Antivirus & brandvägg: webbautentisering: Varför lösenordet inte kommer att dö så fort

Anonim
Großraumbüro, Datenspionage, IT-Security, Passwort, gesperrt, Zugang, 16:9, slider
Öppet plan, dataspionage, IT-säkerhet, lösenord, låst, åtkomst, 16: 9, reglaget
Foto: Den Rise - shutterstock.com

Redan 2004 sa Bill Gates att tekniken var föråldrad och lösenordets svans har blivit ännu högre med den senaste utvecklingen. Hittills försvarar det emellertid dess rankning som den mest populära förmyndaren av datum.

Medan alternativ fortfarande är under utveckling eller till och med fullt tillgängliga, är de nästan alltid mer tekniskt krävande eller kräver mycket mer tid och ansträngning för att sätta upp säkert. Under de senaste åren har det funnits många nya lösningar inom området biometriska autentiseringar. Den relativt coola, relativt senaste tekniken har blivit mainstream, särskilt tack vare nyare smarta telefonmodeller, där Apple, Microsoft eller Samsung använder fingeravtryck och ansiktsigenkänning som identifiering.

Utan tvekan har biometri många säkerhetsfördelar - men det beprövade lösenordet försvinner inte så snabbt. Och det finns goda skäl för det.

I de flesta fall fungerar inte säker multifaktor-autentisering utan lösenord

Moderna tjänster bör stödja multifaktorautentisering för känsliga applikationer som kombinerar minst två av de tre vanligtvis använda autentiseringsmetoderna. De kan differentieras i

1. Något du vet

2. Något du har och

3. Något du är

Under Metod 1, den mest populära idag, tappas saker som lösenord och personnummer.

Den andra metoden involverar hårdvara som USB-pinnar, tidsbaserade tokens för att generera engångslösenord etc. Denna metod inkluderar ofta ägandefaktorer som implementeras på en enhet som en smartphone men som kan replikeras eller kopieras (till exempel en programvarubaserad engång lösenord generator).

spoods.de

Biometri som en tredje faktor är en unik egenskap hos en person, såsom iris, näthinna eller fingeravtryck, men också ansikts fysiognomi.

Nya standarder, som W3C Webauthn-design, gör det enklare att integrera externa faktorer som USB-stick eller säkra enklaver i smartphones. Men när de används i ettfaktors autentiseringsläge, begränsar de den övergripande säkerhetsstrukturen - vilket gör lösenord till en oumbärlig komponent i säkerhetsmixen för tillfället.

Säkerhetsfrågor är också bevis på kunskap som måste skyddas

Alla av oss har ställt in eller besvarat kunskapsbaserade säkerhetsfrågor, till exempel fråga om namnet på husdjuret eller favoritartisten. Medan forskning (hos Google) har visat att sådana frågor inte är lämpliga för att återställa eller verifiera lösenord, använder många tjänster fortfarande denna metod för att förenkla återställning av konton - och vissa kräver faktiskt säkerhetsfrågor och svar vara inställd.

För att undvika att använda svar som är lättillgängliga via din egen sociala mediaprofil är det bäst att använda felaktiga eller till och med slumpmässigt genererade svar. Dessa svar liknar emellertid mycket konceptet med lösenord och bör skyddas på samma sätt.

Du kan inte uppdatera biometriska data

Biometriska data är utan tvekan ett bekvämt alternativ till lösenord - men precis som lösenord kan de också bli stulna. Till exempel lämnas fingeravtryck på allt vi berör.

Förra året varnade japanska forskare att bland annat de nya högupplösta kamerorna av smartphones kan vara en risk här. Eftersom forskarna kunde kopiera fingeravtryck baserat på foton tagna tre meter från ämnet.

Återigen använde forskare vid Michigan State University en bläckstråleskrivare och specialpapper för att förvandla fingeravtrycksskannor av hög kvalitet till falska 3D-fingeravtryck som lurade smartphones - alla med enheter som kostar mindre än $ 500. Så ett ofarligt, fingerformat fredsskylt blir ett potentiellt säkerhetshål.

display

Nya trender inom ransomware

Neue Trends bei Ransomware - Foto: Lagarto Film - shutterstock.com

Vad cyberbrottslingar planerar att göra i framtiden när det gäller ransomware anges i denna webcast.

