Чи є смартфони ключем до кращої онлайн-безпеки?

Сотні мільйонів людей щодня використовують паролі – вони розблоковують наші пристрої, електронну пошту, соціальні мережі і навіть банківські рахунки. Однак паролі стають все більш слабким способом захисту: Не минає й тижня, щоб в новинах не з’являлися повідомлення про серйозні прогалини в системі безпеки. Цього тижня це компанія Cisco – виробник більшої частини обладнання, яке по суті забезпечує роботу Інтернету.

Зараз майже всі прагнуть перейти від паролів до багатофакторної автентифікації: вимагаючи “щось, що у вас є” або “щось, ким ви є” на додаток до того, що ви знаєте. Біометричні технології, які вимірюють очі, відбитки пальців, обличчя і/або голос, стають все більш практичними, але часто не спрацьовують для деяких людей, і їх важко впровадити для сотень мільйонів користувачів.

Чи не нехтуємо ми очевидним? Хіба рішення багатофакторної безпеки не лежить у нас в кишені?

• Підступне оновлення iOS змусило мене знову захопитися iPhone 14 Pro
• Як iPhone 14 Plus став одним з найбільших технологічних провалів 2022 року
• Як перенести фотографії з iPhone на iPhone

Онлайн-банкінг

Вірте чи ні, але американці вже багато років використовують багатофакторну автентифікацію при здійсненні банківських операцій в Інтернеті – або, принаймні, її урізані версії. У 2001 році Федеральна рада з нагляду за фінансовими установами (FFIEC) вимагала від американських банківських онлайн-сервісів впровадити справжню багатофакторну автентифікацію до 2006 року.

На дворі 2013 рік, а ми все ще входимо в інтернет-банкінг за допомогою паролів. Що ж сталося?

“В основному, банки лобіювали”, – сказав Річ Могулл, генеральний директор і аналітик Securosis. “Біометрія і токени безпеки можуть добре працювати в ізоляції, але дуже важко масштабувати їх навіть для простого банкінгу. Споживачі не хочуть мати справу з безліччю подібних речей. Більшість людей навіть не ставлять паролі на телефони”.

Отже, банки відступили. До 2005 року FFIEC випустила оновлені рекомендації, які дозволили банкам здійснювати автентифікацію за допомогою пароля та “ідентифікації пристрою” – по суті, профілювання систем користувачів. Якщо клієнт входить в систему з відомого пристрою, йому просто потрібен пароль; в іншому випадку, клієнту потрібно пройти більше обручів – як правило, проблемні питання. Ідея полягає в тому, що профілювання пристроїв зводиться до перевірки того, що користувачі мають (комп’ютер, смартфон або планшет), щоб супроводжувати пароль, який вони знають.

Банки стали більш витонченими в ідентифікації пристроїв, і все новіші федеральні рекомендації вимагають від банків використовувати більше, ніж легко скопійовані файли cookie браузера. Але система все ще слабка. Все відбувається по єдиному каналу, тому якщо зловмисник може підключитися до з’єднання користувача (можливо, шляхом крадіжки, злому або шкідливого програмного забезпечення), то все скінчено. Крім того, до будь-кого ставляться як до клієнта, який використовує новий пристрій – і, як може засвідчити оглядач New York Times Девід Поуг, правдиві відповіді на питання безпеки іноді забезпечують незначний захист.

Однак, обмежена форма багатофакторної безпеки інтернет-банкінгу має великі переваги для споживачів. Для більшості користувачів профілювання пристрою здебільшого невидиме і працює так само, як і пароль, який розуміє майже кожен.

Google Authenticator

Цифрові токени, картки безпеки та інші пристрої використовуються в багатофакторній автентифікації протягом десятиліть. Однак, як і біометрія, поки що нічого не виявилося працездатним для мільйонів звичайних людей. Також немає поширених стандартів, тому для доступу до улюблених сервісів людям може знадобитися з десяток різних брелоків, токенів, флешок і карток. Ніхто цього робити не буде.

А як щодо телефонів у наших кишенях? Майже рік тому дослідники виявили, що майже 90 відсотків дорослих американців мають мобільні телефони – майже половина з них мають смартфони. Зараз ці цифри мають бути вищими: чи не будуть вони використовуватися для багатофакторної автентифікації?

