Sisällysluettelo:
- Mikä estää salasanattoman todennuksen?
- Rehut tulevat koputtamaan
- Päästä samalle sivulle
- Milloin salasanat lopulta katoavat?
Video: Hush | Critical Role: THE MIGHTY NEIN | Episode 7 (Lokakuu 2024)
Vuonna 2012 Wiredin Matt Honan kirjoitti katastrofaalisista seurauksista, jotka aiheutuvat koko digitaalisen elämäsi sitomisesta kirjaimille, numeroille ja symboleille. Honan on vain yksi lukemattomista ihmisistä, joiden online-tilit kaapattiin hakkereiden löytäessä salasanansa; uhrien luettelossa on myös korkean tason teknologiajohtajia, mukaan lukien Mark Zuckerberg.
Ja vielä, salasanat ovat edelleen tärkein tapa suojata online-tilejä.
Autentikointitilassa ei ole tapahtunut pientä määrää innovaatioita. Kirjoitin vuonna 2016 autentikointitekniikoista, jotka tarjosivat turvalliset ja helppokäyttöiset vaihtoehdot salasanoille, mutta viime aikoihin saakka yksikään ei ollut saavuttanut joukkokäyttöä.
Nyt on kuitenkin toivoa, että pystymme vihdoin ohittamaan pitkät, monimutkaiset salasanat sarjan asetusten ja avoimien standardien ansiosta, jotka helpottavat ja rohkaisevat salasanattomien todennusmenetelmien käyttöönottoa online-sovelluksissa.
Mikä estää salasanattoman todennuksen?
"Valtavasta määrästä päivittäisessä elämässämme tarvittavia salasanoja on tullut taakka, minkä vuoksi näemme niin monia uudelleenkäytettyjä tai heikkoja staattisia käyttöoikeustietoja", sanoo Yubicon toimitusjohtaja ja perustaja Stina Ehrensvard, joka valmistaa fyysisiä turva-avaimia kuten Yubikey 5 NFC.. "Meidän piti miettiä, kuinka käsitellä tätä ongelmaa tavalla, joka yksinkertaistaa kirjautumisprosessia ja lisätä samalla korkeinta turvallisuustasoa. Tähän asti ei ole oikeasti ollut tapaa suorittaa molempia näistä asioista onnistuneesti."
Salasanojen haavoittuvuuksia ei menetetä organisaatioissa, jotka käyttävät niitä edelleen. Mutta ennen vaihtoehtojen harkintaa, niiden on otettava huomioon tekniikan turvallisuus, käytettävyys, saatavuus ja kustannukset.
"Syy siihen, että emme ole aiemmin vaihtaneet salasanoja jollain luotettavammalla, on se, että kaikkia turvallisuuden tai käytettävyyden kannalta parempia vaihtoehtoja ei ole ollut kaikkialla saatavilla kaikille Internetiin kytkettyjen laitteiden muotoille ja kokoille, eikä niistä ole maksettu kustannuksia. - Tehokas ", sanoo todentamisstandardeja kehittävän konsortion FIDO Alliancen pääjohtaja Brett McDowell.
Lisäksi salasanan syöttäminen on halvin ja helpoin todennustekniikka, joka voidaan ottaa käyttöön uusissa verkkosivustoissa ja mobiilisovelluksissa. Ja vaikka vaihtoehtoja, kuten biometristä todennustekniikkaa, on tullut laajemmin käytettäväksi mobiililaitteissa, salasanan syöttäminen on edelleen yleinen ominaisuus, jota kaikki laitteet tukevat. Sen poistaminen estäisi monia käyttäjiä pääsemästä noihin palveluihin.
Standardien puute vaikeuttaa myös salasanoista luopumista. Kymmenille erilaisille todentamistekniikoille tuen lisäämisen yleiskustannukset asiakassovelluksissa ja taustapalvelimissa ovat jotain, mitä useimmat organisaatiot eivät kyenneet kantamaan.
