Innehållsförteckning:
- Vad förhindrar lösenordsfri autentisering?
- Fedsen kommer att slå
- Att komma på samma sida
- När kommer lösenord äntligen att gå bort?
Video: Minecraft Live 2020: Full Show (September 2024)
2012 skrev Wired 's Matt Honan om de katastrofala konsekvenserna av att binda hela ditt digitala liv till en rad bokstäver, siffror och symboler. Honan är bara en av otaliga människor vars onlinekonton kapades efter att hackare upptäckte sina lösenord; listan över offer innehåller också högprofilerade tekniska chefer, inklusive Mark Zuckerberg.
Och ändå är lösenord den viktigaste metoden för att skydda onlinekonton.
Det har inte skett någon liten mängd innovation på autentiseringsutrymmet. 2016 skrev jag om autentiseringstekniker som gav säkra och lättanvända alternativ till lösenord, men tills nyligen hade ingen uppnått massanvändning.
Men nu finns det hopp om att vi äntligen kan gräva långa, komplexa lösenord tack vare en rad förordningar och öppna standarder som underlättar och uppmuntrar implementeringen av lösenordsfria autentiseringsmetoder i onlineapplikationer.
Vad förhindrar lösenordsfri autentisering?
"Det stora antalet lösenord som behövs i vårt dagliga liv har blivit en börda, varför vi ser så många återanvända eller svaga statiska referenser, " säger Stina Ehrensvard, VD och grundare av Yubico, som tillverkar fysiska säkerhetsnycklar som Yubikey 5 NFC. "Vi behövde tänka på hur vi löser detta problem på ett sätt som förenklar inloggningsprocessen samtidigt som den högsta säkerhetsnivån läggs. Fram till nu har det inte riktigt funnits ett sätt att göra båda dessa saker framgångsrikt."
Lösenordens sårbarheter går inte förlorade på de organisationer som fortsätter att använda dem. Men innan de överväger alternativ måste de ta hänsyn till teknikens säkerhet, användbarhet, tillgänglighet och kostnader.
"Anledningen till att vi inte tidigare har bytt ut lösenord med något mer pålitligt är att alla alternativ som kan ha varit bättre för säkerhet eller användbarhet inte har varit allmänt tillgängliga för alla former och storlekar på internetanslutna enheter, och det har inte heller kostats -effektiv, "säger Brett McDowell, verkställande direktör för FIDO Alliance, ett konsortium som utvecklar autentiseringsstandarder.
Dessutom är lösenordsinmatning den billigaste och enklaste autentiseringstekniken att implementera på nya webbplatser och mobilappar. Och medan alternativ som biometrisk autentiseringsteknik har blivit mer allmänt tillgängliga på mobila enheter, förblir lösenordsinmatning den allestädes närvarande funktionen som alla enheter stöder. Att ta bort det skulle förhindra många användare att komma åt dessa tjänster.
Brist på standarder gör det också svårt att röra sig från lösenord. Kostnaderna för att lägga till stöd för dussintals olika autentiseringsteknologier i klientapplikationer och backend-servrar är något som de flesta organisationer inte kunde bära.
Och naturligtvis finns det alltid den mänskliga faktorn. "Vissa företag och individer fortsätter att tro att de inte kommer att påverkas av cyberattacker och att de inte är av intresse för cyberbrottslingar. En brist på önskan och resurser för att ändra befintliga lösningar hindrar antagandet av nya lösenordsfria autentiseringslösningar, " säger Alex Momot, VD för REMME, en start som utvecklar ett decentraliserat autentiseringssystem.
Fedsen kommer att slå
Under de senaste åren har medvetenheten om online-säkerhet och integritet hos användare ökat, särskilt bland myndigheter och myndigheter. Även om organisationer tidigare kunde ha tagit bort dataöverträdelser och säkerhetsincidenter med få juridiska och ekonomiska konsekvenser, är det inte längre fallet.
"Tillsynsmyndigheterna är lika trötta på rubrikerna för dataöverträdelser som någon annan, och de börjar vidta åtgärder, vilket resulterar i att fler företag lägger till stark autentisering i deras dataskyddspraxis, " säger McDowell.
