Annen

Passord er døde, lange live passord

Passord suger. La oss ikke hakke ord her eller slå rundt bushen. Alle hater passord, og de har rett til å gjøre det. Passord er banen i vår moderne onlineekspert. Det er ikke rart at våre kollektive ører setter opp og vi lengter etter å tro når vi hører uttrykket: passordmord! Hold kjeft og ta pengene mine!

I denne artikkelen vil jeg forklare hvordan vi kom til dette forferdelige stedet og hvordan du skal få det beste ut av det. Jeg vil da avdekke et sett med ny teknologi som hevder å være "passordmordere" ... og forklare hvorfor vi bør unngå dem for enhver pris. Og til slutt vil jeg introdusere deg til en søt, fuzzy critter som bare kan redde oss alle.

Passordet problemer

La oss spole litt og se hvordan vi kom hit først. Så snart vi flyttet fra den virkelige verden til cyberspace, ble vi konfrontert med et problem: hvordan vet vi at du er den du sier du er? Dette er problemet med godkjenning - å finne en sikker og robust måte å bekrefte identiteten din på. Vær imidlertid oppmerksom på at dette ikke er det samme som å finne ut hvem du er spesifikt . Cyberspace tilbyr brukere anonymitet (eller i det minste muligheten for anonymitet). Selv om dette ikke vanligvis gjelder for finansielle transaksjoner (f.eks. Bank, shopping), må du i de fleste tilfeller bare etablere en slags alias for deg selv som ikke er knyttet til navn, adresse osv.

Identitet er vanligvis etablert ved en eller flere av følgende metoder:

  • Noe du vet (passord, PIN, svar på "hemmelige spørsmål")
  • Noe du er (fingeravtrykk, iris, ansikt)
  • Noe du har (badge, bilde ID, mobiltelefon)

For de fleste Internett-æra var tilgjengelige metoder for godkjenning i cyberspace begrenset. Den eneste inngangsenheten som du kunne garantere alle hadde, var et tastatur. Så den mest logiske form for identifikasjon, som var til stede med denne minst fellesnevneren, var passordet. Og her er vi.

For passordbaserte systemer for å fungere bra, må brukerne ha et annet passord for hver konto og hvert passord må ikke gjettes. Dessverre er den menneskelige hjernen ganske enkelt ikke opp til denne oppgaven - og så kommer de fleste med 2-3 dårlige passord og bruker dem igjen og igjen. Hackere vet dette og har utviklet automatiserte verktøy som kan sprekke de aller fleste menneskeskapte passord innen minutter eller sekunder. De begynner å gjette vanlige passord og setninger, og deretter alle kombinasjoner av ord i ordboken, sangtekster, filmtitler, sportsteam, vanlige navn, datoer og så videre - bakover og fremover, selv med noen bokstaver erstattet med tall (null for "0", etc.). Mere dødelige bare ikke stå en sjanse.

Det finnes en enkel løsning på dette problemet, men: en passordbehandling. Disse nyttige applikasjonene (som LastPass eller 1Password) vil ikke bare huske og automatisk skrive inn alle passordene dine, de vil bidra til å generere latterlig sterke passord for hver eneste konto du har. Til tross for det åpenbare verktøyet til passordforvaltere, bruker svært få personer dem (så få som 8% ifølge en rapport i fjor av Siber Systems).

Å vite hvordan inaktive mennesker er ved å skape gode passord, har sikkerhetsbevisste bedrifter og regjeringer begynt å kreve to former for "ID" nå, såkalt "tofaktorautentisering". Dette består vanligvis av et passord sammen med en engangs numerisk kode, levert til smarttelefonen via SMS eller generert av et smarttelefonprogram. Selv om de onde gutta klarer passordet ditt, må de fortsatt være i besittelse av smarttelefonen din for å få tilgang til kontoen din. Dette er den nåværende gullstandarden, og (når den er riktig implementert) kan gi relativt robust sikkerhet. Dessverre krever det fortsatt det fryktede passordet. Og passord suger fortsatt. Sikkert i denne tiden av fabulously kraftige datamaskiner, sofistikert lyd- og videoredigering og allestedsnærværende smarttelefoner, som er full av sensorer, kan vi komme opp med noe bedre ...

Skriv inn passordmordet!

