Isi kandungan:
- Apa yang Mencegah Pengesahan Tanpa Kata Laluan?
- The Feds Come Knocking
- Mendapatkan pada halaman yang sama
- Bilakah kata laluan akhirnya pergi?
Video: near - saat sa mulai sayang ft Dian Sorowea [ official lyric video ] (November 2024)
Pada 2012, Wired 's Matt Honan menulis mengenai akibat buruk yang mengikat seluruh kehidupan digital anda dengan serangkaian huruf, digit, dan simbol. Honan hanyalah salah satu daripada ramai orang yang akaun dalam taliannya dirampas selepas penggodam menemui kata laluan mereka; Senarai mangsa juga mengandungi eksekutif teknologi tinggi, termasuk Mark Zuckerberg.
Walau bagaimanapun, kata laluan kekal sebagai kaedah utama untuk melindungi akaun dalam talian.
Tidak ada sedikit inovasi dalam ruang pengesahan. Pada tahun 2016, saya menulis tentang teknologi pengesahan yang menyediakan alternatif yang selamat dan mudah digunakan untuk kata laluan, tetapi sehingga baru-baru ini, tiada yang telah mencapai penggunaan massa.
Walau bagaimanapun, kini, kami berharap dapat menamatkan kata laluan yang panjang dan kompleks dengan beberapa peraturan dan piawaian terbuka yang memudahkan dan menggalakkan pelaksanaan kaedah pengesahan tanpa kata laluan dalam aplikasi dalam talian.
Apa yang Mencegah Pengesahan Tanpa Kata Laluan?
"Banyak kata laluan yang diperlukan dalam kehidupan seharian kita telah menjadi beban, itulah sebabnya kita melihat begitu banyak bukti yang digunakan atau lemah, " kata Stina Ehrensvard, Ketua Pegawai Eksekutif dan Pengasas Yubico, yang mengeluarkan kunci keselamatan fizikal seperti Yubikey 5 NFC. "Kami perlu memikirkan cara menangani masalah ini dengan cara memudahkan proses log masuk sambil menambah tahap keselamatan yang tertinggi. Sehingga sekarang, tidak ada cara untuk melakukan kedua-dua perkara itu dengan jayanya."
Kerentanan kata laluan tidak hilang pada organisasi yang terus menggunakannya. Tetapi sebelum mempertimbangkan alternatif, mereka mesti mengambil kira keselamatan, kebolehgunaan, ketersediaan, dan kos teknologi.
"Sebab kami tidak mengganti kata laluan sebelum ini dengan sesuatu yang lebih dipercayai ialah semua alternatif yang mungkin lebih baik untuk keselamatan atau kebolehgunaan tidak tersedia di mana-mana bentuk dan saiz peranti yang berkaitan dengan internet, dan tidak ada biaya - berkesan, "kata Brett McDowell, pengarah eksekutif Perikatan FIDO, sebuah konsortium yang membangunkan standard pengesahan.
Selain itu, kemasukan kata laluan adalah teknologi pengesahan yang paling mahal dan termudah untuk dilaksanakan di laman web baru dan apl mudah alih. Dan sementara alternatif seperti teknologi pengesahan biometrik telah menjadi lebih banyak tersedia di peranti mudah alih, entri kata laluan kekal sebagai ciri di mana-mana yang menyokong semua peranti. Mengalih keluarnya akan menghalang ramai pengguna mengakses perkhidmatan tersebut.
Kekurangan piawaian juga membuat sukar untuk beralih daripada kata laluan. Kos tambahan untuk menambah sokongan untuk berpuluh-puluh teknologi pengesahan yang berbeza dalam aplikasi klien dan pelayan backend adalah sesuatu yang kebanyakan organisasi tidak dapat menanggung.
Dan tentunya, selalu ada faktor manusia. "Sesetengah syarikat dan individu terus percaya bahawa mereka tidak akan terjejas oleh serangan siber dan mereka tidak berminat dengan penjenayah siber. Kekurangan keinginan dan sumber untuk mengubah penyelesaian yang ada menghalang penggunaan penyelesaian pengesahan tanpa kata laluan baru, " kata Alex. Momot, Ketua Pegawai Eksekutif REMME, permulaan membangunkan sistem pengesahan yang berpusat.
The Feds Come Knocking
Dalam tahun-tahun kebelakangan ini, terdapat peningkatan kesedaran mengenai keselamatan dan privasi dalam talian pengguna, terutamanya di kalangan agensi kerajaan dan pengawal selia. Walaupun sebelum ini, organisasi boleh mengasingkan pelanggaran data dan insiden keselamatan dengan sedikit kesan undang-undang dan kewangan, itu tidak lagi berlaku.
"Pengawal selia adalah bosan dengan tajuk utama pelanggaran data sebagai orang lain, dan mereka mula mengambil tindakan, mengakibatkan lebih banyak perniagaan menambah pengesahan kuat kepada amalan perlindungan data mereka, " kata McDowell.
