Andra

Lösenord är döda, långa lösenord

Lösenord suger. Låt oss inte skära ord här eller slå runt busken. Alla hatar lösenord, och de har rätt att göra det. Lösenord är banan i vår moderna online-existens. Det är inte konstigt att våra kollektiva öron ökar och vi längtar efter att tro när vi hör frasen: lösenordsmördare! Håll käften och ta mina pengar!

I den här artikeln ska jag förklara hur vi kom till den här hemska platsen och hur vi gör det bästa av det. Då kommer jag att avslöja en uppsättning ny teknik som hävdar att de är "lösenordsdödare" ... och förklara varför vi borde undvika dem till varje pris. Och äntligen ska jag presentera dig för en söt, fuzzy critter som bara kan rädda oss alla.

Lösenordsproblemet

Låt oss spola lite och se hur vi kom hit först. Så snart vi flyttat från den verkliga världen till cyberspace konfronterades vi med ett problem: hur vet vi att du är vem du säger att du är? Det här är problemet med autentisering - hitta ett säkert, robust sätt att verifiera din identitet. Observera dock att detta inte är detsamma som att bestämma vem du är specifikt . Cyberspace erbjuder användare anonymitet (eller åtminstone möjligheten till anonymitet). Även om detta inte brukar vara fallet för finansiella transaktioner (t.ex. bank, shopping), behöver du i de flesta fall bara skapa ett slags alias för dig själv som inte är knutet till ditt namn, adress etc.

Identitet upprättas typiskt genom en eller flera av följande metoder:

  • Något du vet (lösenord, PIN, svar på "hemliga frågor")
  • Något du är (fingeravtryck, iris, ansikte)
  • Något du har (märke, foto ID, mobiltelefon)

För de flesta Internet-era var de tillgängliga metoderna för autentisering i cyberspace begränsade. Den enda inmatningsenhet som du kan garantera alla hade var ett tangentbord. Så den mest logiska form av identifiering, catering till den minst gemensamma nämnaren, var lösenordet. Och här är vi.

För lösenordsbaserade system för att fungera bra måste användarna ha ett annat lösenord för varje konto och varje lösenord får inte gissas. Tyvärr är den mänskliga hjärnan helt enkelt inte upp till den här uppgiften - och så kommer de flesta upp med 2-3 dåliga lösenord och använder dem om och om igen. Hackers vet det här och har utvecklat automatiserade verktyg som kan spricka de flesta människor skapade lösenord inom några minuter eller några sekunder. De börjar med att gissa gemensamma lösenord och fraser, och sedan varje kombination av ord i ordboken, sångtext, filmtitlar, sportlag, vanliga namn, datum osv. - bakåt och framåt, även med vissa bokstäver ersatt med siffror (noll för "0", etc.). Mörkare dödar bara inte en chans.

Det finns en enkel lösning på problemet, dock: en lösenordshanterare. Dessa användbara applikationer (som LastPass eller 1Password) kommer inte bara att komma ihåg och automatiskt mata in alla dina lösenord, de hjälper till att skapa löjligt starka lösenord för varje konto du har. Men trots det uppenbara användandet av lösenordsansvariga använder de väldigt få personer (så få som 8% enligt en rapport från Siber Systems i fjol).

Att veta hur otaliga människor är på att skapa bra lösenord har säkerhetsmedvetna företag och regeringar börjat kräva två former av "ID" nu, så kallad "tvåfaktorsautentisering". Det består vanligtvis av ett lösenord tillsammans med en enstaka numerisk kod, levererad till din smartphone via SMS eller genererad av ett smartphone-program. Även om de dåliga killarna lyckas gissa ditt lösenord, behöver de fortfarande vara i besittning av din smartphone för att komma åt ditt konto. Detta är den nuvarande guldstandarden och (när den tillämpas korrekt) kan ge ganska robust säkerhet. Tyvärr krävs det fortfarande det fruktade lösenordet. Och lösenord suger fortfarande. Visst i den här tiden av fantastiskt kraftfulla datorer, sofistikerad ljud- och videoförädling och allestädes närvarande smartphones chocka med sensorer, kan vi komma fram till någonting bättre ...

Ange lösenordsmördaren!