Google, produsenten av Android-operativsystemet og Nexus og Pixel-linjene i smarttelefoner, mener at det endelig er gjort: de tror at de har opprettet en teknologi som endelig vil "drepe" det ærverdige passordet som en primær autentiseringsmetode. Ved å bruke den ovennevnte sensoren i smarttelefoner, vil de kunne gjenkjenne deg ved å bruke en kombinasjon av ansiktet, irisen din, stemmen din, din plassering, skrivehastigheten og stilen, hvilke apper du bruker og når du bruker dem, og selv hvordan du går. Samlet sett vil de utvikle en "trust score" - en hemmelig algoritme for å bestemme hvor sannsynlig det er at du er deg. Denne poengsummen blir gjort tilgjengelig for telefonappene dine, og gir dem muligheten til å gå ut av et passord hvis de er tilstrekkelig sikker på hvem som holder telefonen. Selvfølgelig kan forskjellige applikasjoner kreve forskjellige nivåer av selvtillit: Selv om Jewel Mania kan være loosey-goosey, vil Wells Fargo sannsynligvis være ganske streng (og med rette).

Du kan tenke: hvor kult er det? Ikke flere passord! Det vet bare at det er meg! Men la oss gå tilbake et øyeblikk ... la oss vurdere hva som skjer her og undersøke implikasjonene.

Googles trust score system er en av flere nye "passord killer" teknologier i horisonten. Andre eksempler inkluderer talegjenkjennelse fra selskaper som Barclays Bank og en ny Windows 10 ansiktsgjenkjenningsfunksjon kalt Windows Hello. Alle disse teknologiene er basert på noen form for biometriske data - det vil si noe du er (i motsetning til noe du vet: passord). Hva disse systemene forsøker å gjøre er å komme opp på en eller annen måte - til og med flere måter - å identifisere deg positivt og robust. Ved hjelp av ulike sensorer, tar disse systemene opp alle slags data for å utvikle en "biometrisk signatur" for deg, som destillerer din fysiske essens ned til en digital representasjon. Disse signaturene lagres så, slik at systemet kan bruke det til å identifisere deg i fremtiden - sammenligne gjeldende sensordata med lagrede data og avgjøre om de samsvarer.

Passord eller bruker ID?

I mitt sinn er det tre hovedproblemer med den biometriske tilnærmingen til autentisering. Først og fremst, på det mest grunnleggende nivå, representerer din biometriske informasjon mer av et brukernavn eller bruker-ID enn et passord - og en ganske ufleksibel og skrøbelig bruker-ID på det. På den ene siden, med mindre du er villig til å miste deg selv, kan du ikke endre disse egenskapene; På den annen side, hva om øynene, ansiktet eller fingrene dine er disfigured i en slags ulykke? Laryngitt eller enda dårlig kaldhet kan gjøre stemmen din ukjennelig. Selv om du fortsatt er deg, ser du ikke lenger ut til disse systemene. Også, du er ikke joecool85 på dette nettstedet og therealjsw på et annet nettsted ... du er Joseph William Smith. Alltid. Overalt.

Personvern og anonymitet

Som bringer oss til det andre problemet: mangel på anonymitet og personvern. Med biometrisk autentisering er det ingen måte å være anonym, og ingen måte å demontere eller isolere identiteten din fra ett nettsted til et annet. Det vil si at du vil kunne kommunisere med enkelte nettsteder, men ikke ha dem spesielt kjent som du er (anonymitet). Du vil også at dine handlinger på dette nettstedet skal være ukjente for andre mennesker og andre nettsteder (personvern). Med biometrisk autentisering er begge umulige. I denne alderen av global terrorisme virker mange mennesker villige til å gi opp privatlivets fred fordi de tror det vil hjelpe deres regjering å holde dem trygge. Men personvern og anonymitet er nødvendige - ikke bare for demokrati, men for menneskeheten. Dette kan være en hel bok for seg selv, men hvis du ikke tror dette, vil jeg henvise deg til denne fantastiske TED-snakk av Glenn Greenwald. For nå, la oss bare være enige om at biometrisk autentisering deaktiverer både personvern og anonymitet.

En utmerket dramatisering av denne effekten finnes i filmen Minoritetsrapport . I denne filmen kan Tom Cruise karakter ikke gå rundt hvor som helst uten å bli automatisk anerkjent av allestedsnærværende overvåkingssystemer. Dette er ikke bare offentlige overvåkingssystemer, de er bedriftens annonseringssystemer som bare prøver å "forbedre kundeopplevelsen". I navnet på målretting og skreddersy reklame, føler de at de må vite så mye om deg som mulig - og gjenkjenne deg hvor som helst du går, fysisk eller nesten. Dette er imidlertid ikke lenger science fiction - det skjer faktisk.