Registrera dig nu gratis!

Och biometri är lika osäkra som lösenord för hackare. Under 2014 fick hackare som arbetade för den kinesiska regeringen tillgång till datasystemen till Förenta staternas kontor för personalhantering (OPM), USA: s personaladministration, och stal känslig personlig information från regeringsanställda och entreprenörer, inklusive fingeravtryck av 5, 6 miljoner människor. Och till skillnad från lösenord finns det ingen återställning för fingeravtryck och andra biometriska funktioner.

Manipulering av ansiktsigenkänning har också blivit mycket lättare under Instagram och Co. En futuristisk strategi är användningen av flexibla biometriska uppgifter som "passthoughts". Du tänker på en viss sak eller ett ögonblick, och en sensor registrerar de resulterande hjärnvågorna.

Även om ett sådant komplext system verkligen har en raison d'être i mycket känsliga områden, verkar det överdimensionerat för åtkomst till ett privat e-postkonto på medellång sikt.

Biometriska data är bundna till enheter

Vår livsstil är mobil och ansluten, och vi får åtkomst till våra konton från fler och fler enheter. Lösenord förblir konsekvent oavsett enhet och plats, medan biometriska data för närvarande - och förmodligen under överskådlig framtid - endast kan användas genom lämpliga enheter som kameror eller fingeravtryckssensorer.

Till exempel, medan den senaste iPhone har de mest avancerade ansiktsavbildningssensorerna och gör det möjligt för användare att låsa upp sin enhet med sina ansikten ensam, kräver tekniken fortfarande ett lösenord under installationen för att koda data i telefonens interna minne. Lösenordsinmatning är ett måste varje gång du startar om telefonen - eller när biometrisk autentisering inte fungerar av någon anledning.

Det är därför nya identifieringsmetoder som Mobile Connect inte hamnar utan lösenord. Dessutom, i de flesta moderna biometriska applikationer, är inspelningen systeminnehåll lokalt och kan endast avslöja känslig information om den specifika enheten. Lyckligtvis finns det ingen vanlig databas som använder biometri för centraliserad autentisering. Och det eliminerar den biometriska proceduren helt som ett alternativ till säkerhetskopieringslösenordet eller PIN-koden.

Biometrisk täckning är inte alltid neutral

Insamlingen av biometriska data är inte alls så neutral som man antar. Till exempel fann MIT-forskare att ansiktsigenkänningssystem i huvudsak är skräddarsydda för vita män. Cirka 35 procent av de mörkhåriga kvinnorna tilldelades fel kön i ett försök. Även asiatiska system känner igen asiatiska ansikten mycket bättre än europeiska.

Däremot är lösenord naturligt neutrala. Och till skillnad från ansiktsigenkänning har du kontroll över dem. Dessutom har inte alla människor möjlighet att använda alla biometriska funktioner - det finns en mängd olika omständigheter som kan göra ögonbaserad biometri eller fångaravtryck omöjlig. I slutändan är det bara några få biometriska mätningar - som DNA-sekvenser - verkligen universella.

Data kan inte krypteras med biometri

Även om biometri kan fungera som en effektiv gatekeeper för känslig data, är tekniken begränsad: den kan bevilja eller neka åtkomst, men den kan inte lätt användas för andra säkerhetsåtgärder som kryptering. För att verkligen säkra data måste de vara krypterade - och lösenord är ibland de enda hemlighetsbevakarna.

Sist men inte minst är lösenord hittills den enda metoden som är allmänt tillgänglig och fungerar i alla sammanhang, på varje enhet och varje plats och är helt opartisk när det gäller den berörda personen. Eftersom lösenordsbaserad autentisering är mycket lätt att implementera ur utvecklarens perspektiv kommer det antagligen att vara lite längre.

Faktum är att lösenord eller PIN-koder kommer att fortsätta spela en roll i framtiden, vare sig det gäller flera faktorscenarier eller som nödverifieringsmetoder. När man använder ett lösenord har användaren full kontroll över sin säkerhet - ännu bättre är naturligtvis att använda en professionell lösenordshanterare som ger en extra säkerhetsnivå. (PC World)