סיסמאות מתות, סיסמאות חיות ארוכות

סיסמאות מציצות. בואו לא נקצר מילים או ננצח סביב השיח. כולם שונאים סיסמאות, והם צודקים בכך. סיסמאות הן נטל הקיום המקוון המודרני שלנו. אין פלא שהאוזניים הקולקטיביות שלנו צוברות ואנחנו משתוקקים להאמין כשאנחנו שומעים את הביטוי: רוצח סיסמא! שתוק וקח את הכסף שלי!

אני אסביר איך הגענו למקום האיום הזה ואיך להפיק את המיטב. לאחר מכן אגלה אוסף של טכנולוגיות חדשות הטוענות שהם "רוצחי סיסמאות" … ואסביר מדוע עלינו להימנע מהן בכל מחיר. ולבסוף, אכיר לך מבקר חמוד ומטושטש שעשוי להציל את כולנו.

מצוקת הסיסמא

בואו אחורה מעט ונבדוק איך הגענו לכאן מלכתחילה. ברגע שעברנו מהעולם האמיתי למרחב הסייבר עמדנו בפני בעיה: איך נדע שאתה מי שאתה אומר שאתה? זו בעיית האימות - למצוא דרך בטוחה וחזקה לאמת את זהותך. עם זאת, שים לב שזה לא אותו דבר כמו להבין מי אתה ספציפית . Cyberspace מציע למשתמשים אנונימיות (או לפחות אפשרות לאנונימיות). אמנם בדרך כלל זה לא המקרה לעסקאות פיננסיות (למשל בנקאות, קניות), ברוב המקרים אתה צריך רק ליצור לעצמך כינוי כלשהו שאינו קשור לשמך, כתובת וכו '.

זהות נקבעת בדרך כלל על ידי אחת או יותר מהשיטות הבאות:

• משהו שאתה יודע (סיסמא, מספר זיהוי אישי, תשובות ל"שאלות סודיות ")
• משהו שאתה (טביעת אצבע, איריס, פנים)
• משהו שיש לך (תג, מזהה תמונה, טלפון סלולרי)

ברוב עידן האינטרנט, שיטות האימות הזמינות במרחב הסייבר היו מוגבלות. מכשיר הקלט היחיד שאתה יכול להבטיח לכולם היה מקלדת. אז צורת ההזדהות ההגיונית ביותר, קייטרינג למכנה הכי פחות משותף זה, הייתה הסיסמה. והנה אנחנו.

כדי שמערכות מבוססות סיסמאות יעבדו היטב, המשתמשים חייבים סיסמה שונה עבור כל חשבון ואסור שיהיה ניתן לנחש כל סיסמה. למרבה הצער, המוח האנושי פשוט לא עומד במשימה זו - ולכן רוב האנשים מגיעים עם 2-3 סיסמאות גרועות ומשתמשות בהן שוב ושוב. האקרים יודעים זאת ופיתחו כלים אוטומטיים שיכולים לפצח את הרוב המכריע של הסיסמאות שנוצרו על ידי אדם תוך דקות ואף שניות. הם מתחילים בניחוש סיסמאות וביטויים נפוצים, ואז כל שילוב של מילים במילון, מילות שירים, כותרות סרטים, קבוצות ספורט, שמות נפוצים, תאריכים וכן הלאה - אחורה כמו גם קדימה, אפילו עם כמה אותיות שהוחלפו במספרים (אפס עבור "0" וכו '). בני תמותה גרידא פשוט אין סיכוי.

עם זאת, קיים פיתרון פשוט לבעיה זו: מנהל סיסמאות. יישומים מועילים אלה (כמו LastPass או 1Password) לא רק יזכרו ותזינו אוטומטית את כל הסיסמאות שלכם, הם יעזרו לייצר סיסמאות חזקות עד כדי גיחוך עבור כל חשבון שיש לכם. עם זאת, למרות התועלת הברורה של מנהלי הסיסמאות, מעט מאוד אנשים משתמשים בהם (עד 8% על פי דוח של חברת Siber Systems).

