Sekite ZDNET: Pridėkite mus kaip pageidaujamą šaltinį „Google“.
Pagrindiniai ZDNET pasiūlymai
- Prisijungimo raktai yra saugesni nei slaptažodžiai, skirti autentifikuoti naudojant internetines paskyras.
- Norint dirbti su prieigos raktais, reikalingas autentifikatorius ir kitos technologijos.
- Tarptinklinio ryšio autentifikavimo priemonė gali būti sudėtingiausias ir saugiausias autentifikavimo priemonės tipas.
Pripažinkime. Kalbant apie slaptažodžius, mes tikrai esame patys didžiausi priešai. Per griežta? nemanau. Darome viską, ką galime, kad grėsmės subjektams būtų lengviau padaryti blogiausius dalykus – nuo mūsų neskelbtinos informacijos išfiltravimo ir platinimo iki mūsų banko sąskaitų ištuštinimo. Atsižvelgiant į tai, kaip dažnai galutiniai vartotojai ir toliau netyčia įgalina šiuos įsilaužėlius, mes praktiškai prisijungėme prie kitos pusės.
Tiesą sakant, dabar atlikti tyrimai rodo, kad, nepaisant išsamių ir visapusiškų kibernetinio saugumo mokymų, didžiuliai 98 % mūsų vis tiek patenka į sukčiavimo sukčiavimo subjektų, plėšikų, užgaulių ir kitų grėsmių veikėjų, kurie bando mus apgauti, kad netyčia atskleistume savo slaptus slaptažodžius, apgaudinėjami.
Taip pat: kaip paruošti savo įmonę ateičiai be slaptažodžio – 5 veiksmais
Suprasdama, kad mokymas ir švietimas yra beprasmiški, technologijų pramonė nusprendė pasirinkti alternatyvų metodą: visiškai panaikinti slaptažodžius. Vietoj prisijungimo kredencialo, pagal kurį turime įvesti (dar žinomą kaip „dalytis“) savo paslaptį programoje arba svetainėje (bendrai vadinama „pasikliaujančia šalimi“), o kaip apie pramoninį beslaptažodžio standartą, kuris vis dar apima paslaptį, bet jos niekada nereikia su niekuo dalytis? Netgi ne teisėtos pasitikinčios šalys, jau nekalbant apie grėsmės veikėjus? Tiesą sakant, argi nebūtų puiku, jei net mes, galutiniai vartotojai, neįsivaizduotume, kokia ta paslaptis?
Trumpai tariant, tai yra prieigos rakto prielaida. Trys pagrindinės slaptažodžių idėjos:
- Jų negalima atspėti (kaip gali ir dažnai būna slaptažodžiai).
- To paties slaptažodžio negalima pakartotinai naudoti įvairiose svetainėse ir programose (kaip gali slaptažodžiai).
- Jūs negalite būti apgautas atskleisti savo slaptažodžius piktavaliams veikėjams (kaip tai gali padaryti slaptažodžiai).
Lengva, ar ne? Na, ne taip greitai. Nors 99 % šiandieninių vartotojo ID ir slaptažodžių darbo procesų yra nesudėtinga suprasti ir jums nereikia jokios papildomos specialiai sukurtos technologijos, kad užbaigtumėte procesą, to negalima pasakyti apie prieigos raktus.
Naudodami prieigos raktus, kaip ir bet ką, susijusį su kibernetiniu saugumu, turėsite pakeisti tam tikrą patogumą, kad padidintumėte saugumą. Kaip jau labai išsamiai paaiškinau anksčiau, šis kompromisas yra vertas.Tačiau į šį kompromisą įtrauktas tam tikras sudėtingumas, prie kurio reikės priprasti.
Užkulisiuose su slaptažodžiais
Kiekvieną kartą kurdami naują prieigos raktą arba naudodami jį prisijungdami prie patikimos šalies, naudosite daugybę technologijų – įrenginio aparatinės įrangos, joje veikiančios operacinės sistemos, operacinės sistemos gimtosios žiniatinklio naršyklės, pasitikinčios šalies ir autentifikavimo priemonės, skirtų sąveikauti tarpusavyje, kad būtų sukurta galutinė ir, tikiuosi, be trinties naudotojo patirtis. Kai kurios iš šių technologijų sutampa taip, kad ištrinamos ribos tarp jų.
Taip pat: Kaip veikia prieigos raktai: visas vadovas apie jūsų neišvengiamą ateitį be slaptažodžio
Žodis „slaptažodis“ iš tikrųjų yra FIDO aljanso FIDO2 kredencialų specifikacijos slapyvardis, kuris iš esmės yra dviejų kitų atvirų standartų sujungimas: World Wide Web Consortium (W3) WebAuthn standartas, skirtas žiniatinklio (HTTP) autentifikavimui be slaptažodžio su patikima šalimi ir FIDO Alliance-tocolientticator-tocolientticator-tocolientticator. Kalbant apie „Client-to-Authenticator Protocol“ esantį „autentifikatorių“, „WebAuthn“ išskiria tris skirtingus autentifikavimo priemonių tipus: platformavirtualus ir tarptinklinis ryšys.