Google, tillverkaren av Android-operativsystemet och Nexus och Pixel-linjerna för smartphones, tror att det äntligen är gjort: de tror att de har skapat en teknik som äntligen "dödar" det äravärda lösenordet som en primär autentiseringsmetod. Med hjälp av det ovan nämnda sensorns sensorer i smartphones kan de känna igen dig genom att använda en kombination av ditt ansikte, din iris, din röst, din plats, din typhastighet och stil, vilka appar du använder och när du använder dem, och även hur du går. Sammantaget kommer de att utveckla ett "trust score" - en hemlig algoritm för att bestämma hur sannolikt det är att du är du. Denna poäng kommer att göras tillgänglig för dina telefonappar, vilket ger dem möjlighet att lämna ett lösenord om de är tillräckligt säker på vem som håller telefonen. Självklart kan olika appar kräva olika nivåer av självförtroende: Wells Fargo kommer sannolikt att vara ganska strikt (och med rätta), medan Jewel Mania kan vara lös.

Du kanske tänker: hur cool är det ?? Inga fler lösenord! Det vet bara att det är jag! Men låt oss gå tillbaka ett ögonblick ... låt oss överväga vad som verkligen händer här och undersöka konsekvenserna.

Googles trust score system är en av flera nya "password killers" -teknologier i horisonten. Andra exempel inkluderar röstigenkänning från företag som Barclays Bank och ett nytt Windows 10 ansiktsigenkänningsfunktion som heter Windows Hello. Alla dessa tekniker bygger på någon form av biometrisk data - det vill säga något du är (i motsats till något du vet: lösenord). Vad dessa system försöker göra är att komma på ett sätt - även på flera sätt - att identifiera dig positivt och robust. Med hjälp av olika sensorer tar dessa system alla typer av data för att utveckla en "biometrisk signatur" för dig, vilket distillerar din fysiska essens ner till en digital representation. Dessa signaturer sparas så att systemet kan använda det för att identifiera dig i framtiden - jämföra aktuella sensordata med lagrade data och bestämma om de matchar.

Lösenord eller användarnamn?

I mitt sinne finns det tre huvudproblem med den biometriska metoden för autentisering. Först av allt, på den mest grundläggande nivån, representerar din biometriska information mer av ett användarnamn eller användarnamn än ett lösenord - och ett ganska oflexibelt och smidigt användar-ID vid det. Å ena sidan, om du inte är villig att lemma dig själv, kan du inte ändra dessa egenskaper; Å andra sidan, om dina ögon, ansikte eller fingrar är oförskämda i någon form av olycka? Laryngit eller till och med en dålig förkylning kan göra din röst oigenkännlig. Även om du fortfarande är dig, ser du inte längre ut dessa system. Du är också inte joecool85 på den här sidan och där på en annan sida ... du är Joseph William Smith. Alltid. Överallt.

Sekretess och anonymitet

Vilket leder oss till det andra problemet: brist på anonymitet och integritet. Med biometrisk autentisering finns det inget sätt att vara anonym och inget sätt att skilja eller isolera din identitet från en plats till en annan. Det vill säga att du vill kunna interagera med vissa webbplatser men inte få dem att veta specifikt vem du är (anonymitet). Du skulle också vilja att dina handlingar på den webbplatsen är okända för andra personer och andra webbplatser (privatliv). Med biometrisk autentisering är båda omöjliga. I denna tid av global terrorism verkar många som villiga att ge upp privatlivet på Internet eftersom de tror att det kommer att hjälpa deras regering att hålla dem säkra. Men integritet och anonymitet är nödvändiga - inte bara för demokrati utan för mänskligheten. Det här kan vara en hel bok för sig själv, men om du inte tror på detta, skulle jag hänvisa dig till detta underbara TED-tal av Glenn Greenwald. För nu, låt oss bara hålla med om att biometrisk autentisering inaktiverar både integritet och anonymitet.