בידיעה עד כמה אנשים חסרי יכולת ליצור סיסמאות טובות, חברות וממשלות המודעות לאבטחה החלו לדרוש שתי צורות של "מזהה" כעת, מה שמכונה "אימות דו-גורמי". זה בדרך כלל מורכב מסיסמה יחד עם קוד מספרי חד פעמי, המועבר לסמארטפון שלך באמצעות SMS או שנוצר על ידי אפליקציית סמארטפון. גם אם הרעים מצליחים לנחש את הסיסמה שלך, הם עדיין צריכים להיות ברשותם של הסמארטפון שלך כדי לגשת לחשבון שלך. זהו תקן הזהב הנוכחי ו (כאשר הוא מיושם כהלכה) יכול לספק ביטחון די חזק. למרבה הצער, זה עדיין דורש סיסמה אימה. והסיסמאות עדיין מבאסות. בטח בעידן הזה של מחשבים חזקים להפליא, עיבוד שמע ווידיאו מתוחכם וטלפונים חכמים בכל מקום מלאי חיישנים, אנו יכולים למצוא משהו טוב יותר …

הזן את רוצח הסיסמאות!

גוגל, יצרנית מערכת ההפעלה אנדרואיד וקווי הטלפונים החכמים Nexus ו- Pixel, מאמינה שהיא סוף סוף עשתה זאת: הם מאמינים שהם יצרו טכנולוגיה שסוף סוף "תהרוג" את הסיסמה הנערצת כשיטת אימות ראשונית. בעזרת מעטפת החיישנים הנזכרת בסמארטפונים הם יוכלו לזהות אותך באמצעות שילוב של הפנים שלך, הקשתית שלך, הקול שלך, המיקום שלך, מהירות ההקלדה שלך וסגנון, באילו אפליקציות אתה משתמש ומתי אתה משתמש בהן, אפילו איך אתה הולך יחד עם כולם, הם יפתחו "ציון אמון" - אלגוריתם סודי לקביעת מידת הסבירות שאתה אתה. ציון זה יעמוד לרשות אפליקציות הטלפון שלך, ויאפשר להם לוותר על סיסמה אם הם בטוחים מספיק מי מחזיק את הטלפון. ברור שאפליקציות שונות עשויות לדרוש רמות שונות של אמון: בעוד תכשיט מאניה עשוי להיות רופף-אווז, וולס פארגו כנראה יהיה די קפדני (ובצדק).

יתכן שאתה חושב: כמה זה מגניב ?? אין עוד סיסמאות! זה פשוט יידע שזו אני! אבל בואו נחזור רגע אחורה… בואו נשקול מה באמת קורה כאן ונבחן את ההשלכות.

מערכת ציוני האמון של גוגל היא אחת מכמה טכנולוגיות "רוצח סיסמאות" חדשות באופק. דוגמאות נוספות כוללות זיהוי קולי מחברות כמו Barclays Bank ותכונה חדשה לזיהוי פנים של Windows 10 בשם Windows Hello. כל הטכנולוגיות הללו מבוססות על סוג כלשהו של נתונים ביומטריים - כלומר משהו שאתה (בניגוד למשהו שאתה יודע: סיסמאות). מה שמערכות אלה מנסות לעשות הוא לבוא בדרך כלשהי - אפילו דרכים מרובות - לזהות אותך באופן חיובי ואיתן. באמצעות חיישנים שונים, מערכות אלה לוכדות כל מיני נתונים על מנת לפתח עבורך "חתימה ביומטרית", תוך זיקוק המהות הפיזית שלך לייצוג דיגיטלי. חתימות אלה מאוחסנות אז כך שהמערכת תוכל להשתמש בהן כדי לזהות אותך בעתיד - השוואה בין נתוני החיישן הנוכחיים לנתונים המאוחסנים וקביעת האם הם תואמים.