Sikkerhet

Det endelige problemet med det biometriske baserte autentiseringssystemet er at det ikke er sikkert nok. Ingen system kan noensinne være 100% sikker, og så prosjektering sikkerheten til et system handler alltid om å avregne kostnad og bekvemmelighet mot konsekvensene av feil. Hvis en hacker bryter inn i Amazon.com og klarer å stjele alle kundens passord, kan Amazon enkelt ugyldiggjøre alle de tapte passordene og tvinge alle til å velge et nytt passord. Men hvordan velger du et nytt ansikt, eller fingeravtrykk eller stemme? Alt digitalt er enkelt å kopiere eller stjele, og kan umiddelbart deles rundt om i verden. Når denne informasjonen er stjålet, er katten ut av posen, genien er ute av flasken, den digitale hesten er ute av den virtuelle låven. Spillet er over. Som bare ett eksempel stjal hackere over 5 millioner digitaliserte fingeravtrykk fra US Office of Personnel Management i fjor. De ansatte kan aldri bruke noen form for fingeravtrykksbasert godkjenning for resten av livet.

Men det er bare ett aspekt av sikkerhetsproblemet. Dine biometriske egenskaper er lett observere av andre - og det er mulig å kopiere dem ved hjelp av de samme sensorene som ble brukt til å fange din digitale signatur i utgangspunktet. Ansiktsgjenkjenning og iris-skanningssystemer kan lure av et fotografi. Fingeravtrykk kan kopieres fra noe du berørte. Stemmegjenkjenningssystemer kan lure seg ved hjelp av utklipp av innspilt tale. Selv om anerkjennelsessystemene blir bedre, så gjør de verktøyene som kan brukes til å lure dem. Også, hva er for å hindre at du blir tvunget eller lurt til å gi denne biometriske identifiserende informasjonen til noen annen kjærlig person? Du trenger ikke være villig eller til og med bevisst å gi fingeravtrykk eller ansiktssøk. Hvis du vil bli veldig gris, er noen av dine fysiske attributter faktisk i stand til å bli stjålet (Demolition Man, noen?).

Ærlig, vi har bare skrapet overflaten av problemene. Hvem eier dine biometriske signaturer? Hvor og hvordan lagres denne informasjonen? Hvem har lov til å få tilgang til disse dataene og hvilken kontroll har du over denne tilgangen? For hvilke andre formål kan denne informasjonen brukes? Når du har valgt dette systemet, er det noen meningsfylt måte å velge bort fra?

Det er fortsatt håp

Mens det nåværende systemet med passord og tofaktorautentisering er ekstremt smertefullt, er jeg her for å fortelle deg: biometrisk autentisering er ikke svaret. Og det ser ut til at folk kanskje allerede innser dette.

Det er imidlertid noen andre lovende løsninger. For eksempel kan et nytt autentiseringssystem kalt SQRL (uttalt "ekorn") vise deg identiteten din til et nettsted ved hjelp av en smart utfordrings- og responsteknikk som bare krever at brukeren klikker på et bilde eller skanner en QR-kode med smarttelefonen kamera. Det er ingenting for brukeren å skrive inn, og derfor er det ingenting som brukeren må huske. Det betyr også at det ikke er noe som nettstedet må forsøke å lagre som kan bli stjålet av hackere. Og bare for å sette glasur på kaken, har du en unik og "ansiktsløs" identitet for hvert nettsted - bevare anonymiteten din på dette nettstedet og beskytte personvernet ditt på alle de andre.

Ting vil trolig bli verre før de blir bedre, men jeg tror de vil bli bedre. Vi må bare være forsiktige med å ikke hoppe skipet før vi virkelig kommer opp med løsninger som kan holde oss trygge samtidig som vi beholder minst muligheten for anonymitet og personvern.

Hva synes du om fremtidens godkjenning?

Nå som du er på slutten av artikkelen min, vil jeg gjerne høre din tilbakemelding om dette problemet! Vennligst la kommentarer og få litt diskusjon gå. Jeg vil hoppe inn fra tid til annen for å legge til mine to cent, og svare på dine spørsmål så godt jeg kan. Takk for at du leser og for å delta i samtalen.