Antara tindakan pengawalseliaan yang paling relevan ialah Peraturan Perlindungan Data Am (GDPR), satu set peraturan yang menentukan bagaimana syarikat mengumpul, mengendalikan, dan menjamin data pengguna. GDPR juga mentakrifkan standard bagi pengesahan pengguna yang kuat. Syarikat yang tidak mematuhi peraturan dan melindungi data pelanggan mereka akan dikenakan denda. GDPR terpakai kepada bidang kuasa EU sahaja, tetapi kerana banyak syarikat yang tidak berpusat di EU masih menjalankan perniagaan di rantau ini, kini dianggap standard emas untuk keselamatan.
"Pada masa apabila semakin banyak syarikat mengamalkan pengesahan yang kuat, dan semakin banyak pelanggaran data yang disebabkan oleh kompromi kata laluan, semakin sulit bagi suatu bisnis untuk membuat kes itu kepada pengatur GDPR yang pengesahan kata laluan hanya keselamatan yang tepat, berpotensi untuk mendedahkan syarikat mereka kepada denda yang jauh lebih mahal daripada harga pindah dari kata laluan kepada pengesahan yang kuat, "kata McDowell.
Peraturan khusus industri lain lebih jelas mengenai penggunaan teknologi pengesahan. Contohnya adalah Directive Services Payment 2 (PSD2), yang mengatur perkhidmatan e-dagang dan kewangan dalam talian di Eropah dan menjadikan mandatori dua faktor pengesahan (2FA). PSD2 juga menggalakkan penggunaan kad keselamatan, peranti mudah alih, dan pengimbas biometrik untuk meningkatkan pengalaman pengguna tanpa menjejaskan keselamatan.
Dan Institut Piawaian dan Teknologi Kebangsaan (NIST), yang mentakrifkan kriteria untuk pelbagai industri, menyatakan dalam garis panduan identiti digitalnya bahawa organisasi harus berpindah dari kata laluan dan kod laluan satu masa dan mengamalkan pengesahan kuat moden.
"Lebih terperinci, NIST mengesyorkan pengesahan di mana peranti moden anda mencipta dan menggunakan kunci persendirian kriptografi sebagai kelayakan akaun baru anda dan menyimpannya dengan selamat ke peranti peribadi anda dengan cara yang sama kebanyakan telefon pintar kini menyimpan data cap jari anda dengan selamat, " kata McDowell.
Terdapat perdebatan mengenai sama ada peraturan kerajaan akan menghalang atau menggalakkan inovasi. Tetapi pada ketika ini, kita mungkin memerlukan usaha pengawalseliaan terhadap penggunaan mekanisme pengesahan yang lebih selamat.
"Kerajaan boleh memainkan peranan penting dalam penerapan standard terbuka, " kata Ehrensvard. Sebagai contoh, lihatlah pada bangku angkat, sebagai contoh, ia juga merupakan standard terbuka, dan penggunaannya dikawal oleh pemerintah. Oleh sebab itu, terdapat 10 kali lebih banyak kereta di jalan raya hari ini tetapi jumlah yang lebih rendah dari kecelakaan kereta maut."
Mendapatkan pada halaman yang sama
Penggantian pengesahan kata laluan-hanya meluas lebih daripada peraturan. Tanpa satu set protokol standard, organisasi dan syarikat akan berjuang untuk mencari teknologi pengesahan yang membuat mereka selaras dengan peraturan keselamatan semasa membuat aplikasi mereka tersedia untuk pengguna mereka.
Itulah masalah FIDO ditetapkan untuk diselesaikan. Pengesahan FIDO didasarkan pada satu set standard teknologi percuma dan terbuka, dibangunkan dengan kerjasama World Wide Web Consortium (W3C). Matlamatnya adalah untuk mewujudkan operasi antara peranti dan perkhidmatan dengan membolehkan seluruh industri elektronik pengguna mengintegrasikan teknologi ke dalam produk dan platform mereka.
FIDO menggantikan kata laluan dengan kriptografi utama awam. Ini bermakna bahawa bukan kata laluan, pengguna dikenal pasti dengan sepasang kunci awam dan swasta. Apa-apa perkara yang disulitkan dengan kunci awam boleh didokripsi hanya dengan kunci persendirian yang sepadan. Apabila pengguna mendaftar dengan perkhidmatan dalam talian yang menyokong pengesahan FIDO, perkhidmatan menjana pasangan kunci dan menyimpan kunci awam pada pelayannya. Kunci peribadi disimpan pada peranti pengguna sahaja. Semasa log masuk, aplikasi klien dipaparkan dengan cabaran kriptografi yang dihasilkan dengan kunci awam, yang hanya boleh diselesaikan oleh kunci persendirian. Pengguna mesti mengesahkan identiti mereka dengan peranti mereka (melalui cap jari, muka, atau PIN) untuk membuka kunci kunci peribadi mereka dan menyelesaikan cabaran tersebut.
