Sekojiet ZDNET: Pievienojiet mūs kā vēlamo avotu Google tīklā.
ZDNET galvenās atziņas
- Tiešsaistes kontu autentifikācijai piekļuves atslēgas ir drošākas nekā paroles.
- Lai strādātu ar piekļuves atslēgām, ir nepieciešams autentifikators un citas tehnoloģijas.
- Viesabonēšanas autentifikators varētu būt vissarežģītākais un drošākais autentifikācijas veids.
Atzīsim. Runājot par parolēm, mēs patiešām esam paši paši ļaunākie ienaidnieki. Pārāk skarbi? Es tā nedomāju. Mēs darām visu iespējamo, lai apdraudējuma dalībniekiem būtu vieglāk nodarīt sev ļaunāko — no mūsu sensitīvās informācijas izfiltrēšanas un izplatīšanas līdz mūsu bankas kontu iztukšošanai. Ņemot vērā to, cik bieži galalietotāji turpina netīšām iespējot šos hakerus, mēs esam praktiski pievienojušies otrai pusei.
Patlaban pētījumi liecina, ka, neskatoties uz pamatīgu un visaptverošu kiberdrošības apmācību, 98% no mums joprojām tiek pievilināti no pikšķerētājiem, krāpniekiem, krāpniekiem un citiem apdraudējumiem, kas mēģina pievilt nejauši izpaust mūsu slepenās paroles.
Arī: Kā sagatavot savu uzņēmumu nākotnei bez paroles — 5 darbos
Saprotot, ka apmācība un izglītība šķietami ir veltīgi, tehnoloģiju nozare nolēma izvēlēties alternatīvu pieeju: pilnībā likvidēt paroles. Tā vietā, lai izmantotu pieteikšanās akreditācijas datus, kas liek mums ievadīt (aka “kopīgot”) mūsu noslēpumu lietotnē vai vietnē (kopā saukta par “atkarīgo pusi”), kā būtu ar nozares mēroga bezparoles standartu, kas joprojām ietver noslēpumu, guess tādu, kas nekad nav jākopīgo ar kādu? Pat ne likumīgās atkarīgās puses, nemaz nerunājot par apdraudējuma dalībniekiem? Patiesībā, vai nebūtu lieliski, ja pat mums, galalietotājiem, nebūtu ne jausmas, kas ir šis noslēpums?
Īsumā, tas ir piekļuves atslēgas priekšnoteikums. Trīs galvenās idejas aiz piekļuves atslēgām ir šādas:
- Tās nevar uzminēt (kā paroles var — un bieži vien arī ir).
- Vienu un to pašu ieejas atslēgu nevar atkārtoti izmantot dažādās vietnēs un lietotnēs (kā to var izmantot paroles).
- Jūs nedrīkstat pievilt, izpaužot savas piekļuves atslēgas ļaunprātīgiem dalībniekiem (kā to var izdarīt ar paroles).
Ērti, vai ne? Nu ne tik ātri. Lai gan 99% no mūsdienu lietotāja ID un paroļu darbplūsmām ir viegli saprotamas, un procesa pabeigšanai nav nepieciešama īpaša speciāli izstrādāta tehnoloģija, to pašu nevar teikt par piekļuves atslēgām.
Izmantojot piekļuves atslēgas, tāpat kā jebko citu, kas saistīts ar kiberdrošību, jums būs jāmaina dažas ērtības, lai uzlabotu drošību. Kā jau iepriekš ļoti detalizēti paskaidroju, šis kompromiss ir tā vērts.Taču šajā kompromisā ir iekļauta zināma sarežģītība, pie kuras būs jāpierod.
Aizkulisēs ar piekļuves atslēgām
Ikreiz, kad izveidojat jaunu piekļuves atslēgu vai izmantojat to, lai pieteiktos atkarīgajai pusei, jūs izmantosit dažādas tehnoloģijas — ierīces aparatūru, tajā izmantoto operētājsistēmu, operētājsistēmas vietējo tīmekļa pārlūkprogrammu, atkarīgo pusi un autentifikatoru, kas izstrādātas, lai savstarpēji sadarbotos, lai radītu galīgu un, cerams, bez berzes lietotāja pieredzi. Dažas no šīm tehnoloģijām pārklājas tādā veidā, ka tiek izjauktas robežas starp tām.
Arī: Kā darbojas piekļuves atslēgas: pilnīgs ceļvedis par jūsu neizbēgamo bezparoles nākotni
Vārds “parole” faktiski ir segvārds FIDO alianse FIDO2 akreditācijas datu specifikācijakas būtībā ir divu citu atvērtu standartu apvienošana: World Large Internet Consortium (W3) WebAuthn standarts tīmeklī (HTTP) balstītai bezparoles autentifikācijai ar atkarīgo pusi un FIDO alianses klienta-autentifikatora protokols (CTAP). Kas attiecas uz “Consumer-to-Authenticator Protocol” “Autentifikatoru”, WebAuthn izšķir trīs dažādus autentifikatoru veidus. platformavirtuālā un viesabonēšana.