Bland de mest relevanta lagstiftningsåtgärderna är General Data Protection Regulation (GDPR), en uppsättning regler som definierar hur företag samlar in, hanterar och säkrar användardata. GDPR definierar också standarder för stark användarautentisering. Företag som inte följer reglerna och skyddar sina kunders data kommer att bli böter hårt. GDPR gäller endast EU: s jurisdiktion, men eftersom många företag som inte är baserade i EU fortfarande bedriver verksamhet i regionen anses det nu vara en gyllene standard för säkerhet.
"I en tid då fler och fler företag använder stark autentisering och fler och fler dataöverträdelser orsakas av lösenordskompromiss kommer det att bli allt svårare för ett företag att göra saken till en GDPR-regulator som endast lösenordsgodkännande är lämplig säkerhet och potentiellt utsätta deras företag för böter som är mycket dyrare än priset för att flytta från lösenord till verkligt stark autentisering, säger McDowell.
Andra branschspecifika bestämmelser är mer tydliga när det gäller användning av autentiseringsteknik. Ett exempel är Payment Services Direktiv 2 (PSD2), som reglerar e-handel och online-finansiella tjänster i Europa och gör tvåfaktorsautentisering (2FA) obligatorisk. PSD2 uppmuntrar också användning av säkerhetskort, mobila enheter och biometriska skannrar för att förbättra användarupplevelsen utan att äventyra säkerheten.
Och National Institute of Standards and Technology (NIST), som definierar kriterierna för olika branscher, säger i sina riktlinjer för digitala identiteter att organisationer bör flytta bort från lösenord och lösenord för en gång och anta modern stark autentisering.
"Mer specifikt rekommenderar NIST autentisering där din moderna enhet skapar och använder kryptografiska privata nycklar som dina nya kontouppgifter och säkert lagrar dem på din personliga enhet på samma sätt som de flesta smartphones nu lagrar dina fingeravtrycksdata säkert, " säger McDowell.
Det diskuteras om regeringens reglering kommer att hämma eller uppmuntra innovation. Men vid denna tidpunkt kan vi behöva en lagstiftningspress mot antagandet av säkrare autentiseringsmekanismer.
"Regeringar kan spela en avgörande roll vid antagandet av öppna standarder", säger Ehrensvard. "Titta till exempel på säkerhetsbältet. Det är också en öppen standard, och dess användning reglerades av regeringen. På grund av detta finns det tio gånger fler bilar på vägen idag men ett lägre totalt antal döda bilolyckor."
Att komma på samma sida
Omfattande utbyte av lösenord-verifiering behöver mer än regler. Utan en uppsättning standardprotokoll kommer organisationer och företag att kämpa för att hitta en autentiseringsteknik som håller dem i linje med säkerhetsbestämmelserna samtidigt som deras applikationer är tillgängliga för sina användare.
Det var problemet som FIDO skulle lösa. FIDO-autentisering är baserad på en uppsättning gratis och öppna teknikstandarder, utvecklade i samarbete med World Wide Web Consortium (W3C). Målet är att skapa interoperabilitet mellan enheter och tjänster genom att göra det möjligt för hela konsumentelektronikindustrin att integrera tekniken i sina produkter och plattformar.
FIDO ersätter lösenord med kryptografi med offentlig nyckel. Detta betyder att i stället för lösenord identifieras användare med ett par offentliga och privata nycklar. Allt som är krypterat med en offentlig nyckel kan dekrypteras endast med motsvarande privata nyckel. När en användare registrerar sig med en onlinetjänst som stöder FIDO-autentisering genererar tjänsten ett nyckelpar och lagrar den offentliga nyckeln på sina servrar. Den privata nyckeln lagras endast på användarens enhet. När du loggar in presenteras klientapplikationen med en kryptografisk utmaning genererad med den offentliga nyckeln, som endast kan lösas med den privata nyckeln. Användare måste verifiera sin identitet med sin enhet (genom fingeravtryck, ansikte eller PIN) för att låsa upp sin privata nyckel och lösa utmaningen.