Kelebihan model ini ialah ia menyediakan pengesahan pelbagai faktor tanpa memerlukan penyimpanan dan pertukaran kata laluan. Walaupun penggodam berjaya melanggar pelayan penyedia perkhidmatan, mereka akan mendapat akses hanya ke kunci awam, yang tidak berguna tanpa kunci persendirian yang sama disimpan pada peranti pengguna. Jika penggodam mencuri peranti pengguna, mereka masih perlu memintas pengesahan identiti setempat untuk mendapatkan kunci persendirian. Dari perspektif pengguna, ini menghilangkan keperluan untuk menghafal kata laluan yang panjang dan kompleks untuk setiap akaun sambil menyediakan keselamatan yang lebih baik.
Tetapi pencapaian FIDO semakin mendapat sokongan dari industri teknologi tinggi. Perikatan itu telah mengumpulkan nama-nama besar seperti Google, Microsoft, Amazon, dan Intel untuk membangunkan piawaian yang mudah untuk dilaksanakan pada jenis peranti dan sistem operasi yang berbeza.
"Perniagaan yang datang bersama untuk membentuk FIDO Alliance memahami bahawa penggantian kata laluan untuk pengesahan dalam talian hanya boleh menjadi komersial secara berskala melalui gabungan standard teknologi yang bebas dan terbuka, pengalaman pengguna yang sangat unggul, dan pendekatan yang mendasarinya terhadap model keselamatan, "Kata McDowell.
FIDO baru-baru ini mengeluarkan FIDO2, lanjutan kepada piawaiannya yang menambah sokongan untuk pengesahan utama awam kepada penyemak imbas dan pelbagai kerangka kerja aplikasi. Standard ini disokong oleh Windows 10, Perkhidmatan Google Play di Android, dan pelayar web Chrome, Firefox, dan Edge. WebKit, teknologi di belakang pelayar Safari Apple, mungkin juga menambah sokongan untuk FIDO2 tidak lama lagi.
"Standard FIDO2 membolehkan penggantian pengesahan berasaskan kata laluan yang lemah dengan pengesahan berasaskan perkakasan yang kuat yang menggunakan kriptografi utama awam, " kata Ehrensvard, yang syarikatnya Yubico adalah antara ahli utama FIDO. "Piawaian ini membenarkan pengesahan tanpa kata laluan dalam beberapa bentuk, termasuk melalui USB dan ketik dan pergi NFC, yang menyediakan pengalaman pengguna yang optimum, dan secara drastik meningkatkan keselamatan dan produktiviti."
Bilakah kata laluan akhirnya pergi?
Walaupun industri telah lama menuju ke arah membangunkan kaedah pengesahan alternatif, kata laluan tidak akan hilang semalaman. "Kami harus mengambil kira bahawa kami mempunyai banyak perisian 'warisan' dan sistem maklumat. Itulah sebabnya mengapa tidak selalu mudah untuk menukar peraturan pengesahan yang mantap termasuk yang berasaskan kata laluan, " kata Momot, ketua eksekutif dari REMME.
Pakar-pakar lain seperti Sandor Palfy, CTO of LogMeIn, percaya kata laluan akan kekal sebagai aspek sentral untuk mengenal pasti pengguna. Beliau juga percaya industri itu harus memberi tumpuan untuk meningkatkan pengalaman kata laluan.
- Pengurus Kata Laluan Terbaik untuk 2019 Pengurus Kata Laluan Terbaik untuk 2019
- Apa kata laluan? Main Beberapa Muzik dan Log Masuk Melalui Brainwaves Apakah Kata Laluan? Mainkan Sesetengah Muzik dan Log Masuk Melalui Brainwaves
- Bogus Porn E-mel Menggunakan Kata Laluan Lama untuk Penipuan Anda Daripada Tunai Bogus Porn E-mel Menggunakan Kata Laluan Lama untuk Scam Anda Daripada Tunai
"Sehingga liputan universal dengan pengesahan multi-faktor (atau pengesahan tingkah laku atau konteks) disediakan, syarikat perlu melabur dalam menguatkan perkhidmatan yang dilindungi kata laluan digunakan di seluruh organisasi, " kata Palfy.
"Mengingati kata laluan yang unik dan kompleks untuk semua kerja kami dan akaun peribadi tidak sejajar dengan tingkah laku manusia semulajadi Dengan menggunakan alat seperti pengurus kata laluan, mengingatkan kata laluan berganda harus menjadi perkara yang lalu, dengan pengguna hanya perlu mengingat satu kata laluan utama, "kata Palfy, yang syarikatnya adalah pemaju pengurus kata laluan LastPass.
Tetapi kepada McDowell, yang telah menerajui FIDO sejak 2014, usaha untuk menamatkan kata laluan akhirnya mencapai tahap akhir. "Hari ini masa depan tanpa nama menjadi kenyataan, satu aplikasi pada satu masa. Dalam beberapa tahun, saya menjangka borang penyertaan kata laluan menjadi kira-kira seperti yang jarang ditemui di laman web sebagai gerai telefon awam berada di ruang awam hari ini, dan untuk Sebab yang sama-kami mempunyai alternatif yang kos efektif dan berkesan yang menawarkan pengalaman pengguna yang lebih baik, "katanya.
