Cuprins:
- Ce împiedică autentificarea fără parolă?
- Fed-urile vin batute
- Trecând pe aceeași pagină
- Când vor pleca parolele în cele din urmă?
Video: Cum îți vezi parolele salvate în Chrome (Noiembrie 2024)
În 2012, Matt Honan de la Wired a scris despre consecințele dezastruoase ale legării întregii vieți digitale de un șir de litere, cifre și simboluri. Honan este doar una dintre nenumăratele persoane ale căror conturi online au fost deturnate după ce hackerii și-au descoperit parolele; lista victimelor conține, de asemenea, directori de înaltă tehnologie, inclusiv Mark Zuckerberg.
Și totuși, parolele rămân principala metodă de protecție a conturilor online.
Nu a existat o cantitate mică de inovație în spațiul de autentificare. În 2016, am scris despre tehnologii de autentificare care ofereau alternative sigure și ușor de utilizat la parolele, dar până de curând, niciuna nu a reușit să adopte în masă.
Acum, însă, există speranța că în sfârșit putem să ștergem parolele lungi și complexe, datorită unei serii de regulamente și standarde deschise care ușurează și încurajează implementarea metodelor de autentificare fără parolă în aplicațiile online.
Ce împiedică autentificarea fără parolă?
"Numărul mare de parole necesare în viața noastră de zi cu zi a devenit o povară, motiv pentru care vedem atât de multe recenzii statice reutilizate sau slabe", spune Stina Ehrensvard, CEO și fondator al Yubico, care produce chei de securitate fizică precum Yubikey 5 NFC. "A trebuit să ne gândim la cum să abordăm această problemă într-un mod care simplifică procesul de conectare, adăugând în același timp cel mai înalt nivel de securitate. Până acum, nu a existat cu adevărat o modalitate de a face ambele lucruri cu succes."
Vulnerabilitățile parolelor nu se pierd pe organizațiile care le utilizează în continuare. Însă, înainte de a lua în considerare alternativele, acestea trebuie să țină seama de securitate, de utilizare, de disponibilitate și de costurile tehnologiei.
„Motivul pentru care nu am înlocuit parolele până acum cu ceva mai de încredere este faptul că toate alternativele care ar fi putut fi mai bune pentru securitate sau utilizabilitate nu au fost disponibile omniprezent pentru toate formele și dimensiunile dispozitivelor conectate la internet și nici nu au fost costate -eficient ", spune Brett McDowell, director executiv al FIDO Alliance, un consorțiu care dezvoltă standarde de autentificare.
De asemenea, introducerea parolei este cea mai scumpă și mai ușoară tehnologie de autentificare pentru a fi implementată pe site-uri web noi și aplicații mobile. Și în timp ce alternative, cum ar fi tehnologia de autentificare biometrică, au devenit mai disponibile pe dispozitivele mobile, intrarea cu parolă rămâne funcția omniprezentă pe care toate dispozitivele o acceptă. Eliminarea acestuia ar împiedica mulți utilizatori să acceseze aceste servicii.
Lipsa de standarde face, de asemenea, dificil să vă îndepărtați de parole. Costul general al adăugării de asistență pentru zeci de tehnologii de autentificare diferite în aplicațiile client și serverele backend este ceva pe care majoritatea organizațiilor nu le-ar putea suporta.
Și, desigur, există întotdeauna factorul uman. "Unele companii și persoane continuă să creadă că nu vor fi afectate de atacurile cibernetice și că nu interesează ciberneticii. Lipsa dorinței și a resurselor de a schimba soluțiile existente împiedică adoptarea de noi soluții de autentificare fără parolă", spune Alex Momot, CEO REMME, o start-up care dezvoltă un sistem de autentificare descentralizat.
Fed-urile vin batute
În ultimii ani, a crescut creșterea gradului de conștientizare în ceea ce privește securitatea online și confidențialitatea utilizatorilor, în special în rândul agențiilor guvernamentale și autorităților de reglementare. Deși anterior, organizațiile ar fi putut să respingă încălcările de date și incidentele de securitate cu puține consecințe juridice și financiare, acesta nu mai este cazul.
"Autoritățile de reglementare sunt obosite de titlurile de încălcare a datelor ca oricine altcineva și încep să ia măsuri, ceea ce duce la creșterea mai multor companii care adaugă autentificare puternică practicilor de protecție a datelor", spune McDowell.