Ja tietysti, siellä on aina inhimillinen tekijä. "Jotkut yritykset ja yksityishenkilöt uskovat edelleen, että tietohyökkäykset eivät vaikuta niihin ja että ne eivät ole kiinnostuneita verkkorikollisille. Halun ja resurssien puute nykyisten ratkaisujen muuttamiseksi haittaa uusien salasanattomien todennusratkaisujen käyttöönottoa", Alex sanoo. Momot, REMME: n toimitusjohtaja, kehittää hajautettua todennusjärjestelmää.
Rehut tulevat koputtamaan
Viime vuosina tietoisuus ympäristön turvallisuudesta ja käyttäjien yksityisyydestä on lisääntynyt, etenkin valtion virastojen ja viranomaisten keskuudessa. Vaikka aiemmin organisaatiot olisivat voineet houkutella tietorikkomuksia ja tietoturvatapahtumia, joilla olisi vain vähän juridisia ja taloudellisia seurauksia, niin ei enää ole.
"Sääntelyviranomaiset ovat yhtä kyllästyneitä tietosuojarikkomusten otsikoihin kuin kukaan muu, ja he alkavat ryhtyä toimiin, mikä lisää yrityksiä lisäämään vahvaa todennusta tietosuojakäytäntöihinsä", McDowell sanoo.
Merkittävimpiä sääntelytoimia on yleinen tietosuoja-asetus (GDPR), joukko sääntöjä, jotka määrittelevät, miten yritykset keräävät, käsittelevät ja suojaavat käyttäjätietoja. GDPR määrittelee myös standardit vahvalle käyttäjän todennukselle. Yritykset, jotka eivät noudata sääntöjä ja suojaavat asiakkaidensa tietoja, sakotetaan vakavasti. GDPR koskee vain EU: n lainkäyttövaltaa, mutta koska monet yritykset, jotka eivät sijaitse EU: ssa, harjoittavat edelleen liiketoimintaa alueella, sitä pidetään nyt turvallisuuden kultaisena standardina.
"Aikana, kun yhä useammat yritykset ovat ottaneet käyttöön vahvan todennuksen ja yhä useammat tietorikkomukset johtuvat salasanan kompromisseista, on yhä vaikeampaa yrittää saada tapaus GDPR-sääntelyviranomaiselle, että vain salasanatunnistus on asianmukainen tietoturva, mahdollisesti altistamalla heidän yrityksensä sakkoille, jotka ovat paljon kalliimpia kuin hinta, joka siirtyy salasanoilta todelliseen vahvaan todennukseen ", McDowell sanoo.
Muut toimialakohtaiset määräykset koskevat tarkemmin todennustekniikan käyttöä. Esimerkki on maksupalveludirektiivi 2 (PSD2), joka sääntelee sähköistä kauppaa ja online-rahoituspalveluita Euroopassa ja tekee kaksifaktorisesta todennuksesta (2FA) pakollisen. PSD2 kannustaa myös turvakorttien, mobiililaitteiden ja biometristen skannerien käyttöä käyttökokemuksen parantamiseksi turvallisuutta vaarantamatta.
Ja Kansallinen standardointi- ja teknologiainstituutti (NIST), joka määrittelee kriteerit eri toimialoille, toteaa digitaalisen henkilöllisyyden suuntaviivoissaan, että organisaatioiden tulisi poistua salasanoista ja kertaluonteisista salasanoista ja ottaa käyttöön nykyaikainen vahva todennus.
"Tarkemmin sanottuna NIST suosittaa todennusta, jossa nykyaikainen laitteesi luo ja käyttää salausteknisiä yksityisiä avaimia uutena tilisi käyttöoikeustietona ja tallentaa ne turvallisesti henkilökohtaiseen laitteeseesi samalla tavalla kuin suurin osa älypuhelimista tallentaa nyt sormenjälkitiedot turvallisesti", McDowell sanoo.
