VMware-vForum

Kako će Apple, Google i Microsoft ubiti lozinke i phishing u jednom potezu

Više od decenije nam je obećavano da je svet bez lozinki iza ugla, a ipak se iz godine u godinu ova bezbednosna nirvana pokazuje van domašaja.

PCPress.rs Image

Godinama slušate da je lakša i sigurnija prijava neizbežna – taj dan je tu

Sada, po prvi put, izvodljiv oblik autentifikacije bez lozinke uskoro će postati dostupan masama u obliku standarda koji su usvojili Apple, Google i Microsoft, koji omogućava pristupne ključeve za više platformi i usluga. Šeme za ukidanje lozinki koje su se pojavljivale u prošlosti imale su niz problema. Ključni nedostatak bio je nedostatak održivog mehanizma za oporavak kada je neko izgubio kontrolu nad telefonskim brojevima ili fizičkim tokenima i telefonima vezanim za nalog. Drugo ograničenje je bilo to što većina rešenja na kraju nije uspela da bude zaista bez lozinke. Umesto toga, dali su korisnicima opcije da se prijave pomoću skeniranja lica ili otiska prsta, ali ovi sistemi su se na kraju vratili na lozinku, a to je značilo da phishing, ponovna upotreba lozinke i zaboravljeni lozinke – svi razlozi zbog kojih smo mrzeli lozinke u početku – nisu nestali. Ono što je ovog puta drugačije je to što se čini da Apple, Google i Microsoft učestvuju zajedno sa istim dobro definisanim rešenjem. Ne samo to, već je rešenje lakše nego ikad za korisnike, a manje je skupo za velike usluge kao što su Github i Facebook. Takođe su ga pažljivo osmislili i recenzirali stručnjaci za autentifikaciju i bezbednost.

Sadašnje metode višefaktorske autentifikacije (MFA) napravile su važne korake u proteklih pet godina. Google na primer, koristi sistem zasnovan na CTAP-u – skraćenica od client to autenticator protocol – koji koristi Bluetooth da bi osigurao da je telefon u blizini novog uređaja i da je novi uređaj, u stvari, povezan sa Google-om, a ne sa sajtom koji se maskira kao Google. To znači da se ne može fiširati. Standard osigurava da se kriptografska tajna sačuvana na telefonu ne može izdvojiti.

Google takođe obezbeđuje program napredne zaštite koji zahteva fizičke ključeve u obliku samostalnih ključeva ili telefona krajnjih korisnika za autentifikaciju prijavljivanja sa novih uređaja.

Pročitajte i:  Apple Arcade dobija trkača u stilu Mario Kart-a sa Henk Hilom u glavnoj ulozi

Trenutno je veliko ograničenje to što se MFA i autentikacija bez lozinke različito uvode – ako uopšte – od strane svakog dobavljača usluga. Neki provajderi, poput većine banaka i finansijskih usluga, i dalje šalju jednokratne lozinke putem SMS-a ili emaila. Prepoznajući da to nisu bezbedna sredstva za prenos bezbednosno osetljivih tajni, mnoge usluge su prešle na metod poznat kao TOTP – skraćenica za time-based one time password – kako bi omogućili dodavanje drugog faktora, koji efektivno povećava lozinku sa “something I have” faktorom. Fizički bezbednosni ključevi, TOTP-ovi i u manjoj meri dvofaktorska autentifikacija putem SMS-a i emaila predstavljaju važan korak napred, ali ostaju tri ključna ograničenja. Prvo, TOTP-ovi koji se generišu preko aplikacija za autentifikaciju i šalju tekstom ili emailom mogu da se fišinguju, na isti način na koji su obične lozinke.

Drugo, svaka usluga ima svoju zatvorenu MFA platformu. To znači da čak i kada koristi oblike MFA koji ne mogu da se fišinguju – kao što su samostalni fizički ključevi ili ključevi zasnovani na telefonu – korisniku je potreban poseban ključ za Google, Microsoft i svako drugo vlasništvo na Internetu. Da stvar bude gora, svaka platforma OS ima različite mehanizme za implementaciju MFA. Ovi problemi ustupaju mesto trećem: čista neupotrebljivost za većinu krajnjih korisnika i netrivijalni trošak i složenost sa kojima se svaka usluga suočava kada pokušava da ponudi MFA. Program koji Apple, Google i Microsoft uvode konačno će organizovati trenutni nered MFA usluga na neke značajne načine. Kada bude u potpunosti implementiran, koristićete svoj iPhone za čuvanje jednog tokena koji će vas autentifikovati na bilo kojoj od usluga te tri kompanije (i, očekuje se, mnogo više usluga koje slede).