Printre cele mai relevante acțiuni de reglementare se numără Regulamentul general privind protecția datelor (GDPR), un set de reguli care definesc modul în care companiile colectează, gestionează și securizează datele utilizatorilor. GDPR definește, de asemenea, standarde pentru o autentificare puternică a utilizatorului. Companiile care nu respectă regulile și protejează datele clienților lor vor fi amendate grav. GDPR se aplică numai jurisdicției UE, dar, deoarece multe companii care nu au sediul în UE își desfășoară activitatea în regiune, acum este considerat un standard de aur pentru securitate.
"Într-o perioadă în care tot mai multe companii adoptă o autentificare puternică și din ce în ce mai multe încălcări ale datelor sunt cauzate de compromisuri de parole, va fi din ce în ce mai dificil pentru o afacere să aducă cazul unui autor de reglementare GDPR că autentificarea numai cu parolă este securitate adecvată, care își poate expune compania la amenzi care sunt mult mai scumpe decât prețul trecerii de la parolele la o autentică autentică puternică ", spune McDowell.
Alte reglementări specifice industriei sunt mai explicite cu privire la utilizarea tehnologiei de autentificare. Un exemplu este Directiva 2 privind serviciile de plată (PSD2), care reglementează comerțul electronic și serviciile financiare online în Europa și face obligatorie autentificarea cu doi factori (2FA). De asemenea, PSD2 încurajează utilizarea de carduri de securitate, dispozitive mobile și scanere biometrice pentru a îmbunătăți experiența utilizatorului fără a compromite securitatea.
Și Institutul Național de Standarde și Tehnologie (NIST), care definește criteriile pentru diverse industrii, afirmă în ghidurile sale de identitate digitală că organizațiile ar trebui să se îndepărteze de parolele și codurile de acces unice și să adopte o autentificare puternică modernă.
„Mai precis, NIST recomandă autentificarea în care dispozitivul dvs. modern creează și folosește chei private criptografice drept credențiale ale contului dvs. și le stochează în siguranță pe dispozitivul dvs. personal, în același mod în care majoritatea smartphone-urilor acum stochează în siguranță datele dvs. de amprentă”, spune McDowell.
Există dezbateri dacă reglementarea guvernamentală va împiedica sau va încuraja inovarea. Dar, în acest moment, am putea avea nevoie de o apăsare de reglementare spre adoptarea unor mecanisme de autentificare mai sigure.
"Guvernele pot juca un rol critic în adoptarea standardelor deschise", spune Ehrensvard. "Aruncați o privire spre centura de siguranță, de exemplu. De asemenea, este un standard deschis, iar utilizarea sa a fost reglementată de guvern. Din această cauză, există astăzi de 10 ori mai multe mașini pe drum, dar un număr total mai mic de accidente auto mortale..“
Trecând pe aceeași pagină
Înlocuirea pe scară largă a autentificării numai cu parolă are nevoie de mai mult decât de reglementări. Fără un set de protocoale standard, organizațiile și companiile se vor lupta să găsească o tehnologie de autentificare care să le păstreze în conformitate cu reglementările de securitate, în timp ce aplicațiile lor sunt disponibile utilizatorilor lor.
Aceasta a fost problema pe care FIDO trebuia să o rezolve. Autentificarea FIDO se bazează pe un set de standarde tehnologice gratuite și deschise, dezvoltate în parteneriat cu World Wide Web Consortium (W3C). Scopul este de a crea interoperabilitate între dispozitive și servicii, permițând întregii industrii electronice de consum să integreze tehnologia în produsele și platformele lor.
FIDO înlocuiește parolele cu criptografia cu chei publice. Aceasta înseamnă că în loc de parole, utilizatorii sunt identificați cu o pereche de chei publice și private. Orice lucru criptat cu o cheie publică poate fi decriptat doar prin cheia privată corespunzătoare. Când un utilizator se înscrie cu un serviciu online care acceptă autentificarea FIDO, serviciul generează o pereche de chei și stochează cheia publică pe serverele sale. Cheia privată este stocată doar pe dispozitivul utilizatorului. La logare, aplicația client i se prezintă o provocare criptografică generată cu cheia publică, care poate fi rezolvată doar prin cheia privată. Utilizatorii trebuie să își verifice identitatea cu dispozitivul lor (prin amprentă, față sau PIN) pentru a debloca cheia privată și a rezolva provocarea.