Саме ця ідея лежить в основі двоетапної перевірки Google, яка надсилає одноразовий PIN-код на телефон за допомогою SMS або голосу при вході в сервіси Google. Користувачі вводять і свій пароль, і код для входу в систему. Звичайно, телефони можуть бути загублені або вкрадені, а при розряді батареї або відсутності мобільного зв’язку користувачі опиняються заблокованими. Але сервіс працює навіть з функціональними телефонами, і, безумовно, є більш безпечним – хоча і менш зручним – ніж один лише пароль.

Двоетапна перевірка Google стає ще цікавішою з Google Authenticator, доступною для Android, iOS та BlackBerry. Google Authenticator використовує Time-based One-Time Passwords (TOTP) – стандарт, підтриманий Ініціативою з відкритої автентифікації (Initiative for Open Authentication). По суті, додаток містить зашифрований секрет і генерує новий шестизначний код кожні 30 секунд. Користувачі вводять цей код разом зі своїм паролем, щоб довести, що вони мають правильний пристрій. Поки годинник на телефоні правильний, Google Authenticator працює без телефонного зв’язку; більше того, його 30-секундні коди працюють з іншими сервісами, які підтримують TOTP: зараз це Dropbox, LastPass та Amazon Web Services. Аналогічно, інші додатки, які підтримують TOTP, можуть працювати з Google.

Але існують певні проблеми. Користувачі надсилають коди підтвердження по тому ж каналу, що і паролі, тому вони вразливі до тих же сценаріїв перехоплення, що і в онлайн-банкінгу. Оскільки додатки TOTP містять секрет, будь-хто (в будь-якій точці світу) може згенерувати легітимні коди, якщо додаток або секрет буде зламано. І жодна система не є ідеальною: Минулого місяця Google виправив проблему, яка могла дозволити тотальне поглинання облікових записів за допомогою паролів для конкретних додатків. Прикольно.

Куди ми йдемо далі?

Найбільша проблема з такими системами, як двоетапна перевірка Google, полягає в тому, що вони є головним болем в дупі. Ви хочете возитися зі своїм телефоном і кодами кожного разу, коли ви входите в сервіс? А ваші батьки, бабусі, дідусі, друзі чи діти? Більшість людей не хочуть. Навіть технофіли, які люблять крутий фактор (і безпеку), швидше за все, знайдуть цей процес незручним вже через кілька тижнів.

Цифри свідчать про те, що біль реальний. У січні Google надав Роберту Макміллану з Wired графік двоетапного впровадження, включаючи сплеск, що супроводжував статтю Мет Хонана “Епічний злом” в серпні минулого року. Зверніть увагу, на якій осі немає позначок? Представники Google відмовилися повідомити, скільки людей використовують двофакторну автентифікацію, але віце-президент Google з питань безпеки Ерік Гросс сказав MacMillan, що після статті Хонана зареєструвалося чверть мільйона користувачів. За цією метрикою, за моїми приблизними підрахунками, на сьогоднішній день зареєстровано близько 20 мільйонів людей – це лише невелика частка від 500+ мільйонів людей, які, як стверджує Google, мають акаунти Google+. Ця цифра здалася приблизно правильною співробітниці Google, яка не захотіла, щоб її ім’я було названо: За її оцінками, менше десяти відсотків “активних” користувачів Google+ зареєструвалися. “І не всі з них дотримуються цього”, – зазначила вона.

“Коли у вас є неприборкана аудиторія, ви не можете припускати будь-якої поведінки, що виходить за рамки базових принципів – особливо, якщо ви не дали цій аудиторії причини бажати такої поведінки”, – сказав Крістіан Гесслер, генеральний директор компанії LiveEnsure, що займається мобільною автентифікацією. “Неможливо навчити мільярд людей робити те, чого вони не хочуть”.

LiveEnsure покладається на користувачів, які підтверджують свою автентифікацію за допомогою мобільного пристрою (або навіть за допомогою електронної пошти). Достатньо ввести лише ім’я користувача (або скористатися послугою єдиного входу, наприклад, Twitter або Facebook), і LiveEnsure використовує ширший контекст користувача для автентифікації: пароль не потрібен. Наразі LiveEnsure використовує “пряму видимість” – користувачі сканують QR-код на екрані за допомогою телефону, щоб підтвердити свій вхід – але незабаром з’являться й інші методи перевірки. LiveEnsure обходить перехоплення, використовуючи окреме з’єднання для верифікації, але також не покладається на спільні секрети в браузерах, пристроях або навіть своєму сервісі. Якщо система зламана, LiveEnsure стверджує, що окремі фрагменти не мають ніякої цінності для зловмисника.

