Andet

Adgangskoder er døde, lange live adgangskoder

Adgangskoder suger. Lad os ikke hakke ord her eller slå rundt i bushen. Alle hader adgangskoder, og de har ret til det. Adgangskoder er banen i vores moderne online eksistens. Det er ikke underligt, at vores kollektive ører sætter op og vi længes efter at tro, når vi hører sætningen: password killer! Hold kæft og tag mine penge!

I denne artikel forklarer jeg, hvordan vi kom til dette forfærdelige sted, og hvordan man gør det bedste ud af det. Jeg vil så afsløre et sæt nye teknologier, der hævder at være "password killers" ... og forklare hvorfor vi bør undgå dem for enhver pris. Og endelig vil jeg introducere dig til en sød, fuzzy critter, der bare kan redde os alle.

Adgangskoden for adgangskoden

Lad os spole lidt og se, hvordan vi kom her i første omgang. Så snart vi flyttede fra den virkelige verden til cyberspace, blev vi konfronteret med et problem: hvordan ved vi, at du er den, du siger, du er? Dette er problemet med godkendelse - at finde en sikker og robust måde at bekræfte din identitet på. Bemærk dog, at dette ikke er det samme som at finde ud af, hvem du er specifikt . Cyberspace tilbyder brugere anonymitet (eller i det mindste muligheden for anonymitet). Selv om dette ikke normalt er tilfældet for finansielle transaktioner (f.eks. Bank, shopping), skal du i de fleste tilfælde kun oprette en form for alias for dig selv, der ikke er bundet til dit navn, adresse osv.

Identitet er typisk oprettet ved en eller flere af følgende metoder:

  • Noget du ved (password, PIN, svar på "hemmelige spørgsmål")
  • Noget du er (fingeraftryk, iris, ansigt)
  • Noget du har (badge, foto ID, mobiltelefon)

For de fleste Internet-æra var de tilgængelige autentificeringsmetoder i cyberspace begrænset. Den eneste input enhed, som du kunne garantere alle havde, var et tastatur. Så den mest logiske form for identifikation, catering til denne mindste fællesnævner, var adgangskoden. Og her er vi.

For adgangskodebaserede systemer til at fungere godt, skal brugerne have en anden adgangskode til hver konto og hver adgangskode må ikke gætte. Desværre er den menneskelige hjerne simpelthen ikke op til denne opgave - og så kommer de fleste op med 2-3 dårlige adgangskoder og bruger dem igen og igen. Hackere kender dette og har udviklet automatiserede værktøjer, der kan knække det store flertal af menneskeskabte adgangskoder inden for få minutter eller endog sekunder. De begynder at gætte almindelige adgangskoder og sætninger, og derefter hver kombination af ord i ordbogen, sangtekster, filmtitler, sportshold, almindelige navne, datoer osv. - bagud og fremad, selv med nogle bogstaver erstattet med tal (nul for "0" osv.). Mere dødelige bare står ikke en chance.

Der findes en simpel løsning på dette problem, dog: en adgangskode manager. Disse nyttige applikationer (som LastPass eller 1Password) vil ikke kun huske og automatisk indtaste alle dine adgangskoder, de vil hjælpe med at generere latterligt stærke adgangskoder til hver eneste konto, du har. På trods af det indlysende brug af adgangskodeadministratorer bruger meget få mennesker dem (så få som 8% ifølge en rapport fra Siber Systems sidste år).

At vide, hvor uhyggelige mennesker er ved at skabe gode adgangskoder, har sikkerhedsbevidste virksomheder og regeringer begyndt at kræve to former for "ID" nu, såkaldt "to-faktor-godkendelse". Dette består normalt af et kodeord sammen med en engangs numerisk kode, leveret til din smartphone via SMS eller genereret af et smartphone program. Selvom de onde gutter kan gætte dit kodeord, skal de stadig være i besiddelse af din smartphone for at få adgang til din konto. Dette er den nuværende guldstandard, og (når den implementeres korrekt) kan give ret robust sikkerhed. Desværre kræver det stadig den frygtede adgangskode. Og adgangskoder suger stadig. Sikkert i denne æra af fabelagtige magtfulde computere, sofistikeret lyd- og videobearbejdning og allestedsnærværende smartphones chock fuld af sensorer, kan vi komme op med noget bedre ...

Indtast password killeren!