Šīs ceturtās un pēdējās ZDNET sērijas par piekļuves atslēgu autentifikācijas tehnoloģijām daļas tēma ir viesabonēšanas autentifikators.
Viesabonēšanas autentifikatora ierobežojumi
Kā norāda nosaukums, viesabonēšanas autentifikators ir fiziska ierīce, piemēram, USB zibatmiņa (parasti saukta par drošības atslēgu), ko var nēsāt līdzi kabatā. Yubico YubiKeys un Google Titāns ir divi izplatīti viesabonēšanas autentifikatoru piemēri. Tomēr viesabonēšanas autentifikatori var būt citu ierīču, tostarp viedtālruņu un viedkaršu, veidā.
Yubico piedāvā plašu viesabonēšanas autentifikatoru klāstu, no kuriem lielākā daļa atšķiras atkarībā no to spējas izveidot savienojumu ar ierīci. Piemēram, YubiKey 5C NFC var fiziski savienot ar ierīci, izmantojot USB-C, vai bezvadu režīmā, izmantojot tuva darbības lauka sakarus (NFC). Taču arī viesabonēšanas autentifikatori ir mazi, un tos ir viegli nepamanīt vai pazaudēt, tāpēc jums ir nepieciešami vismaz divi — viens dublēšanai.
Yubico
Pašlaik, kad izmantojat noteiktu viesabonēšanas autentifikatoru, lai atbalstītu piekļuves atslēgas reģistrācijas ceremoniju konkrētai atkarīgajai pusei, piekļuves atslēga tiek izveidota un saglabāta šifrētā veidā viesabonēšanas autentifikatorā tā, lai to nevarētu atsaistīt no fiziskās ierīces. Šī iemesla dēļ piekļuves atslēgas, kas izveidotas ar viesabonēšanas autentifikatoriem, tiek uzskatītas par “saistītām ar ierīci”. Citiem vārdiem sakot, atšķirībā no Apple iCloud Keychain, Google Chrome paroļu pārvaldnieka un vairuma virtuālo paroļu pārvaldnieku, piekļuves atslēga, kas izveidota un saglabāta viesabonēšanas autentifikatorā, ir arī nesinhronizējama piekļuves atslēga. To nevar izņemt no pamata aparatūras, sinhronizēt ar mākoni un no turienes sinhronizēt ar citām lietotāja ierīcēm.
Arī: labākās drošības atslēgas: ekspertu pārbaudīts
Šis viesabonēšanas autentifikatoru ierobežojums atspoguļo arī pašreizējo situāciju ar Home windows Hey, kur lietotājiem ir iespēja izveidot ieejas atslēgu, kas ir saistīta ar pamata Home windows sistēmu. Šādā gadījumā iegūtā piekļuves atslēga ir kriptogrāfiski saistīta ar sistēmas drošības aparatūru, kas pazīstama arī kā tās uzticamās platformas modulis (TPM). Katrai modernai sistēmai ir kriptogrāfiski unikāls TPM, kas kalpo kā aparatūras uzticamības sakne, ar kuru var nesaraujami piesaistīt piekļuves atslēgas un citus noslēpumus.
Paturot to prātā, viesabonēšanas autentifikatoru dažos veidos var uzskatīt par viesabonēšanas uzticības sakni; tas būtībā ir pārnēsājams TPM. Lai gan piekļuves atslēgu, kas ir saistīta ar datora vai mobilās ierīces shēmā ar vadu savienotu TPM, nekad nevar atdalīt no ierīces, piekļuves atslēga, kas saglabāta viesabonēšanas autentifikatorā, joprojām ir kriptogrāfiski saistīta ar aparatūras uzticamības sakni, guess pēc tam to var koplietot vairākās ierīcēs, kurām var pievienot viesabonēšanas autentifikatoru. Piemēram, ieejas atslēgu, kas saglabāta uz USB balstītā YubiKey, var izmantot, lai atbalstītu uz ieejas atslēgu balstītas autentifikācijas ceremoniju jebkurā ierīcē, kurā var ievietot šo YubiKey (piemēram, galddatorā, viedtālrunī, planšetdatorā vai spēļu konsolē).
Sinhronizējamā piekļuves atslēga
Šīs pieejas galvenais ieguvums ir tas, ka jūs saņemat uz programmatūru balstītas, sinhronizējamas piekļuves atslēgas vairāku ierīču priekšrocības bez ieejas atslēgas saglabāšanas jebkur, izņemot pašā viesabonēšanas autentifikatorā. Tas netiek saglabāts nevienā no jūsu skaitļošanas ierīcēm, kā arī netiek sūtīts caur tiešsaistes mākoņiem, lai to sinhronizētu un izmantotu no citām jūsu ierīcēm. Tā vietā, lai sinhronizētu ieejas atslēgu, izmantojot mākoni, vienkārši pievienojiet viesabonēšanas autentifikatoru tai ierīcei, kas tā ir nepieciešama autentifikācijas ceremonijai ar paļauto pusi.