“Те, що є в нашій базі даних, можна розіслати на компакт-дисках як різдвяний подарунок, і це буде марно”, – сказав Гесслер. “Ніякі секрети не передаються по дроту, єдина транзакція – це просте “так” або “ні””.

Підхід LiveEnsure простіший, ніж введення PIN-коду, але все одно вимагає від користувачів вправлятися з мобільними пристроями і додатками для входу в систему. Інші мають на меті зробити цей процес більш прозорим.

Toopher використовує обізнаність мобільних пристроїв про своє місцезнаходження через GPS або Wi-Fi як спосіб прозорої автентифікації користувачів – принаймні, із заздалегідь затверджених місць.

“Toopher привносить більше контексту в рішення про аутентифікацію, щоб зробити його непомітним”, – сказав засновник і технічний директор компанії Еван Грімм (Evan Grimm). “Якщо користувач, як правило, здійснює онлайн-банкінг вдома, він може автоматизувати його, щоб зробити це рішення невидимим”.

Автоматизація не є обов’язковою: Користувачі можуть підтверджувати на своєму мобільному пристрої кожен раз, якщо вони хочуть. Але якщо користувачі скажуть Туферу, що це нормально, їм потрібно лише мати телефон у кишені, і автентифікація відбувається прозоро. Користувачі просто вводять пароль, а все інше залишається невидимим. Якщо пристрій знаходиться в невідомому місці, користувачі повинні підтвердити на своєму телефоні – і якщо немає зв’язку, Toopher повертається до PIN-коду на основі часу, використовуючи ту ж саму технологію, що і Google Authenticator.

“Toopher не намагається кардинально змінити користувацький досвід, – сказав Грімм. “Проблема з іншими багатофакторними рішеннями полягала не в тому, що вони не додавали захисту, а в тому, що вони змінювали досвід користувача, і тому мали перешкоди для прийняття”.

Ви повинні бути в грі

Паролі нікуди не зникнуть, але вони будуть доповнені місцезнаходженням, одноразовими PIN-кодами, рішеннями для захисту в зоні прямої видимості і звуку, біометричними даними або навіть інформацією про пристрої Bluetooth і Wi-Fi, що знаходяться поблизу. Смартфони і мобільні пристрої здаються найбільш вірогідним способом додати більше контексту для автентифікації.

Звичайно, ви повинні бути в грі, якщо хочете грати. Не у всіх є смартфони, і нова технологія автентифікації може виключити користувачів без новітніх технологій, залишаючи решту світу більш вразливими до хакерських атак і крадіжок особистих даних. Цифрова безпека може легко стати тим, що відрізняє тих, хто має, від тих, хто не має.

І поки що неможливо сказати, які рішення переможуть. Toopher і LiveEnsure – лише два з багатьох гравців, і всі вони стикаються з проблемою “курки і яйця”: без прийняття як користувачами, так і службами, вони нікому не допоможуть. Тофер нещодавно отримав 2 мільйони доларів на стартап-фінансування; LiveEnsure веде переговори з деякими великими іменами і сподівається незабаром вийти з режиму “стелс”. Але поки що рано говорити про те, де хто опиниться в кінцевому підсумку.

Тим часом, якщо сервіс, на який ви покладаєтеся, пропонує будь-яку форму багатофакторної автентифікації – за допомогою SMS, додатку для смартфона або навіть телефонного дзвінка – серйозно розгляньте її. Це майже напевно кращий захист, ніж просто пароль … навіть якщо це також майже напевно біль в дупі.

[Оновлено 24 березня 2013 року з метою уточнення деталей щодо FFIEC та LiveEnsure, а також виправлення виробничої помилки].

Рекомендації редакції

• Топ-9 Instagram: як побачити свої 9 найкращих фотографій 2022 року
• Як легко створювати та ділитися фотоальбомами на iPhone
• Google Pixel 7: як зробити скріншот і записати свій екран
• Щойно придбали новий iPhone? Ось 12 порад і підказок, як його освоїти
• Як налаштувати новий телефон Samsung Galaxy як професіонал

Source: digitaltrends.com