בבעלותך זהות משלך באמצעות אימות אוניברסלי דו-גורמי

מי אתה? מבחינת מרבית האתרים המאובטחים, אתה חשבון הדואר האלקטרוני שלך. שכחת ססמה? אין בעיה - אנו נשלח קוד איפוס בדוא"ל! אם חשבון הדוא"ל שלך נופל לידיים הלא נכונות, אתה דפוק טוב ותקין. האקרים שפוצחים את חשבון ה- PayPal שלך מקבלים גישה לחשבון זה בלבד; האקרים שפוצחים את חשבון הדוא"ל שלך משיגים הכל .

כאן נכנס אימות דו-גורמי. כמעט כל ספק דוא"ל מציע אימות מסוג כלשהו מעבר לשם משתמש וסיסמא פשוטים אופקים. חלקם ישלחו טקסט לסמארטפון שלך. אחרים מאפשרים לך לקשר את החשבון לאפליקציה כמו המאמת של Google או Twilio Authy. בלי הרבה תרועה, גוגל החליקה אפשרות אחרת להגנה על חשבון Gmail שלך - מפתח האבטחה. עכשיו אתה יכול לבטל את נעילת הדוא"ל שלך באמצעות מפתח, בדיוק כמו שאתה מנעול את המכונית שלך, או את דלת הכניסה שלך. ואם לתומכים באימות זה בסגנון חדש, דרכם, מפתח זה יפתח בקרוב אתרים ויישומים רבים נוספים.

זהות מהירה ברשת

כל מפתח אבטחה מיישם תקן בשם U2F, עבור "אוניברסלי דו-פקטורי." תקן פתוח זה פורסם על ידי הברית FIDO (Fast IDentity Online), שגוגל היא חברה בולטת בה. יוביקו, מעביר מכשיר האימות Yubikey, הוא חבר בולט נוסף, ולמעשה עיקר העיצוב של מפתח האבטחה מגיע מיוביקו. עם זאת, התקן פתוח לרווחה והקוד זמין, כך שמספר ספקים אחרים כבר מוכרים דגם משלהם של מפתח האבטחה.

Yubikey המקורי עבד על ידי שליחת סיסמא חד פעמית ליישומים תומכים כמו LastPass. אתה עדיין יכול להשתמש ב- Yubikey המעודכן למטרה זו, אך על מנת ליישם את FIDO U2F הוא מכיל כעת כרטיס חכם מובנה אשר מקיים אינטראקציה עם יישומים תומכים. שני סוגי המכשירים הישנים והחדשים הם עמידים ביותר; יש לי Yubikey שמקשקש בכיסי עם המפתחות שלי מאז 2009.

באשר לברית עצמה, רשימת החברות שלה נראית כמו מי של מי בתחום האוצר והביטחון. בין חברי ההנהלה נמנים כמובן גוגל ויוביקו, אך תוכלו למצוא גם סמסונג, בנק אוף אמריקה, מיקרוסופט, מאסטרקארד וויזה. החברים הרבים יותר ברמת החסות כוללים קוסטקו, דל, אינג, נטפליקס וולס פארגו. זו ברית במשקל כבד!

שימוש במפתח אבטחה עם Gmail

אתה יכול לקנות מפתח אבטחה FIDO U2F מיוביקו במחיר של 18 דולר, או לסרוק את הרשת לקבלת מבצעים של יצרנים אחרים. ראיתי אותם תמורת 5 דולר בלבד. לפני שתוכל לרשום את מפתח האבטחה שלך, עליך להגדיר אימות דו-גורמי מסורתי, באמצעות Google Authenticator או ש- Gmail ישלח קוד אימות לסמארטפון שלך כשאתה מנסה להתחבר. לאחר שתשלים את התצורה הזו, מצא כרטיסייה שכותרתה מפתח אבטחה. שים לב שרק כרום נתמך כרגע, כך שאם אתה מתחבר לדפדפן אחר תצטרך להשתמש באימות מבוסס סמארטפון.

