תוכן עניינים:
וִידֵאוֹ: ª (אוֹקְטוֹבֶּר 2024)
בשנת 2012, מאט הוון של Wired כתב על ההשלכות הרות האסון של קשירת כל חייך הדיגיטליים למחרוזת אותיות, ספרות וסמלים. Honan הוא רק אחד מאינספור אנשים שחשבונותיהם המקוונים נחטפו לאחר שהאקרים גילו את הסיסמאות שלהם; רשימת הקורבנות מכילה גם מנהלים טכניים בעלי פרופיל גבוה, כולל מארק צוקרברג.
ובכל זאת, סיסמאות נשארות השיטה העיקרית להגנה על חשבונות מקוונים.
במרחב האימות לא הייתה כמות קטנה של חדשנות. בשנת 2016 כתבתי על טכנולוגיות אימות שסיפקו אלטרנטיבות בטוחות וקלות לשימוש לסיסמאות, אך עד לא מזמן אף אחת מהן לא השיגה אימוץ המוני.
אולם כעת יש תקווה שנוכל סוף סוף לנטרל סיסמאות ארוכות ומורכבות בזכות שורה של תקנות וסטנדרטים פתוחים המקלים ומעודדים הטמעה של שיטות אימות ללא סיסמא ביישומים מקוונים.
מה מונע אימות ללא סיסמה?
סטינה ארנסווארד, מנכ"לית ומייסדת Yubico, המייצרת מפתחות אבטחה פיזיים כמו ה- Yubikey 5 NFC, "המספר העצום של הסיסמאות הנחוצות בחיי היומיום שלנו הפכו לנטל, וזו הסיבה שאנחנו רואים כל כך הרבה תעודות סטטיות בשימוש חוזר או חלש.. "היינו צריכים לחשוב כיצד לטפל בבעיה זו באופן שמפשט את תהליך הכניסה תוך הוספת רמת האבטחה הגבוהה ביותר. עד כה לא הייתה ממש דרך לעשות את שני הדברים בהצלחה."
הפגיעויות של סיסמאות לא הולכות לאיבוד בארגונים שממשיכים להשתמש בהן. אך לפני שהם שוקלים אלטרנטיבות, עליהם לקחת בחשבון את האבטחה, השימושיות, הזמינות והעלויות של הטכנולוגיה.
"הסיבה לכך שלא החלפנו סיסמאות לפני כן במשהו אמין יותר היא שכל האלטרנטיבות שהיו אולי טובות יותר לביטחון או לשימושיות לא היו זמינות בכל מקום בכל הצורות והגדלים של התקנים המחוברים לאינטרנט, וגם לא היו בעלות -יעיל, "אומר ברט מקדואל, מנכ"ל הברית FIDO, קונסורציום המפתח סטנדרטים לאימות.
כמו כן, הזנת סיסמא היא טכנולוגיית האימות הפחות יקרה והקלה ביותר ליישום באתרים חדשים ובאפליקציות סלולריות. ובעוד אלטרנטיבות כמו טכנולוגיית אימות ביומטרי הפכו לזמינות רחבה יותר במכשירים ניידים, הזנת סיסמא נותרה התכונה המופיעה בכל מקום בו תומכים כל המכשירים. הסרתו תמנע ממשתמשים רבים לגשת לשירותים אלה.
היעדר סטנדרטים מקשה גם להתרחק מסיסמאות. עלות התקורה של הוספת תמיכה בעשרות טכנולוגיות אימות שונות ביישומי לקוח ושרתי backend היא דבר שרוב הארגונים לא יכלו לשאת.
וכמובן, תמיד יש את הגורם האנושי. "חברות ואנשים מסוימים ממשיכים להאמין שהם לא יושפעו מהתקפות סייבר ושהם לא מעניינים פושעי רשת. חוסר רצון ומשאבים לשנות פתרונות קיימים מעכב אימוץ פתרונות אימות חדשים ללא סיסמה", אומר אלכס. מומוט, מנכ"ל REMME, סטארט-אפ לפיתוח מערכת אימות מבוזרת.
הפדידים באים לדפוק
בשנים האחרונות חלה עלייה במודעות סביב האבטחה והפרטיות המקוונת של המשתמשים, במיוחד בקרב סוכנויות ממשלתיות ורגולטורים. אמנם בעבר ארגונים יכלו לפטר מהפרות נתונים ואירועי ביטחון עם מעט תוצאות משפטיות וכלכליות, זה כבר לא המקרה.
"הרגולטורים עייפים מכותרות של הפרות נתונים כמו כל אחד אחר, והם מתחילים לנקוט בפעולה, וכתוצאה מכך עסקים נוספים מוסיפים אימות חזק לשיטות הגנת המידע שלהם", אומר מקדואל.
בין הפעולות הרגולטוריות הרלוונטיות ביותר היא תקנת הגנת המידע הכללית (GDPR), מערכת כללים המגדירה כיצד חברות אוספות, מטפלות ומאובטחות נתוני משתמשים. GDPR מגדיר גם סטנדרטים לאימות חזק של משתמשים. חברות שלא תצייתנה לתקנון ולהגן על נתוני לקוחותיהן ייקנסו קשות. GDPR חל על תחום השיפוט של האיחוד האירופי בלבד, אך מכיוון שחברות רבות שאינן מבוססות באיחוד האירופי עדיין עושות עסקים באזור, היא נחשבת כיום לתקן זהוב לביטחון.