Isti akreditiv se takođe može sačuvati na uređaju koji koristi Android ili Windows. Skeniranjem lica ili otiska prsta na uređaju, prijavljivaćete se bez potrebe da ukucate lozinku, što je brže i mnogo praktičnije. Podjednako važno, akreditiv se može čuvati na mreži tako da bude dostupan kada zamenite ili izgubite svoj trenutni telefon, rešavajući još jedan problem koji je mučio neke MFA korisnike – rizik od zaključavanja naloga kada se telefoni izgube ili ukradu. Procesi oporavka funkcionišu korišćenjem uređaja koji je već proveren za preuzimanje akreditiva, bez potrebe za lozinkom. U tome je zaista cela poenta – nema procesa oporavka pošto je privatni ključ odmah dostupan na svim uređajima korisnika. Oni samo treba da se verifikuju na svom uređaju da bi se prijavili na svoje prethodno registrovane naloge. Ako je pitanje o oporavku uređaja u cloudu (npr., kako da se vratim na svoj iCloud nalog?) – to je nešto čime upravlja svaki provajder platforme, od kojih svi imaju veoma bezbedne metode da osiguraju da je oporavak moguć za autentične korisnike.

Pročitajte i:  Google Meet će vas izbaciti ako ste jedina osoba na sastanku

Osim što krajnjim korisnicima daje mnogo upotrebljiviji proces za prijavljivanje, program takođe nudi robusnu bezbednosnu zaštitu koja prevazilazi ono što je dostupno u većini onlajn usluga danas. Iako je bilo koji MFA bolji nego nikakav MFA, samo je FIDO autentifikacija otporna na phishing i predstavlja zlatni standard MFA, rekao mi je Bob Lord, viši tehnički savetnik u Odeljenju za sajber bezbednost u Agenciji za sajber bezbednost i infrastrukturnu bezbednost. Prethodno, Lord je bio glavni službenik za bezbednost Demokratskog nacionalnog komiteta i glavni službenik za bezbednost informacija u Yahoo+u.

Konačno imamo kriptografski jak MFA koji je zasnovan na otvorenim standardima i ugrađen je u pretraživače i telefone koje već koristimo. To smanjuje troškove i smanjuje složenost za organizacije koje žele da uklone krađu akreditiva iz alata napadača. Veza za ovu šemu je nešto što se zove „akreditivi za više uređaja“ ili, još kolokvijalno, „passkeys“, uvedeni u ažuriranjima postojećih FIDO, WebAuthn i CTAP standarda za autentifikaciju. Kao što ime sugeriše, akreditiv funkcioniše na svim uređajima, bilo da koristite iOS, Android ili Windows, i na svim Apple, Google ili Microsoft uslugama. Da bi provere identiteta lozinke bile imune na phishing i druge uobičajene oblike krađe akreditiva, telefon ili drugi uređaj koji čuva akreditive mora biti u blizini uređaja koji korisnik koristi za prijavljivanje. Bluetooth veza omogućava dva uređaja da razmenjuju informacije. Takođe omogućava uređaju za autentifikaciju da osigura da je mašina za prijavu povezana sa legitimnim URL-om, a ne sa prevarantom koji pokušava da dobije neovlašćeni pristup.

Pročitajte i:  Apple i Meta dali korisničke podatke hakerima

Dakle, čak i ako udaljeni napadač pokuša da se prijavi, vlasnici naloga neće moći da koriste svoje pristupne ključeve za autentifikaciju transakcije. Pošto telefon ili drugi uređaj za potvrdu identiteta mora biti fizički blizu računara korisnika pre nego što prikaže dijalog „da li želite da se prijavite“, phisher u drugom gradu, državi ili zemlji ne može da pokrene prijavu i izvede poznatu tehniku kao MSP promptno bombardovanje. Lord i drugi stručnjaci za bezbednost kažu da pristupni ključevi takođe eliminišu potrebu za unosom lozinke bez degradiranja bezbednosnih garancija koje pružaju većina aktuelnih oblika MFA.

Većina MFA se sastojala od lozinke i bezbednosnog tokena—to jest, nečega što znam i nečega što imam. Novi sistem pruža još jedan, lakši oblik MFA – konkretno, nešto što imam (moj telefon) i nešto što jesam (moj otisak prsta ili skeniranje lica). U mejlu, Endrju Šikijar, izvršni direktor FIDO alijanse, rekao je da očekuje da će uvođenje početi do kraja ove i početkom sledeće godine. „Svaki provajder platforme ima svoje vremenske okvire za početnu primenu tokom naredne godine“, napisao je on. Kada sve tri usluge budu u potpunosti implementirale sistem, „korisnici će moći da iskoriste funkciju ‘passkey’ za prijavljivanje bez lozinke na svim uređajima na platformi uređaja i takođe mogu da se pokrenu sa jedne platforme na drugu koja takođe ima podršku. Ova poslednja radnja se vrši preko lokalnog Bluetooth uparivanja u novom protokolu koji je ugrađen u FIDO specifikacije”. S obzirom na deceniju praznih obećanja koja najavljuju odumiranje lozinke, ljudi imaju dobar razlog da sa skepticizmom pozdrave ovonedeljnu najavu. Neće biti gotova stvar dok svi delovi ne budu na svom mestu i pristupni ključevi ne budu masovno predstavljeni.

Izvor: Arstechnica

 

Facebook komentari:
SBB

Tagovi: , , ,

Leave a Reply

Your email address will not be published.