רישום מפתח אבטחה הוא פשוט. לחץ על הרשמה כדי להכין את המערכת, הכנס את מפתח האבטחה שלך וגע בכפתור הזהב שבמפתח. בוצע! אתה יכול לרשום מספר מפתחות בסיכוי שתאבד אחד מהם. רק אל תשמור את כולם באותו מקום!

כאשר דבר מלבד סיסמה מגן על הדוא"ל שלך, כל מי שלומד סיסמה זו יכול לפתוח את חשבונך. עם הגנה על מפתחות האבטחה, שום דבר לא יפתח את חשבונך מלבד לחיצת היד בין הכרטיס החכם של מפתח האבטחה ליישום המאובטח. גישה מרחוק פשוט לא אפשרית, מכיוון שיזם לחיצת יד זו מחייב לגעת בכפתור המקש.

העתיד של U2F

בכנס RSA שנערך לאחרונה בסן פרנסיסקו, קלטתי את סטינה ארנסווארד, מנכ"לית ומייסדת יוביקו, ואוונגליסט ללא ניעור עבור U2F. אכן, היא רואה ב- U2F את המפתח לא רק לאינטרנט, אלא לעתיד.

"אני מתרגש מ- U2F כי החזון שלי הוא שזה יהיה בכל מקום", אמר ארנסווארד. "בסופו של דבר זה יכול להשתנות להצפנה, לתשלומים, זה יכול לאפשר למשתמשים להשתלט על זהותם שלהם. אתה לא מקבל את הזהות שלך מהבנק או מהממשלה; אתה קונה את המפתח שלך וזה תעודת זהות משלך." ארנסווארד ציין כי U2F יכול ללבוש צורות מרובות, לא ממש כמו מפתח USB. זה יכול להיות בטלפונים, או במחשבים, למשל. היא הזכירה ששני מכשירים ביומטריים-U2F משולבים כבר לא נמצאים. בהמשך, Yubico מתכנן להוסיף יכולת U2F למכשירים מבוססי Bluetooth ו- NFC.

• -
• למה אתה צריך להגן על כתובת הדוא"ל שלך למה אתה צריך להגן על כתובת הדוא"ל שלך
• Twilio Authy טוויליו Authy

"אימות עם מפתח אבטחה מאפשר לך להיות מאובטח ועם זאת אנונימי", המשיך ארנסווארד. "אתה יכול לבטל את שם המשתמש והסיסמה, כך שמתנגדים ובעלי זכויות אדם יכולים לתקשר מבלי לחשוף את זהותם בפועל." היא מציגה אנשים הנושאים לפחות שלושה מפתחות, אחד לעבודה, אחד לזהות האישית שלך ואחד לאימות אנונימי.

מדוע למסור את הטכנולוגיה? "בשוודיה וולוו החליטה שאנחנו צריכים חגורת בטיחות עם שלוש נקודות", אמר ארנסווארד. "הבחור שפיתח את זה אמר, בואו ונפתח את זה, והציל מיליוני חיים. אנחנו רוצים לנהוג בסטנדרט פתוח. אני מעדיף חמישה אחוזים מהשוק הגדול על פני כל אחד זעיר."

שימוש במפתח אבטחה כדי לנעול דוא"ל זה משהו שמישהו מאיתנו יכול לעשות, אבל U2F יש הרבה יותר מזה. "כל חברות הענן המובילות משתמשות בה לצורך אימות פנימי", אמרה. "יש לנו תשע מעשר חברות הענן המובילות. אנחנו נכנסים דרך החנונים; הם רואים את הערך." בסופו של דבר, מדובר יותר מאשר טכנולוגיה עבור ארנסווארד. "זהות מקוונת מאובטחת היא זכות אנושית בסיסית, " אמרה. "אנחנו רוצים שזה יהיה במחיר שווה וקל לכולם."