Google, maker af Android-operativsystemet og Nexus og Pixel-linjerne af smartphones, mener, at det endelig er gjort: de tror, ​​at de har skabt en teknologi, der endelig vil "dræbe" den ærværdige adgangskode som en primær godkendelsesmetode. Ved hjælp af det førnævnte sensormodus i smartphones kan de genkende dig ved at bruge en kombination af dit ansigt, din iris, din stemme, din placering, din skrivehastighed og stil, hvilke apps du bruger, og når du bruger dem, og selv hvordan du går. Taget sammen, vil de udvikle en "trust score" - en hemmelig algoritme til at bestemme, hvor sandsynligt det er, at du er dig. Denne score vil blive gjort tilgængelig for dine telefonapps, hvilket giver dem mulighed for at foregå en adgangskode, hvis de er tilstrækkeligt sikre på, hvem der holder telefonen. Selvfølgelig kan forskellige apps kræve forskellige niveauer af selvtillid: Selvom Jewel Mania kan være loosey-goosey, vil Wells Fargo sandsynligvis være ret streng (og med rette).

Du kan tænke: hvor sej er det? Ikke flere adgangskoder! Det ved bare , at det er mig! Men lad os gå et øjeblik tilbage ... lad os overveje, hvad der virkelig foregår her og undersøge konsekvenserne.

Googles trust score system er en af ​​flere nye "password killers" teknologier i horisonten. Andre eksempler omfatter voice recognition fra virksomheder som Barclays Bank og en ny Windows 10 ansigtsgenkendelsesfunktion kaldet Windows Hello. Alle disse teknologier er baseret på en form for biometrisk data - det vil sige noget, du er (i modsætning til noget du kender: adgangskoder). Hvad disse systemer forsøger at gøre er at komme op på en eller anden måde - selv på flere måder - til at identificere dig positivt og robust. Ved hjælp af forskellige sensorer opfanger disse systemer alle slags data for at udvikle en "biometrisk signatur" til dig, der destillerer din fysiske essens ned til en digital repræsentation. Disse signaturer gemmes så, at systemet kan bruge det til at identificere dig i fremtiden - sammenligne de aktuelle sensordata med de lagrede data og bestemme, om de matcher.

Adgangskode eller bruger-id?

Efter min mening er der tre hovedproblemer med den biometriske tilgang til godkendelse. Først og fremmest på det mest grundlæggende niveau repræsenterer din biometriske information mere af et brugernavn eller bruger-id end et kodeord - og en temmelig ufleksibel og skrøbelig bruger-id på det. På den ene side, medmindre du er villig til at lemlæse dig selv, kan du ikke ændre disse egenskaber; på den anden side, hvad hvis dine øjne, ansigt eller fingre er desinficeret i en form for ulykke? Laryngitis eller endda en dårlig forkølelse kan gøre din stemme uigenkendelig. Selvom du stadig er dig, synes du ikke længere at være dig for disse systemer. Du er også ikke joecool85 på denne side og der er også et andet websted ... du er Joseph William Smith. Altid. Overalt.

Privatliv og anonymitet

Det bringer os til det andet problem: manglende anonymitet og privatliv. Med biometrisk autentificering er der ingen måde at være anonym og ingen måde at adskille eller isolere din identitet fra et websted til et andet. Det vil sige, at du vil være i stand til at interagere med nogle hjemmesider, men ikke have dem vide specifikt, hvem du er (anonymitet). Du vil også gerne have dine handlinger på dette websted for at være ukendt for andre mennesker og andre websteder (privatlivets fred). Med biometrisk autentificering er begge umulige. I denne alder af global terrorisme synes mange mennesker villige til at opgive online privatliv, fordi de tror det vil hjælpe deres regering med at holde dem sikre. Men privatliv og anonymitet er nødvendige - ikke kun for demokrati, men for menneskeheden. Dette kunne være en hel bog til sig selv, men hvis du ikke tror på dette, vil jeg henvise til denne vidunderlige TED-tale af Glenn Greenwald. For nu, lad os bare være enige om, at biometrisk godkendelse deaktiverer både privatlivets fred og anonymitet.

En fremragende dramatisering af denne effekt findes i filmen Minoritetsrapport . I denne film kan Tom Cruise's karakter ikke gå rundt hvor som helst uden at blive automatisk genkendt af allestedsnærværende overvågningssystemer. Disse er ikke kun offentlige overvågningssystemer, de er corporate advertising systemer, der bare forsøger at "forbedre kundeoplevelsen". Med hensyn til målretning og skræddersy deres annoncering føler de, at de skal vide så meget om dig som muligt - og genkende dig hvor som helst du fysisk eller næsten. Dette er imidlertid ikke længere science fiction - det sker faktisk.