Fördelen med denna modell är att den ger autentisering med flera faktorer utan att behöva lagring och utbyte av lösenord. Även om hackare lyckas bryta med serviceleverantörens servrar får de bara tillgång till offentliga nycklar, som är värdelösa utan motsvarande privata nycklar lagrade på användarnas enheter. Om hackarna stjäl en användares enhet måste de fortfarande kringgå den lokala identitetsverifieringen för att få den privata nyckeln. Ur användarens perspektiv undviks detta behovet av att memorera långa, komplexa lösenord för varje konto samtidigt som den ger överlägsen säkerhet.
Men FIDO: s större prestation är att få utbrett stöd från teknikindustrin. Alliansen har samlat stora namn som Google, Microsoft, Amazon och Intel för att utveckla standarder som skulle vara lätta att implementera på olika enhetstyper och operativsystem.
"De företag som samlades för att bilda FIDO Alliance förståde att byte av lösenord för online-autentisering bara någonsin skulle kunna bli kommersiellt hållbart i skala genom en kombination av fria och öppna teknikstandarder, en mycket överlägsen användarupplevelse och en grundläggande annorlunda strategi för säkerhetsmodellen, Säger McDowell.
FIDO släppte nyligen FIDO2, en förlängning till sin standard som lägger till stöd för verifiering av allmän nyckel till webbläsare och ett brett utbud av applikationsramar. Standarden stöds av Windows 10, Google Play Services på Android och webbläsarna Chrome, Firefox och Edge. WebKit, tekniken bakom Apples Safari-webbläsare, kan också lägga till stöd för FIDO2 snart.
"FIDO2-standarden möjliggör ersättning av svag lösenordsbaserad autentisering med stark hårdvarubaserad autentisering som använder kryptering av offentlig nyckel, " säger Ehrensvard, vars företag Yubico är bland de viktigaste medlemmarna i FIDO. "Denna standard möjliggör lösenordsfri autentisering i flera former, inklusive via USB och tap-and-go NFC, vilket ger en optimal användarupplevelse och förbättrar drastiskt säkerheten och produktiviteten."
När kommer lösenord äntligen att gå bort?
Även om branschen har kommit långt mot att utveckla alternativa autentiseringsmetoder försvinner inte lösenord över en natt. "Vi borde ta hänsyn till att vi har en hel del 'äldre' programvara och informationssystem. Det är därför det inte alltid är möjligt att enkelt ändra etablerade regler för autentisering inklusive de som är lösenordsbaserade, " säger Momot, verkställande direktör från REMME.
Andra experter som Sandor Palfy, CTO för LogMeIn, tror att lösenord kommer att förbli en central aspekt för att identifiera användare. Han anser också att branschen bör fokusera på att förbättra lösenordsupplevelsen.
- De bästa lösenordshanterarna för 2019 De bästa lösenordshanterarna för 2019
- Vad är lösenordet? Spela lite musik och logga in via Brainwaves Vad är lösenordet? Spela lite musik och logga in via Brainwaves
- Bogus Porr-e-postmeddelanden med gamla lösenord för att bedra dig ur kontanter
"Fram till att universell täckning med autoförklaring med flera faktorer (eller till och med beteendemässig eller kontextuell autentisering) är tillgänglig måste företag investera i att stärka lösenordsskyddade tjänster som används i hela organisationen, " säger Palfy.
"Att komma ihåg unika, komplexa lösenord för alla våra arbeten och personliga konton överensstämmer inte med naturligt mänskligt beteende. Genom att använda verktyg som lösenordshanterare, bör komma ihåg flera lösenord vara en saga historia, där användare bara behöver komma ihåg ett huvudlösenord, "säger Palfy, vars företag är utvecklaren av LastPass-lösenordshanteraren.
Men till McDowell, som har varit vid rodret för FIDO sedan 2014, är strävan att utrota lösenord äntligen slutligen. "Idag blir den lösenordsfria framtiden en verklighet, en applikation i taget. Inom några år förväntar jag mig att lösenordsinmatningsformulär är ungefär lika sällsynta att hitta på webbsidor som offentliga telefonkiosker finns i offentliga utrymmen idag, och för av samma anledning - vi har ett kostnadseffektivt, allestädes närvarande alternativ som erbjuder en mycket bättre användarupplevelse, säger han.