Tomēr viesabonēšanas autentifikatori būtiski atšķiras no platformas un virtuālajiem līdziniekiem, jo tiem nav pievienotas nekādas paroles pārvaldības iespējas. Lietotāja ID vai paroli nevar saglabāt viesabonēšanas autentifikatorā tādā pašā veidā, kā var saglabāt ieejas atslēgu. Tas rada zināmu sarežģījumu, jo paroļu pārvaldnieki joprojām ir noderīgi to iespējām, kas nav saistītas ar ieejas atslēgu, piemēram, izveidojot katrai atkarīgajai pusei unikālas, sarežģītas paroles un pēc tam vajadzības gadījumā tās automātiski aizpildot pieteikšanās veidlapās. Ja jūsu akreditācijas datu pārvaldības stratēģija ietver gan paroļu pārvaldnieku, gan viesabonēšanas autentifikatoru, būtībā jūs iegūsit divus autentifikatorus — vienu virtuālo (kā neatņemamu paroļu pārvaldnieka daļu) un otru — viesabonēšanas, kas savukārt prasīs jums izlemt un pēc tam atcerēties, kuru autentifikatoru izmantot kādai atkarīgajai pusei.
Arī: Sinhronizējamās un nesinhronizējamās piekļuves atslēgas: vai viesabonēšanas autentifikatori ir vislabākie no abām pasaulēm?
Par laimi, ir viens skaidrs lietošanas gadījums, kad ir pilnīgi saprātīgi izmantot viesabonēšanas autentifikatoru papildus platformai vai virtuālajam autentifikatoram. Kā aprakstīts šajā ziņojumā par neseno partnerību starp Dashlane un Yubico, paroļu pārvaldnieki ir saistīti ar nelielu paradoksu: ja jums ir jāpiesakās savā paroļu pārvaldniekā, lai pieteiktos visā pārējā, tad kā pieteikties savā paroļu pārvaldniekā?
Labākā stratēģija ir to darīt, izmantojot viesabonēšanas autentifikatoru. Galu galā jūsu paroļu pārvaldniekam ir visas jūsu valstības atslēgas. Idejai, ka hakeris ielaužas jūsu paroļu pārvaldniekā, ikviena sirdī vajadzētu iedzīt veselīgas bailes. Taču, ja vienīgais veids, kā autentificēties, izmantojot paroļu pārvaldnieku, ir ar kaut ko, kas jums fiziski pieder, piemēram, viesabonēšanas autentifikatoru, tad ļaunprātīgs hakeris nevarēs jūs sociāli izstrādāt, lai iegūtu jūsu paroļu pārvaldnieka akreditācijas datus. Iespējams, vissvarīgākais šo Dashlane ziņu punkts ir tas, kā jūs varat pilnībā novērst lietotāja ID un paroli kā līdzekli, lai pieteiktos savā Dashlane kontā.
Wager, ejot pa šo ceļu, rodas nākamais sarežģījums.
Šī ir problēma: tām paļautajām pusēm, kurām vienīgās atbilstošās piekļuves atslēgas ir viesabonēšanas autentifikatora piekļuves atslēgas, jums būs nepieciešams otrs viesabonēšanas autentifikators, kurā saglabāt rezerves piekļuves atslēgas. Arī trešais viesabonēšanas autentifikators — rezerves kopija — arī nenāktu par ļaunu. Atšķirībā no lietotāju ID un parolēm jums vajadzētu būt iespējai izveidot vairākas piekļuves atslēgas — katra no tām ir unikāla no citām — katrai atkarīgajai pusei, kas atbalsta piekļuves atslēgas. Ja jums ir trīs viesabonēšanas autentifikatori, vēlaties reģistrēt trīs atsevišķas piekļuves atslēgas katrai atkarīgajai pusei (viena unikāla piekļuves atslēga katram viesabonēšanas autentifikatoram).
Tāpat: Ko darīt, ja jūsu piekļuves atslēgas ierīce tiek nozagta? Kā pārvaldīt risku mūsu nākotnē bez paroles
Ja jūs patiešām domājat par to, galvenā ieejas atslēgu ideja ir atbrīvoties no parolēm. Kad paļautā puse izslēdz iespēju autentificēties ar lietotāja ID un paroli, jums ir jābūt ļoti uzmanīgiem, lai nepazaudētu savu ieejas atslēgu (un viesabonēšanas autentifikators ir ļoti viegli zaudēt). Dažas atkarīgās puses, piemēram, GitHub, nepiedāvā konta atkopšanas shēmas kontiem, kas nodrošināti ar ieejas atslēgu — un tas ir pamatoti. Ja esat paļāvīga puse un kāds no jūsu lietotājiem ir izvēlējies aizsargāt kontu jūsu sistēmās ar ieejas atslēgu, jums ir jāpieņem, ka viņš to izdarīja kāda iemesla dēļ, lai nebūtu cita veida, kā pieteikties.