Keskustetaan siitä, haittaako hallituksen sääntely innovaatioita vai kannustaa niitä. Mutta tässä vaiheessa saatamme tarvita sääntelyä koskevaa pyrkimystä turvallisempien todennusmekanismien käyttöönottoon.
"Hallituksilla voi olla kriittinen rooli avoimien standardien hyväksymisessä", Ehrensvard sanoo. "Katso esimerkiksi turvavyötä. Sekin on avoin standardi, ja sen käyttöä säästi hallitus. Tämän vuoksi tiellä on tänään 10 kertaa enemmän autoja, mutta kuolemaan johtaneiden auto-onnettomuuksien kokonaismäärä on alhaisempi.."
Päästä samalle sivulle
Vain salasanan todennuksen laajamittainen korvaaminen tarvitsee enemmän kuin säännöt. Ilman joukkoa standardiprotokollia organisaatiot ja yritykset pyrkivät löytämään autentikointitekniikan, joka pitää ne tietoturvamääräysten mukaisina, samalla kun ne tarjoavat sovelluksensa käyttäjien saataville.
Se oli ongelma, jonka FIDO oli tarkoitus ratkaista. FIDO-todennus perustuu sarjaan ilmaisia ja avoimia teknologiastandardeja, jotka on kehitetty yhteistyössä World Wide Web Consortiumin (W3C) kanssa. Tavoitteena on luoda laitteiden ja palveluiden yhteentoimivuus mahdollistamalla koko kulutuselektroniikkateollisuuden integroida tekniikka tuotteisiinsa ja alustoihinsa.
FIDO korvaa salasanat julkisen avaimen salauksella. Tämä tarkoittaa, että salasanojen sijasta käyttäjät tunnistetaan parilla julkisia ja yksityisiä avaimia. Mikä tahansa julkisella avaimella salattu voidaan salata vain vastaavalla yksityisellä avaimella. Kun käyttäjä kirjautuu FIDO-todennusta tukevalle verkkopalvelulle, palvelu luo avainparin ja tallentaa julkisen avaimen palvelimilleen. Yksityinen avain tallennetaan vain käyttäjän laitteeseen. Sisäänkirjautumisen yhteydessä asiakassovellukselle esitetään julkisella avaimella generoitu salaushaaste, joka voidaan ratkaista vain yksityisellä avaimella. Käyttäjien on varmistettava henkilöllisyytensä laitteellaan (sormenjäljen, kasvojen tai PIN-koodin avulla) yksityisen avaimen avaamiseksi ja haasteen ratkaisemiseksi.
Tämän mallin etuna on, että se tarjoaa monitekijän todennuksen edellyttämättä salasanojen tallentamista ja vaihtamista. Vaikka hakkerit onnistuisivat rikkomaan palveluntarjoajan palvelimia, he pääsevät pääsyyn vain julkisiin avaimiin, jotka ovat turhia ilman käyttäjän laitteisiin tallennettuja vastaavia yksityisiä avaimia. Jos hakkerit varastavat käyttäjän laitteen, heidän on silti ohitettava paikallisen henkilöllisyyden todentaminen yksityisen avaimen saamiseksi. Käyttäjän näkökulmasta tämä poistaa tarpeen tallentaa jokaiselle tilille pitkät ja monimutkaiset salasanat samalla kun se tarjoaa parhaan mahdollisen turvallisuuden.
Mutta FIDO: n suurempi saavutus on tekniikan teollisuuden laaja tuki. Allianssi on koonnut yhteen suuria nimiä, kuten Google, Microsoft, Amazon ja Intel, kehittääkseen standardeja, jotka olisi helppo toteuttaa erityyppisissä laitetyypeissä ja käyttöjärjestelmissä.
"FIDO-allianssin muodostamiseen yhdistyneet yritykset ymmärsivät, että online-todennuksen salasanojen korvaamisesta voi koskaan tulla kaupallisesti kannattavaa vain yhdistämällä ilmaiset ja avoimet teknologiastandardit, huomattavasti parempi käyttökokemus ja täysin erilainen lähestymistapa tietoturvamalliin. ", McDowell sanoo.
