Kaip „Apple“, „Google“ ir „Microsoft“ vienu smūgiu sunaikins slaptažodžius ir sukčiavimą


Kaip „Apple“, „Google“ ir „Microsoft“ vienu smūgiu sunaikins slaptažodžius ir sukčiavimą

Getty Images

Jau daugiau nei dešimtmetį mums buvo žadama, kad pasaulis be slaptažodžių yra visai šalia, tačiau metai iš metų ši saugumo nirvana pasirodo nepasiekiama. Pirmą kartą veiksmingos beslaptažodžio autentifikavimo formos bus prieinamos masėms kaip Apple, Google ir Microsoft priimtas standartas, leidžiantis kelių platformų ir kelių paslaugų prieigos raktus.

Praeityje stumdomos slaptažodžių žudymo schemos patyrė daugybę problemų. Pagrindinis trūkumas buvo perspektyvaus atkūrimo mechanizmo nebuvimas, kai kas nors prarado telefono numerių arba fizinių žetonų ir telefonų, susietų su paskyra, kontrolę. Kitas apribojimas buvo tas, kad dauguma sprendimų galiausiai iš tikrųjų nebuvo be slaptažodžio. Vietoj to, jie suteikė vartotojams galimybę prisijungti naudojant veido nuskaitymą arba pirštų atspaudus, tačiau šios sistemos galiausiai atsisakė slaptažodžio, o tai reiškė, kad sukčiavimas, pakartotinis slaptažodžių naudojimas ir pamiršti slaptažodžiai – visos priežastys, dėl kurių iš pradžių nekentėme slaptažodžių. neišeik.

Naujas požiūris

Šį kartą skiriasi tai, kad „Apple“, „Google“ ir „Microsoft“, atrodo, naudoja tą patį gerai apibrėžtą sprendimą. Negana to, sprendimas vartotojams yra paprastesnis nei bet kada anksčiau, o didelių paslaugų, tokių kaip „Github“ ir „Facebook“, įdiegimas kainuoja pigiau. Jis taip pat buvo kruopščiai sukurtas ir recenzuotas autentifikavimo ir saugumo ekspertų.

Maketas, kaip atrodys autentifikavimas be slaptažodžio.
Padidinti / Maketas, kaip atrodys autentifikavimas be slaptažodžio.

FIDO aljansas

Dabartiniai daugiafaktorinio autentifikavimo (MFA) metodai per pastaruosius penkerius metus padarė didelę pažangą. Pavyzdžiui, „Google“ leidžia atsisiųsti „iOS“ arba „Android“ programą, kurią naudoju kaip antrą veiksnį prisijungdamas prie „Google“ paskyros iš naujo įrenginio. Remiantis CTAP – trumpinys kliento ir autentifikatoriaus protokolas– ši sistema naudoja „Bluetooth“ ryšį, kad užtikrintų, jog telefonas yra arti naujojo įrenginio ir kad naujasis įrenginys iš tikrųjų yra prijungtas prie „Google“, o ne „Google“ prisidengianti svetainė. Tai reiškia, kad negalima sukčiauti. Standartas užtikrina, kad telefone saugomos kriptografinės paslapties nebūtų galima išgauti.

„Google“ taip pat teikia Papildomos apsaugos programa kuriam reikalingi fiziniai raktai kaip atskiri raktai arba galutinio vartotojo telefonai, kad būtų galima autentifikuoti prisijungimus iš naujų įrenginių.

Šiuo metu didžiausias apribojimas yra tas, kad MFA ir autentifikavimą be slaptažodžio kiekvienas paslaugų teikėjas įdiegia skirtingai (jei išvis). Kai kurie teikėjai, kaip ir dauguma bankų ir finansinių paslaugų, vis tiek siunčia vienkartinius slaptažodžius SMS žinutėmis arba el. paštu. Pripažindami, kad tai nėra saugi priemonė slaptoms paslaptims perduoti, daugelis paslaugų perėjo prie metodo, žinomo kaip TOTP – trumpinys laiku pagrįstą vienkartinį slaptažodį– kad būtų galima pridėti antrą veiksnį, kuris efektyviai padidina slaptažodį su veiksniu „kažkas turiu“.

Fiziniai saugos raktai, TOTP ir, kiek mažesniu mastu, dviejų veiksnių autentifikavimas SMS žinutėmis ir el. paštu yra svarbus žingsnis į priekį, tačiau išlieka trys pagrindiniai apribojimai. Pirma, TOTP, sugeneruoti naudojant autentifikavimo programas ir išsiųsti teksto pranešimu arba el. paštu galima sukčiauti, kaip ir įprasti slaptažodžiai. Antra, kiekviena paslauga turi savo uždarą MFA platformą. Tai reiškia, kad net naudojant MFA formas, kurių negalima sukčiauti, pvz., atskirus fizinius raktus arba telefono raktus, vartotojui reikia atskiro „Google“, „Microsoft“ ir bet kurios kitos interneto nuosavybės rakto. Dar blogiau, kiekviena OS platforma turi skirtingus MFA įgyvendinimo mechanizmus.

Šios problemos užleidžia vietą trečiajai: daugumos galutinių vartotojų netinkamumas naudoti ir nereikšmingos išlaidos bei sudėtingumas, su kuriuo susiduria kiekviena paslauga, kai bando pasiūlyti MFP.