En utmärkt dramatisering av denna effekt finns i filmen Minoritetsrapport . I den här filmen kan Tom Cruises karaktär inte gå runt någonstans utan att automatiskt erkännas av allestädes närvarande övervakningssystem. Det här är inte bara statliga övervakningssystem, de är företagsreklamsystem som bara försöker "förbättra kundupplevelsen". I syfte att rikta in sig och skräddarsy sin annonsering, känner de att de måste känna så mycket om dig som möjligt - och känna igen dig vart du än går, fysiskt eller praktiskt taget. Men det här är inte längre science fiction - det händer faktiskt.

säkerhet

Det slutliga problemet med det biometriska baserade autentiseringssystemet är att det inte är tillräckligt säkert. Inget system kan någonsin vara 100% säkert, och så ingenjörsäkerhet för ett system handlar alltid om att avskaffa kostnad och bekvämlighet mot konsekvenserna av fel. Om en hacker bryter in i Amazon.com och klarar av att stjäla alla sina kunders lösenord, kan Amazon enkelt ogiltigt alla de förlorade lösenorden och tvinga alla att välja ett nytt lösenord. Men hur väljer du ett nytt ansikte, eller fingeravtryck eller röst? Något digitalt är lätt att kopiera eller stjäla, och kan omedelbart delas runt om i världen. När den här informationen stulits, är katten ut ur väskan, genien är ute av flaskan, den digitala hästen är ur den virtuella ladan. Spel över. Som ett exempel stal hackare över 5 miljoner digitaliserade fingeravtryck från US Office of Personnel Management förra året. De anställda kan aldrig använda någon typ av fingeravtrycksbaserad autentisering under resten av livet.

Men det är bara en aspekt på säkerhetsproblemet. Dina biometriska egenskaper är lätt att observera av andra - och det är möjligt att kopiera dem med samma typ av sensorer som användes för att fånga din digitala signatur i första hand. Ansiktsigenkänning och iris-skanningssystem kan luras av ett fotografi. Fingeravtryck kan kopieras från något du berörde. Röstigenkänningssystem kan luras med hjälp av fragment av inspelat tal. Även om erkännelsessystemen blir bättre, så gör de verktyg som kan användas för att lura dem. Också, vad ska du förhindra dig från att bli tvingad eller lurad till att tillhandahålla denna biometriska identifieringsinformation för någon ödmjuk person? Du behöver inte vara villig eller ens medveten att ge ett fingeravtryck eller ansiktssökning. Om du vill bli riktigt grislig, kan några av dina fysiska egenskaper faktiskt kunna stulas (Demolition Man, någon?).

Ärligt talat har vi bara reporat problemens yta. Vem äger dina biometriska signaturer? Var och hur lagras denna information? Vem har rätt att få tillgång till dessa uppgifter och vilken kontroll har du över denna åtkomst? För vilka andra ändamål kan denna information användas? När du väl har valt det här systemet, finns det något meningsfullt sätt att välja tillbaka?

Det finns fortfarande hopp

Medan det nuvarande systemet med lösenord och tvåfaktorsautentisering är extremt smärtsamt, är jag här för att berätta: biometrisk autentisering är inte svaret. Och det verkar som om folk kanske redan inser det här.

Det finns dock några andra lovande lösningar. Ett nytt autentiseringssystem som kallas SQRL (uttalad "ekorre") kan till exempel bevisa din identitet på en webbplats med en smart utmaning och svarsteknik som bara kräver att användaren klickar på en bild eller skannar en QR-kod med sin smartphone kamera. Det finns inget för användaren att ange, och därför finns det inget som användaren måste komma ihåg. Det betyder också att det inte finns något som webbplatsen behöver försöka lagra som kan stulen av hackare. Och bara för att lägga på tärningen på tårtan, du har en unik och "ansiktslös" identitet för varje webbplats - bevara din anonymitet på den här webbplatsen och skydda din integritet på alla andra.

Saker kommer troligen att bli värre innan de blir bättre, men jag tror att de kommer att bli bättre. Vi måste bara vara försiktiga för att inte hoppa fartyget innan vi verkligen får lösningar som kan hålla oss säkra, samtidigt som vi håller åtminstone möjligheten till anonymitet och integritet.

Vad tycker du om framtiden för autentisering?

Nu när du är i slutet av min artikel, skulle jag gärna höra din feedback om den här frågan! Vänligen lämna kommentarer och få en diskussion pågår. Jag kommer hoppa in ibland för att lägga till mina två cent och svara på dina frågor så mycket jag kan. Tack för att du läste och deltagit i konversationen.