"בתקופה שבה יותר ויותר חברות מאמצות אימות חזק, ויותר ויותר הפרות נתונים נגרמות כתוצאה מפשרות עם סיסמאות, זה הולך ויהיה יותר ויותר קשה לעסק להפוך את המקרה לפיקוח ה- GDPR כי אימות רק באמצעות סיסמה הוא אבטחה מתאימה, ועלולה לחשוף את החברה שלהם לקנסות היקרים בהרבה ממחיר המעבר מסיסמאות לאימות חזק באמת ", אומר מקדואל.
תקנות אחרות הספציפיות לתעשייה מפורשות יותר בנוגע לשימוש בטכנולוגיית אימות. דוגמא לכך היא הוראת שירותי תשלום 2 (PSD2) המסדירה את המסחר האלקטרוני ושירותים פיננסיים מקוונים באירופה והופכת את אימות הדו-גורמים (2FA) לחובה. PSD2 מעודד גם שימוש בכרטיסי אבטחה, מכשירים ניידים וסורקים ביומטריים כדי לשפר את חווית המשתמש מבלי לפגוע באבטחה.
והמכון הלאומי לתקנים וטכנולוגיה (NIST), המגדיר את הקריטריונים לתעשיות שונות, קובע בהנחיות הזהויות הדיגיטליות שלו כי ארגונים צריכים להתרחק מסיסמאות ומאזני פיסקה חד פעמיים ולאמץ אימות מודרני חזק.
"ליתר דיוק, NIST ממליץ על אימות שבו המכשיר המודרני שלך יוצר ומשתמש במפתחות פרטיים קריפטוגרפיים כתעודות החשבון החדשות שלך ומאחסן אותם באופן מאובטח במכשיר האישי שלך באותה דרך שרוב הסמארטפונים מאחסנים כעת את טביעות האצבע שלך בצורה מאובטחת", אומר מקדואל.
יש ויכוח בשאלה אם הרגולציה הממשלתית תפגע או תעודד חדשנות. אך בשלב זה, ייתכן ונצטרך דחיפה רגולטורית לעבר אימוץ מנגנוני אימות מאובטחים יותר.
"ממשלות יכולות למלא תפקיד קריטי באימוץ תקנים פתוחים, " אומר ארנסווארד. "תסתכל למשל על חגורת הבטיחות. גם זה תקן פתוח והשימוש בו הוסדר על ידי הממשלה. בגלל זה, יש היום פי 10 יותר מכוניות בכביש, אך מספר נמוך יותר של תאונות דרכים קטלניות."
על אותו עמוד
החלפה נרחבת של אימות באמצעות סיסמא בלבד זקוקה ליותר מאשר תקנות. ללא מערך של פרוטוקולים סטנדרטיים, ארגונים וחברות יתאבקו למצוא טכנולוגיית אימות השומרת עליהם בקנה אחד עם תקנות האבטחה תוך הפיכת היישומים שלהם לזמינים למשתמשים שלהם.
זו הייתה הבעיה ש- FIDO נקבע לפתור. אימות FIDO מבוסס על סט של תקני טכנולוגיה חינמיים ופתוחים, שפותחו בשיתוף עם World Wide Web Consortium (W3C). המטרה היא ליצור יכולת פעולה הדדית בין מכשירים ושירותים בכך שהיא מאפשרת לכל ענף האלקטרוניקה הצרכנית לשלב את הטכנולוגיה במוצרים ובפלטפורמות שלהם.
FIDO מחליף סיסמאות בקריפטוגרפיה של מפתח ציבורי. המשמעות היא שבמקום סיסמאות, המשתמשים מזוהים עם זוג מפתחות ציבוריים ופרטיים. כל דבר שמוצפן באמצעות מפתח ציבורי יכול להיות מפוענח רק על ידי המפתח הפרטי המקביל לו. כאשר משתמש נרשם לשירות מקוון התומך באימות FIDO, השירות מייצר צמד מפתחות ומאחסן את המפתח הציבורי בשרתיו. המפתח הפרטי מאוחסן במכשיר המשתמש בלבד. בעת הכניסה, בפני יישום הלקוח מוצג אתגר קריפטוגרפי שנוצר באמצעות המפתח הציבורי, אותו ניתן לפתור רק על ידי המפתח הפרטי. על המשתמשים לאמת את זהותם עם המכשיר שלהם (באמצעות טביעת אצבע, פנים או מספר זיהוי אישי) כדי לפתוח את המפתח הפרטי שלהם ולפתור את האתגר.