Sikkerhed

Det sidste problem med det biometriske baseret autentificeringssystem er, at det ikke er sikkert nok. Intet system kan nogensinde være 100% sikkert, og så ingeniørens sikkerhed for et system handler altid om at afregne omkostninger og bekvemmelighed mod konsekvenserne af fiasko. Hvis en hacker bryder ind i Amazon.com og klarer at stjæle alle deres kunders adgangskoder, kan Amazon simpelthen invalidere alle de mistede adgangskoder og tvinge alle til at vælge en ny adgangskode. Men hvordan vælger du et nyt ansigt, eller fingeraftryk eller stemme? Alt digitalt er nemt at kopiere eller stjæle, og kan øjeblikkeligt deles rundt om kloden. Når disse oplysninger er stjålet, er katten ude af posen, genien er ude af flasken, den digitale hest er ude af den virtuelle stald. Spil over. Som et enkelt eksempel stjal hackere over 5 millioner digitaliserede fingeraftryk fra det amerikanske kontor for personaleledelse sidste år. Disse medarbejdere kan aldrig bruge nogen form for fingerprint-baseret godkendelse for resten af ​​deres liv.

Men det er kun et aspekt af sikkerhedsproblemet. Dine biometriske kvaliteter kan let observeres af andre - og det er muligt at kopiere dem ved hjælp af de samme typer af sensorer, der blev brugt til at fange din digitale signatur i første omgang. Ansigtsgenkendelse og iris-scanningssystemer kan narre af et fotografi. Fingeraftryk kan kopieres fra noget, du rørte ved. Stemmegodkendelsessystemer kan narre ved hjælp af uddrag af indspillet tale. Selv som anerkendelsessystemerne bliver bedre, så gør de værktøjer, der kan bruges til at narre dem. Også, hvad skal du forhindre dig i at blive tvinget eller narret til at levere denne biometriske identificerende information til en noget nydelig anden person? Du behøver ikke være villig eller endda bevidst om at levere et fingeraftryk eller ansigtsscanning. Hvis du vil blive rigtig gris, er nogle af dine fysiske egenskaber rent faktisk i stand til at blive stjålet (Demolition Man, anyone?).

Ærligt, vi har kun ridset overfladen af ​​problemerne. Hvem ejer dine biometriske signaturer? Hvor og hvordan gemmes disse oplysninger? Hvem har lov til at få adgang til disse data, og hvilken kontrol har du over denne adgang? Til hvilke andre formål kan disse oplysninger bruges? Når du har valgt dette system, er der nogen meningsfuld måde at vælge fra?

Der er stadig håb

Mens det nuværende system af adgangskoder og tofaktorautentificering er yderst smertefuldt, er jeg her for at fortælle dig: biometrisk autentificering er ikke svaret. Og det ser ud til, at folk måske allerede indser dette.

Der er dog nogle andre lovende løsninger. For eksempel giver et nyt autentificeringssystem kaldet SQRL (udtalet "egern") dig mulighed for at bevise din identitet på et websted ved hjælp af en smart udfordring og reaktionsteknik, der kun kræver, at brugeren klikker på et billede eller scanner en QR-kode med deres smartphone kamera. Der er ikke noget for brugeren at indtaste, og derfor er der intet, som brugeren skal huske. Det betyder også, at der ikke er noget, som hjemmesiden skal forsøge at gemme, der kunne blive stjålet af hackere. Og for at sætte prikken på kagen har du en unik og "ansigtsløs" identitet for alle hjemmesider - bevare din anonymitet på det pågældende websted og beskytte dit privatliv på alle de andre.

Sager vil nok blive værre, før de bliver bedre, men jeg tror, ​​de bliver bedre. Vi skal bare være forsigtige med ikke at hoppe på skibet, før vi virkelig kommer op med løsninger, der kan holde os sikre, samtidig med at vi i det mindste beholder muligheden for anonymitet og privatliv.

Hvad synes du om fremtidens godkendelse?

Nu hvor du er i slutningen af ​​min artikel, vil jeg gerne høre din feedback om dette problem! Venligst send kommentarer og få en diskussion i gang. Jeg vil springe ind fra tid til anden for at tilføje mine to cent, og besvare dine spørgsmål så godt jeg kan. Tak fordi du læste og deltog i samtalen.