom, zda vládní regulace brzdí nebo podpoří inovace. V tomto okamžiku však možná budeme potřebovat regulační tlak na přijetí bezpečnějších mechanismů autentizace.
„Vlády mohou hrát rozhodující roli při přijímání otevřených standardů, “ říká Ehrensvard. „Podívejte se například na bezpečnostní pás. Je to také otevřený standard a jeho používání bylo regulováno vládou. Z tohoto důvodu je dnes na silnici desetkrát více aut, ale nižší celkový počet smrtelných dopravních nehod. “
Jak se dostat na stejnou stránku
Rozsáhlá výměna autentizace pouze pomocí hesla vyžaduje více než předpisy. Bez sady standardních protokolů se organizace a společnosti budou snažit najít autentizační technologii, která je udržuje v souladu s bezpečnostními předpisy a zároveň zpřístupní jejich aplikace svým uživatelům.
To byl problém, který měl FIDO vyřešit. Ověřování FIDO je založeno na sadě bezplatných a otevřených technologických standardů vyvinutých ve spolupráci s World Wide Web Consortium (W3C). Cílem je vytvořit interoperabilitu mezi zařízeními a službami tím, že umožní celému odvětví spotřební elektroniky integrovat technologii do svých produktů a platforem.
FIDO nahradí hesla kryptografií veřejného klíče. To znamená, že místo hesel jsou uživatelé identifikováni pomocí dvojice veřejných a soukromých klíčů. Vše šifrované veřejným klíčem lze dešifrovat pouze odpovídajícím soukromým klíčem. Když se uživatel zaregistruje u služby online, která podporuje ověřování FIDO, služba vygeneruje pár klíčů a uloží veřejný klíč na své servery. Soukromý klíč je uložen pouze v zařízení uživatele. Při přihlášení je klientská aplikace předložena s kryptografickou výzvou generovanou veřejným klíčem, kterou lze vyřešit pouze soukromým klíčem. Uživatelé musí ověřit svou totožnost se svým zařízením (pomocí otisků prstů, obličeje nebo PIN), aby mohli odemknout svůj soukromý klíč a vyřešit problém.
Výhodou tohoto modelu je, že poskytuje vícefaktorovou autentizaci bez nutnosti ukládání a výměny hesel. I když se hackerům podaří narušit servery poskytovatele služeb, získají přístup pouze k veřejným klíčům, které jsou zbytečné bez odpovídajících soukromých klíčů uložených na zařízeních uživatelů. Pokud hackeři ukradnou zařízení uživatele, budou stále muset obejít ověření místní identity, aby získali soukromý klíč. Z pohledu uživatele to vylučuje potřebu zapamatovat si dlouhá, složitá hesla pro každý účet a zároveň poskytovat vynikající zabezpečení.
Větším úspěchem FIDO je však široká podpora ze strany technologického průmyslu. Aliance spojila velká jména jako Google, Microsoft, Amazon a Intel za účelem vývoje standardů, které by bylo snadné implementovat do různých typů zařízení a operačních systémů.
„Podniky, které se spojily, aby vytvořily Alianci FIDO, pochopily, že nahrazení hesel za online ověřování by se mohlo stát komerčně životaschopným v měřítku pouze kombinací bezplatných a otevřených technologických standardů, nesmírně vynikající uživatelské zkušenosti a zásadně odlišného přístupu k modelu zabezpečení., “Říká McDowell.
FIDO nedávno vydala FIDO2, rozšíření svého standardu, které přidává podporu pro ověřování pomocí veřejného klíče pro prohlížeče a širokou škálu aplikačních rámců. Standard je podporován systémy Windows 10, Google Play Services pro Android a webovými prohlížeči Chrome, Firefox a Edge. Technologie WebKit za prohlížečem Safari společnosti Apple může brzy přidat podporu pro FIDO2.
„Standard FIDO2 umožňuje nahrazení slabé autentizace na základě hesla silnou hardwarovou autentizací, která využívá kryptografii veřejných klíčů, “ říká Ehrensvard, jehož společnost Yubico patří mezi klíčové členy FIDO. „Tento standard umožňuje bezchybnou autentizaci v několika podobách, mimo jiné prostřednictvím USB a NFC, který poskytuje optimální uživatelský zážitek a výrazně zvyšuje bezpečnost a produktivitu.“
Kdy hesla konečně zmizí?
Ačkoli toto odvětví prošlo dlouhou cestou k vývoji alternativních metod ověřování, hesla nezmizí přes noc. „Měli bychom vzít v úvahu, že máme mnoho„ starých “softwarových a informačních systémů. Proto není vždy možné snadno změnit zavedená pravidla autentizace, včetně těch, která jsou založena na heslech, “ říká Momot, generální ředitel REMME.
Další odborníci, jako je Sandor Palfy, technický ředitel společnosti LogMeIn, věří, že hesla zůstanou ústředním aspektem pro identifikaci uživatelů. Rovněž věří, že by se odvětví mělo zaměřit na zdokonalení používání hesla.
- Nejlepší správci hesel pro rok 2019 Nejlepší správci hesel pro rok 2019
- Jaké je heslo? Přehrávejte hudbu a přihlaste se pomocí Brainwaves Co je heslo? Zahrajte si nějakou hudbu a přihlaste se pomocí mozkových vln
- Falešné porno e-maily pomocí starých hesel, aby vás vyděsily z peněz Bogus porno e-maily pomocí starých hesel, které vás vyděsily z peněz
„Dokud nebude k dispozici univerzální pokrytí pomocí vícefaktorové autentizace (nebo dokonce behaviorální nebo kontextové autentizace), společnosti musí investovat do posílení služeb chráněných heslem, které se používají v celé organizaci, “ říká Palfy.
„Pamatování jedinečných a složitých hesel pro všechny naše pracovní a osobní účty není v souladu s přirozeným lidským chováním. Pomocí nástrojů, jako jsou správci hesel, by zapamatování více hesel mělo být minulostí, uživatelé si musí pamatovat pouze jedno hlavní heslo, “říká Palfy, jehož společnost je vývojářem správce hesel LastPass.
Ale McDowellovi, který je od roku 2014 v čele FIDO, je snaha vykořenit hesla konečně do závěrečných fází. „Dnes se budoucnost bez hesla stává realitou, jedna aplikace najednou. Během několika let očekávám, že formuláře pro zadání hesla budou na webových stránkách asi tak vzácné, protože veřejné telefonní stánky jsou dnes ve veřejných prostorách a pro ze stejného důvodu - máme nákladově efektivní a všudypřítomnou alternativu, která nabízí mnohem lepší uživatelský dojem, “říká.