FIDO julkaisi äskettäin FIDO2: n, laajennuksen standardiinsa, joka tukee julkisen avaimen todennusta selaimille ja monenlaisia sovelluskehyksiä. Standardia tukevat Windows 10, Android-palvelun Google Play -palvelut sekä Chrome-, Firefox- ja Edge-selaimet. WebKit, Applen Safari-selaimen takana oleva tekniikka, saattaa myös lisätä tukea FIDO2: lle pian.
"FIDO2-standardi mahdollistaa heikon salasanapohjaisen todennuksen korvaamisen vahvalla laitteistopohjaisella todennuksella, joka hyödyntää julkisen avaimen salausta", kertoo Ehrensvard, jonka Yubico-yritys kuuluu FIDO: n avain jäseniin. "Tämä standardi sallii salasanattoman todennuksen useissa muodoissa, mukaan lukien USB: n ja tap-and-go-NFC: n kautta, mikä tarjoaa optimaalisen käyttökokemuksen ja parantaa huomattavasti tietoturvaa ja tuottavuutta."
Milloin salasanat lopulta katoavat?
Vaikka teollisuus on edennyt pitkälle kohti vaihtoehtoisten todennusmenetelmien kehittämistä, salasanat eivät katoa yön yli. "Meidän on otettava huomioon, että meillä on paljon" vanhoja "ohjelmistoja ja tietojärjestelmiä. Siksi ei aina ole mahdollista muuttaa vakiintuneita todentamissääntöjä, myös salasanapohjaisia", sanoo REMME: n toimitusjohtaja Momot.
Muut asiantuntijat, kuten Sandor Palfy, LogMeIn-teknologiajohtaja, uskovat, että salasanat pysyvät keskeisenä tekijänä käyttäjien tunnistamisessa. Hän uskoo myös, että alan tulisi keskittyä salasanakokemuksen parantamiseen.
- Parhaat salasanan hallitsijat vuodelle 2019 Parhaat salasanan hallitsijat vuodelle 2019
- Mikä on salasana? Soita musiikkia ja kirjaudu sisään Brainwavesin kautta Mikä on salasana? Soita musiikkia ja kirjaudu sisään Brainwavesin kautta
- Vääriä pornoa käyttäviä sähköpostiviestejä vanhojen salasanojen avulla huijataksesi sinua rahaton
"Ennen kuin monen tekijän todennuksen (tai jopa käyttäytymiseen tai asiayhteyteen liittyvän todentamisen) kattavuus on saatavana, yritysten on investoitava koko organisaation käytössä olevien salasanasuojattujen palvelujen vahvistamiseen", Palfy sanoo.
"Kaikkien työmme ja henkilökohtaisten tiliemme ainutlaatuisten, monimutkaisten salasanojen muistaminen ei ole yhdenmukaista ihmisen luonnollisen käyttäytymisen kanssa. Käyttämällä työkaluja, kuten salasananhallintaa, useiden salasanojen muistamisen tulisi olla menneisyyttä, jolloin käyttäjien on muistettava vain yksi pääsalasana, "sanoo Palfy, jonka yritys on LastPass-salasanahallinnan kehittäjä.
Mutta McDowellille, joka on ollut FIDO: n johdolla vuodesta 2014, pyrkimys päästä salasanoihin on lopulta saavuttamassa viimeiset vaiheensa. "Tänään salasanattomasta tulevaisuudesta on tullut todellisuutta, yksi sovellus kerrallaan. Odotan muutaman vuoden kuluessa salasanan syöttämislomakkeita olevan yhtä harvinaisia verkkosivuilta, kuin julkiset puhelinkopit ovat julkisissa tiloissa nykyään, ja Samasta syystä - meillä on kustannustehokas, kaikkialla oleva vaihtoehto, joka tarjoaa paljon paremman käyttökokemuksen ", hän sanoo.