Avantajul acestui model este că oferă autentificare multi-factor fără a necesita stocarea și schimbul de parole. Chiar dacă hackerii reușesc să încalce serverele furnizorului de servicii, vor avea acces numai la cheile publice, care sunt inutile fără cheile private corespunzătoare stocate pe dispozitivele utilizatorilor. Dacă hackerii fură dispozitivul unui utilizator, va trebui totuși să ocolească verificarea identității locale pentru a obține cheia privată. Din perspectiva unui utilizator, aceasta elimină necesitatea memorarii parolelor lungi și complexe pentru fiecare cont, oferind în același timp o securitate superioară.
Dar realizarea mai mare a FIDO este obținerea unui sprijin răspândit din partea industriei tehnologice. Alianța a reunit nume mari precum Google, Microsoft, Amazon și Intel pentru a dezvolta standarde care să fie ușor de implementat pe diferite tipuri de dispozitive și sisteme de operare.
„Afacerile care s-au reunit pentru a forma FIDO Alliance au înțeles că înlocuirea parolelor pentru autentificarea online ar putea deveni vreodată viabilă comercial la scară printr-o combinație de standarde tehnologice libere și deschise, o experiență de utilizator extrem de superioară și o abordare fundamental diferită a modelului de securitate. ", Spune McDowell.
FIDO a lansat recent FIDO2, o extensie la standardul său, care adaugă suport pentru autentificarea cheilor publice pentru browsere și o gamă largă de cadre de aplicații. Standardul este compatibil cu Windows 10, Google Play Services pe Android și browserele web Chrome, Firefox și Edge. WebKit, tehnologia din spatele browserului Safari Apple, ar putea adăuga în curând și asistență pentru FIDO2.
"Standardul FIDO2 permite înlocuirea unei autentificări slabe bazate pe parolă cu o autentificare puternică bazată pe hardware care utilizează criptografia cheilor publice", spune Ehrensvard, a cărei companie Yubico este printre membrii cheie ai FIDO. "Acest standard permite autentificarea fără parolă în mai multe forme, inclusiv prin USB și NFC-ul de tip touch-and-go, care oferă o experiență de utilizare optimă și îmbunătățește drastic securitatea și productivitatea."
Când vor pleca parolele în cele din urmă?
Deși industria a parcurs un drum lung spre dezvoltarea metodelor alternative de autentificare, parolele nu vor dispărea peste noapte. "Ar trebui să avem în vedere faptul că avem o mulțime de software și sisteme informatice 'moștenite'. De aceea nu este întotdeauna posibil să schimbăm cu ușurință regulile de autentificare stabilite, inclusiv cele bazate pe parolă", spune Momot, directorul executiv de la REMME.
Alți experți, cum ar fi Sandor Palfy, CTO al LogMeIn, consideră că parolele vor rămâne un aspect central pentru identificarea utilizatorilor. De asemenea, consideră că industria ar trebui să se concentreze pe îmbunătățirea experienței cu parolă.
- Cei mai buni manageri de parole pentru 2019 Cei mai buni manageri de parole pentru 2019
- Care este parola? Joacă ceva muzică și conectează-te prin Brainwaves Care este parola? Joacă niște muzică și conectează-te prin Brainwaves
- E-mailuri de pornire falsă folosind parole vechi pentru a te înșela în numerar
"Până la acoperirea universală cu autentificare multi-factor (sau chiar autentificare comportamentală sau contextuală) este disponibilă, companiile trebuie să investească în consolidarea serviciilor protejate prin parolă pentru a fi utilizate în întreaga organizație", spune Palfy.
"Amintirea parolelor unice, complexe, pentru toate conturile noastre de muncă și personale nu se aliniază comportamentului uman natural. Folosind instrumente precum administratorii de parole, amintirea parolelor multiple ar trebui să fie un lucru trecut, utilizatorii fiind nevoiți să-și amintească o singură parolă principală, ", spune Palfy, a cărei companie este dezvoltatorul managerului de parole LastPass.
Dar pentru McDowell, care a fost la conducerea FIDO din 2014, căutarea de a scoate parolele ajunge în cele din urmă la ultimele etape. "Astăzi, viitorul fără parolă devine o realitate, o singură aplicație la un moment dat. În câțiva ani, mă aștept ca formularele de introducere a parolei să fie atât de rare pentru a fi găsite pe paginile web, cât în zilele noastre cabine de telefonie publice sunt în spații publice și pentru același motiv - avem o alternativă rentabilă, omniprezentă, care oferă o experiență de utilizator mult mai bună ", spune el.