Šios ketvirtosios ir paskutinės ZDNET serijos apie slaptažodžio autentifikavimo technologijas dalies tema yra tarptinklinio ryšio autentifikavimo priemonė.
Tarptinklinio ryšio autentifikavimo apribojimai
Kaip rodo pavadinimas, tarptinklinio ryšio autentifikavimo priemonė yra fizinis įrenginys, pvz., USB atmintinė (paprastai vadinama saugos raktu), kurią galima nešiotis kišenėje. Yubico YubiKeys ir „Google“ Titanas yra du įprasti tarptinklinio ryšio autentifikavimo priemonių pavyzdžiai. Tačiau tarptinklinio ryšio autentifikatoriai gali būti kitų įrenginių, įskaitant išmaniuosius telefonus ir intelektualiąsias korteles, pavidalu.
„Yubico“ siūlo daugybę tarptinklinio ryšio autentifikavimo priemonių, kurių dauguma skiriasi priklausomai nuo jų galimybės prisijungti prie įrenginio. Pavyzdžiui, YubiKey 5C NFC galima fiziškai prijungti prie įrenginio per USB-C arba belaidžiu būdu per artimojo lauko ryšį (NFC). Tačiau tarptinklinio ryšio autentifikavimo priemonės taip pat yra mažos ir lengvai pamesti arba pamesti, todėl jums reikia bent dviejų – vieno atsarginei kopijai.
Yubico
Šiuo metu, kai naudojate konkretų tarptinklinio ryšio autentifikavimo priemonę tam tikros pasitikinčios šalies prieigos rakto registravimo ceremonijai palaikyti, prieigos raktas sukuriamas ir saugomas užšifruota forma tarptinklinio ryšio autentifikavimo priemonėje taip, kad jo negalima atsieti nuo fizinio įrenginio. Dėl šios priežasties prieigos raktai, sukurti naudojant tarptinklinio ryšio autentifikavimo priemones, laikomi „pririštais prie įrenginio“. Kitaip tariant, skirtingai nei „Apple“ „iCloud Keychain“, slaptažodžių tvarkyklė „Google Chrome“ ir dauguma virtualių slaptažodžių tvarkytuvų, tarptinklinio ryšio autentifikavimo priemonėje sukurtas ir saugomas prieigos raktas taip pat yra nesinchronizuojamas. Jo negalima išskirti iš pagrindinės aparatinės įrangos, sinchronizuoti su debesimi ir iš ten sinchronizuoti su kitais vartotojo įrenginiais.
Taip pat: geriausi saugos raktai: patikrintas ekspertų
Šis tarptinklinio ryšio autentifikavimo priemonių apribojimas taip pat atspindi dabartinę „Windows Hello“ situaciją, kai vartotojai turi galimybę sukurti prieigos raktą, susietą su pagrindine „Windows“ sistema. Tokiu atveju gautas prieigos raktas yra kriptografiškai susietas su sistemos saugos aparatine įranga, dar vadinama patikimos platformos moduliu (TPM). Kiekviena šiuolaikinė sistema turi kriptografiškai unikalų TPM, kuris yra aparatinės įrangos pagrindu pagrįsta pasitikėjimo šaknis, su kuria galima neatsiejamai susieti prieigos raktus ir kitas paslaptis.
Turint tai omenyje, tarptinklinio ryšio autentifikavimo priemonė tam tikrais atžvilgiais gali būti laikoma tarptinkliniu pasitikėjimo pagrindu; iš esmės tai nešiojamasis TPM. Nors prieigos raktas, susietas su TPM, prijungtas prie kompiuterio ar mobiliojo įrenginio grandinės, niekada negali būti atskirtas nuo įrenginio, o tarptinklinio ryšio autentifikavimo priemonėje išsaugotas prieigos raktas vis tiek yra kriptografiškai susietas su aparatūros pagrindu pagrįsta pasitikėjimo šaknimi, bet gali būti bendrinamas keliuose įrenginiuose, prie kurių galima prijungti tarptinklinio ryšio autentifikavimo priemonę. Pavyzdžiui, USB pagrindu sukurtame „YubiKey“ išsaugotas prieigos raktas gali būti naudojamas palaikant slaptažodžiu pagrįstą autentifikavimo ceremoniją bet kuriame įrenginyje, į kurį galima įterpti „YubiKey“ (pvz., staliniame kompiuteryje, išmaniajame telefone, planšetiniame kompiuteryje ar žaidimų pulte).
Sinchronizuojamas slaptažodis
Pagrindinis šio metodo privalumas yra tas, kad jūs gaunate programinės įrangos pagrindu veikiančio sinchronizuojamo slaptažodžio naudą keliems įrenginiams, nes raktas neišsaugomas niekur, išskyrus patį tarptinklinio ryšio autentifikavimo priemonę. Jis neišsaugomas jokiuose jūsų kompiuterių įrenginiuose ir nepereina per jokius interneto debesis, kad būtų sinchronizuojamas ir naudojamas iš kitų jūsų įrenginių. Užuot sinchronizavę prieigos raktą per debesį, tiesiog prijunkite tarptinklinio ryšio autentifikavimo priemonę prie įrenginio, kurio reikia autentifikavimo ceremonijai su patikima šalimi.