סיסמא או מזהה משתמש?

לדעתי, יש שלוש בעיות עיקריות בגישה הביומטרית לאימות. ראשית, ברמה הבסיסית ביותר, המידע הביומטרי שלך מייצג יותר שם משתמש או מזהה משתמש מאשר סיסמא - ומזהה משתמש לא גמיש ושביר. מצד אחד, אלא אם כן אתה מוכן להשפיל את עצמך, אינך יכול לשנות את המאפיינים האלה; מצד שני, מה אם העיניים, הפנים או האצבעות שלך לא יתמוססות בתאונה כלשהי? דלקת גרון או אפילו הצטננות רעה עלולים להפוך את הקול שלך לבלתי ניתן לזיהוי. למרות שאתה עדיין אתה, למערכות אלה אתה כבר לא נראה שאתה. כמו כן, אינך מחפש אתר באתר זה, וגם אתר אחר … אתה ג'וזף וויליאם סמית '. תמיד. בכל מקום.

פרטיות ואנונימיות

מה שמביא אותנו לבעיה השנייה: חוסר אנונימיות ופרטיות. עם אימות ביומטרי, אין דרך להיות אנונימית ואין דרך להתנתק או לבודד את זהותך מאתר לאתר. כלומר, אתה רוצה להיות מסוגל לקיים אינטראקציה עם אתרי אינטרנט מסוימים, אך לא שיידע אותם באופן ספציפי מי אתה (אנונימיות). אתה רוצה גם שפעולותיך באתר זה לא יהיו מוכרות לאנשים אחרים ואתרי אינטרנט אחרים (פרטיות). עם אימות ביומטרי, שניהם בלתי אפשריים. בעידן זה של טרור עולמי, אנשים רבים נראים מוכנים לוותר על פרטיות מקוונת מכיוון שהם מאמינים שזה יעזור לממשלתם לשמור עליהם. אך פרטיות ואנונימיות הם הכרחיים - לא רק לדמוקרטיה, אלא גם לאנושות. זה יכול להיות ספר שלם בפני עצמו, אבל אם אתה לא מאמין בכך, הייתי מפנה אותך לשיחת ה- TED הנהדרת הזו של גלן גרינוולד. לעת עתה, בואו נסכים כי אימות ביומטרי מבטל את הפרטיות ואת האנונימיות כאחד.

דרמטיזציה מצוינת של אפקט זה ניתן למצוא בסרט דוח המיעוטים . בסרט זה, דמותו של טום קרוז לא יכולה להסתובב בשום מקום בלי להכיר אוטומטית על ידי מערכות ניטור בכל מקום. אלה לא רק מערכות מעקב ממשלתיות, אלא מערכות פרסום של חברות שרק מנסות "לשפר את חווית הלקוח". בשם המיקוד והתאמת הפרסום שלהם, הם מרגישים שהם חייבים לדעת עליכם כמה שיותר - ולהכיר בכם לאן שתגיעו, פיזית או ממש. עם זאת, זה כבר לא מדע בדיוני - זה קורה למעשה.

אבטחה

הבעיה הסופית במערכת האימות המבוססת על ביומטריה היא שהיא לא מספיק בטוחה. אף מערכת אף פעם לא יכולה להיות מאובטחת במאה אחוז, ולכן הנדסת האבטחה של מערכת היא תמיד על סחר במחיר ונוחות כנגד השלכות של כישלון. אם האקר פורץ ל- Amazon.com ומצליח לגנוב את כל הסיסמאות של הלקוחות שלהם, אמזון יכולה פשוט לפסול את כל הסיסמאות האבודות ולהכריח את כולם לבחור סיסמא חדשה. אבל איך בוחרים פנים חדשות, טביעת אצבע או קול? כל דבר דיגיטלי קל להעתקה או לגניבה, וניתן לשתף אותו באופן מיידי ברחבי העולם. ברגע שנגנב מידע זה, החתול יצא מהתיק, הגאוני יוצא מהבקבוק, הסוס הדיגיטלי יוצא מהאסם הווירטואלי. סוף משחק. כדוגמה אחת בלבד, האקרים גנבו בשנה שעברה מעל 5 מיליון טביעות אצבעות דיגיטליות ממשרד ניהול כוח האדם האמריקני. עובדים אלה לעולם אינם יכולים להשתמש בשום סוג של אימות מבוסס טביעות אצבע.