היתרון במודל זה הוא בכך שהוא מספק אימות רב גורמים מבלי לדרוש אחסון והחלפת סיסמאות. גם אם האקרים מצליחים להפר את השרתים של ספק השירות, הם יקבלו גישה רק למפתחות ציבוריים, שהם חסרי תועלת ללא המפתחות הפרטיים התואמים המאוחסנים במכשירי המשתמשים. אם ההאקרים גונבים מכשיר של משתמש, הם עדיין יצטרכו לעקוף את אימות הזהות המקומית כדי להשיג את המפתח הפרטי. מנקודת מבט של משתמש, הדבר מבטל את הצורך לשנן סיסמאות ארוכות ומורכבות לכל חשבון תוך מתן אבטחה מעולה.
אולם ההישג הגדול יותר של FIDO הוא קבלת תמיכה רחבה מתעשיית הטכנולוגיה. הברית קיבצה שמות גדולים כמו גוגל, מיקרוסופט, אמזון ואינטל כדי לפתח סטנדרטים שיהיו קלים ליישום בסוגי מכשירים ומערכות הפעלה שונות.
"העסקים שהתאגדו כדי ליצור FIDO Alliance הבינו כי החלפת סיסמאות לאימות מקוון יכולה רק להפוך אי פעם למימוש מסחרי בקנה מידה באמצעות שילוב של תקני טכנולוגיה חינמיים ופתוחים, חווית משתמש מעולה בהרבה וגישה שונה מהותית למודל האבטחה., "מקדואל אומרת.
FIDO פרסמה לאחרונה את FIDO2, הרחבה לסטנדרט שלה שמוסיפה תמיכה לאימות מפתח ציבורי לדפדפנים ומגוון רחב של מסגרות יישומים. התקן נתמך על ידי Windows 10, שירותי Google Play באנדרואיד ודפדפני האינטרנט Chrome, Firefox ו- Edge. WebKit, הטכנולוגיה שמאחורי דפדפן הספארי של אפל, עשויה להוסיף תמיכה ל- FIDO2 בקרוב.
"תקן FIDO2 מאפשר להחליף אימות מבוסס סיסמה חלש באימות חזק מבוסס חומרה המשתמש בקריפטוגרפיה של מפתח ציבורי", אומר ארנסווארד, שחברת יוביקו היא אחת מחברי המפתח של FIDO. "תקן זה מאפשר אימות ללא סיסמה בכמה צורות, כולל באמצעות USB ו- NFC-and-go-and-go המספקים חווית משתמש מיטבית ומשפר באופן דרסטי את האבטחה והפרודוקטיביות."
מתי סוף סוף הסיסמאות ייעלמו?
למרות שהתעשייה עשתה דרך ארוכה לפיתוח שיטות אימות חלופיות, סיסמאות לא ייעלמו בין לילה. "עלינו לקחת בחשבון שיש לנו הרבה תוכנות ומערכות מידע 'מדור קודם'. זו הסיבה שלא תמיד ניתן לשנות בקלות כללי אימות קבועים, כולל אלה מבוססי סיסמה, " אומר מומוט, מנכ"ל REMME.
מומחים אחרים כמו סנדור פאלפי, סמנכ"ל הכספים של LogMeIn, מאמינים כי סיסמאות יישארו פן מרכזי בזיהוי משתמשים. הוא גם מאמין שהתעשייה צריכה להתמקד בשיפור חווית הסיסמה.
- מנהלי הסיסמאות הטובים ביותר לשנת 2019 מנהלי הסיסמאות הטובים ביותר לשנת 2019
- מה הסיסמה? נגן קצת מוזיקה והתחבר באמצעות גלי מוח מהי הסיסמה? נגן קצת מוזיקה והיכנס באמצעות גלי מוח
- דוא"ל פורנו מזויף באמצעות סיסמאות ישנות כדי להוציא אותך מכסף מזומן אימיילים של פורנו בוגוס באמצעות סיסמאות ישנות כדי להוציא אותך מכסף מזומן
Palfy אומר "עד לקבלת כיסוי אוניברסלי עם אימות רב-גורמי (או אפילו אימות התנהגותי או הקשר), חברות צריכות להשקיע בחיזוק השירותים המוגנים באמצעות סיסמאות בשימוש בכל הארגון כולו".
"זכור סיסמאות ייחודיות ומורכבות לכל חשבונות העבודה והחשבונות האישיים שלנו אינן תואמות את ההתנהגות האנושית הטבעית. באמצעות כלים כמו מנהלי סיסמאות, זכירת מספר סיסמאות צריכה להיות נחלת העבר, כאשר המשתמשים צריכים רק לזכור סיסמת אב אחת, "אומרת פאלפי, שהחברה שלה היא המפתחת של מנהל הסיסמאות של LastPass.
אבל למקדואל, שנמצא בראש ההשקעה של FIDO מאז 2014, המסע אחר השבתת סיסמאות מגיע סוף סוף לשלביו האחרונים. "כיום העתיד חסר הסיסמה הופך למציאות, אפליקציה אחת בכל פעם. תוך מספר שנים, אני מצפה שטופסי הזנת סיסמאות יהיו נדירים כמעט כמו שמוצאים דפי אינטרנט בדוכני טלפון ציבוריים בשטחים ציבוריים בימינו, ובשביל אותה סיבה - יש לנו אלטרנטיבה חסכונית, בכל מקום, המציעה חווית משתמש טובה בהרבה, "הוא אומר.