Tačiau tarptinklinio ryšio autentifikatoriai labai skiriasi nuo savo platformos ir virtualių analogų tuo, kad jie neturi jokių slaptažodžių valdymo galimybių. Negalite išsaugoti vartotojo ID arba slaptažodžio tarptinklinio ryšio autentifikavimo priemonėje taip, kaip galima išsaugoti prieigos raktą. Tai kelia tam tikrą painiavą, nes slaptažodžių tvarkyklės vis tiek praverčia su slaptažodžiu nesusijusiomis funkcijomis, pvz., sukuriant unikalius sudėtingus slaptažodžius kiekvienai pasikliaujančiai šaliai ir prireikus automatiškai užpildant juos į prisijungimo formas. Jei jūsų kredencialų valdymo strategija apima ir slaptažodžių tvarkyklę, ir tarptinklinio ryšio autentifikavimo priemonę, iš esmės turėsite du autentifikavimo įrenginius – vieną virtualų (kaip neatskiriamą slaptažodžių tvarkyklės dalį), o kitą – tarptinklinį, o tai savo ruožtu turės nuspręsti ir prisiminti, kurį autentifikavimo priemonę naudoti kuriai priklausomai šaliai.
Taip pat: sinchronizuojami ir nesinchronizuojami prieigos raktai: ar tarptinklinio ryšio autentifikatoriai yra geriausi iš abiejų pasaulių?
Laimei, yra vienas aiškus naudojimo atvejis, kai be platformos ar virtualaus autentifikavimo priemonės yra visiškai prasminga turėti tarptinklinio ryšio autentifikavimo priemonę. Kaip aprašyta šioje ataskaitoje apie neseniai užmegztą Dashlane ir Yubico partnerystę, slaptažodžių tvarkytuvės apima tam tikrą paradoksą: jei turite būti prisijungę prie slaptažodžių tvarkyklės, kad galėtumėte prisijungti prie viso kito, kaip prisijungti prie slaptažodžių tvarkyklės?
Geriausia strategija yra tai padaryti naudojant tarptinklinio ryšio autentifikavimo priemonę. Galų gale, jūsų slaptažodžių tvarkytuvė turi raktus nuo visos jūsų karalystės. Idėja, kad įsilaužėlis įsilaužtų į jūsų slaptažodžių tvarkytuvę, turėtų sukelti sveiką baimę bet kurio žmogaus širdyje. Tačiau kai vienintelis būdas autentifikuoti slaptažodžių tvarkytuvę yra kažkas, ką turite fiziškai, pvz., tarptinklinio ryšio autentifikavimo priemonė, tada piktavalis įsilaužėlis negali socialiai suplanuoti jūsų slaptažodžių tvarkyklės kredencialų. Ko gero, svarbiausias tų Dashlane naujienų punktas yra tai, kaip galite visiškai pašalinti vartotojo ID ir slaptažodį kaip prisijungimo prie Dashlane paskyros priemonę.
Bet nuėjus šiuo keliu, iškyla kita komplikacija.
Čia yra raukšlė: toms pasitikinčioms šalims, kurių vieninteliai atitinkantys prieigos raktai yra tarptinklinio ryšio autentifikavimo priemonės prieigos raktai, jums reikės antrojo tarptinklinio ryšio autentifikavimo priemonės, kurioje galėsite saugoti atsarginius slaptažodžius. Nepakenktų ir trečiasis tarptinklinio ryšio autentifikatorius – atsarginė kopija. Skirtingai nuo vartotojo ID ir slaptažodžių, turėtumėte turėti galimybę sukurti kelis prieigos raktus (kiekvieną iš jų unikalų nuo kitų) kiekvienai pasitikinčiajai šaliai, kuri palaiko prieigos raktus. Jei turite tris tarptinklinio ryšio autentifikavimo priemones, kiekvienai pasitikinčiajai šaliai norėsite užregistruoti tris atskirus prieigos raktus (vieną unikalų prieigos raktą kiekvienam tarptinklinio ryšio autentifikavimo įrenginiui).
Taip pat: ką daryti, jei jūsų slaptažodžio įrenginys yra pavogtas? Kaip valdyti riziką mūsų ateityje be slaptažodžio
Jei tikrai apie tai galvojate, pagrindinė slaptažodžių idėja yra atsikratyti slaptažodžių. Kai pasikliaujanti šalis pašalina galimybę autentifikuoti naudojant vartotojo ID ir slaptažodį, turite būti labai atsargūs, kad neprarastumėte savo slaptažodžio (ir tarptinklinio ryšio autentifikavimo priemonė labai lengva prarasti). Kai kurios pasitikinčios šalys, pvz., „GitHub“, nesiūlo paskyros atkūrimo schemų paskyroms, apsaugotoms slaptažodžiu – ir teisėtai. Jei esate patikima šalis ir vienas iš jūsų vartotojų pasirinko apsaugoti paskyrą jūsų sistemose naudodamas prieigos raktą, turite manyti, kad jie tai padarė dėl priežasties, kad nebūtų kito būdo prisijungti.