אבל זה רק היבט אחד לבעיית האבטחה. התכונות הביומטריות שלך ניתנות לצפייה על ידי אחרים - ואפשר להעתיק אותן באמצעות אותם סוגים של חיישנים ששימשו ללכידת החתימה הדיגיטלית שלך מלכתחילה. תצלום יכול להטעות מערכות זיהוי פנים וסריקת איריס. ניתן להעתיק טביעות אצבע ממשהו שנגעת בו. ניתן לשטות במערכות זיהוי קולי באמצעות קטעי דיבור מוקלטים. אפילו ככל שמערכות ההכרה משתפרות, כך גם הכלים שניתן להשתמש בהם כדי להטעות אותם. כמו כן, מה מונע מכפייה או תרמה לספק את המידע המזהה הביומטרי הזה לאדם אחר ומצער? אתה לא צריך להיות מוכן ואפילו לא מודע לספק טביעת אצבע או סריקת פנים. אם אתה רוצה להיות ממש בזריז, כמה מהתכונות הגופניות שלך למעשה מסוגלות להיגנב (איש ההריסה, מישהו?).

בכנות, רק גירדנו את פני הבעיות. מי הבעלים של חתימות ביומטריות שלך? היכן ואיך מאוחסן מידע זה? למי מותר לגשת לנתונים אלו ואיזו שליטה יש לך בגישה זו? לאילו מטרות אחרות ניתן להשתמש במידע זה? לאחר שתצטרף למערכת זו, האם יש דרך משמעותית לבטל את הסכמתך?

עדיין יש תקווה

בעוד שמערכת הסיסמאות הנוכחית ואימות הדו-גורמים היא כואבת ביותר, אני כאן כדי לומר לכם: אימות ביומטרי אינו התשובה. ונראה שאנשים כבר יכולים להבין זאת.

עם זאת, ישנם כמה פתרונות מבטיחים אחרים. לדוגמה, מערכת אימות חדשה הנקראת SQRL (מבוטאת "סנאי") מאפשרת לך להוכיח את זהותך לאתר באמצעות טכניקת אתגר ותגובה חכמה אשר רק דורשת מהמשתמש ללחוץ על תמונה או לסרוק קוד QR באמצעות הסמארטפון שלו. מצלמה. אין למשתמש מה להכנס, ולכן אין שום דבר שהמשתמש צריך לזכור. זה אומר גם שאין שום אתר שאתר צריך לנסות לאחסן אותו על ידי האקרים. ורק לשים את הדובדבן על העוגה, יש לך זהות ייחודית ו"חסרת פנים "לכל אתר אינטרנט - שמירה על האנונימיות שלך באתר זה, ושמירה על פרטיותך על כל האחרים.

הדברים כנראה יחמירו לפני שהם ישתפרו, אבל אני מאמין שהם ישתפרו. עלינו רק להיזהר מקפיצות ספינה לפני שנמצא באמת פתרונות שיכולים להגן עלינו תוך שמירה על לפחות אפשרות לאנונימיות ופרטיות.

מה אתה חושב על עתיד האימות?

עכשיו כשאתה בסוף המאמר שלי, אשמח לשמוע את המשוב שלך בנושא זה! בבקשה השאירו תגובות וקראו דיונים. אני אקפוץ מדי פעם להוסיף את שני הסנטים שלי, ואענה על השאלות שלך כמיטב יכולתי. תודה שקראתם ולקחתם חלק בשיחה.