11119 [1165] رمزعبور قوی ، و همچنین تولید کننده رمزعبور قوی تصادفی را فراهم می کند (به عنوان مثال: ScuXai ZpdJkjFAb). حتی اگر از ژنراتور استفاده نمی کنید ، ارزش آن را دارد که فقط یک رمزعبور قوی را ببینید – اما اکنون تصور کنید که باید بیش از 100 مورد از آنها را به خاطر بسپارید.
استفاده مجدد از رمزهای عبور
کاربران اغلب از همان رمز عبور استفاده می کنند. چندین حساب آنلاین مختلف برای کاهش تعداد مورد نیاز برای به یاد آوردن آنها. این به عنوان استفاده مجدد از رمز عبور معروف است. این بدان معناست که اگر هکرها یک رمز عبور را در اختیار داشته باشند ، به همه حسابهای دیگر که از همان رمز عبور استفاده می کنند ، دسترسی دارند. نظرسنجی از LastPass در سال 2018 نشان داد كه 59٪ از كاربران از ترس فراموش كردن آنها برای استفاده مجدد از رمزهای عبور اعتراف می كنند.
سرقت رمز عبور و استفاده توسط مجرمان
گذرواژه تنها در صورت استفاده از اعتبار برای شخصی غیرمجاز است. یعنی یک جنایتکار این سؤال را ایجاد می کند ، که مجرمان چگونه رمزهای عبور را بدست می آورند. و جواب این است ، "خیلی راحت". میلیون ها نفر از خدمات و فروشندگان آنلاین هر هفته سرقت می شوند – و اکنون میلیاردها کلمه عبور برای فروش یا رایگان در وب تاریک وجود دارد. (اینجا را بررسی کنید تا ببینید که آیا متعلق به شما در میان آنهاست.)
این رمزعبورها و معمولاً توسط فروشندگان به شکلی از رمزگذاری معروف به "hashing" ذخیره می شوند. هاشینگ یک خروجی ضربتی استاندارد منحصر به فرد تولید می کند که نمی تواند به اصل برگردد. با این حال ، مجرمان جدولهای گسترده ای از مقادیر هش از پیش محاسبه شده و منابع (کلمه عبور) دارند که آنها را تولید می کند. با مقایسه مقدار هش به سرقت رفته با این جداول می توانند بلافاصله رمز منبع را پیدا کنند؛ و البته ابتدا رمزهای عبور معمول و ساده بررسی می شوند. ترک خورده! به لحظه صدها در ثانیه.
دومین روش رایج جمع آوری رمزهای عبور از طریق فیشینگ است. در اینجا کاربر از نظر اجتماعی مهندسی شده است تا بتواند نامهای کاربری و رمزهای عبور (یا اطلاعات كامل بانك) را از طریق وب سایت دروغین به مجرمان تحویل دهد. این رمزهای عبور نیازی به شکسته شدن ندارند زیرا کاربر آنها را بدون رمزگذاری می کند.
در هر صورت ، مجرمان به هر طریقی دسترسی به وسایل گسترده ای از جفت شدن نام کاربری / رمز عبور دارند. در بسیاری از موارد – امیدوارم – کاربر آگاه شده است که رمز عبور از XYZ.com به سرقت رفته است و تغییر کرده یا مجبور شده است تا آن را در حساب XYZ تغییر دهد. با این حال ، مطالعات متعدد نشان می دهد که کاربران غالباً آن رمز عبور را برای هر حساب دیگری که از آن استفاده مجدد شده است ، تغییر نمی دهند. آنها به یک وب سایت هدف می روند و از اسکریپت های خودکار استفاده می کنند تا روند ورود به سیستم را با ذخیره شناسه / کلمه عبور خود آزمایش کنند. آنها این کار را در طی یک دوره زمانی مختلف با درجات مختلف پیچیدگی انجام می دهند تا از شناسایی آنها جلوگیری شود. بیشتر تلاش ها شکست خواهند خورد و فیلمنامه به حالت بعدی منتقل می شود و روند موفقیت را تکرار می کند تا اینکه یک نفر موفق شود. آنها اغلب به اندازه کافی موفق می شوند که یک مشکل جدی باشد.
رفع امنیت احراز هویت
سوزش اصطکاک
اولین چیزی که در هر تلاشی برای افزایش امنیت احراز هویت قابل درک است ، مفهوم "اصطکاک کاربر" است. "اصطکاک" برای نشان دادن میزان تلاش مورد نیاز کاربر استفاده می شود. به طور کلی ، افزایش امنیت نیاز به افزایش اصطکاک دارد. اما کاربران اصطکاک احراز هویت را دوست ندارند. کلمات عبور ساده ، ساده و دوباره استفاده شده در اصطکاک کم هستند؛ رمزهای عبور منحصر به فرد ، طولانی و پیچیده با اصطکاک زیاد هستند. به همین دلیل است که کاربران بارها و بارها سابق را اتخاذ می کنند.
اگر یک فروشنده آنلاین مراحل ورود به سیستم پیچیده داشته باشد ، امنیت و اصطکاک بالایی را ارائه می دهد. فارغ از کاهش امنیت ، کاربر احتمالاً با اصطکاک کم به وب سایت دیگری می رود. بنابراین ، ناهنجاری این است که امنیت معمولاً با هزینه مشتری حاصل می شود. و مقدس مقدس برای کلیه مراحل جدید تأیید هویت ، ترکیب امنیت بالا با اصطکاک کم است. در دنیای آنلاین ، شرکت هایی که در اینجا موفق می شوند رشد خواهند کرد.
ورود به سیستم
ورود به سیستم تنها (SSO) تلاشی برای کاهش اصطکاک کاربر با کاهش تعداد کلمات عبور مورد نیاز فقط برای یک – رمز عبور مورد نیاز برای ورود به سیستم است. سرویس SSO خودش. پس از ورود به سرویس ، وظیفه سرویس SSO است که کاربر را به هر وب سایت یا سرویس دیگری وارد کنید. اگرچه این اصطکاک را کاهش می دهد ، اما تا چه حد امنیت را افزایش می دهد جای سوال دارد. کاربر هنوز برای دسترسی به سرویس نیاز به رمزعبور دارد. این سرویس داده های زیادی را از کاربر در اختیار دارد – و به یک نقطه شکست و هدف برای هکرها تبدیل می شود.
دو نوع اساسی SSO وجود دارد: خدمات تجاری و ارائه رایگان. خدمات تجاری اغلب توسط مشاغل مورد استفاده قرار می گیرد – کاهش اصطکاک کاربر باعث افزایش بهره وری کارکنان می شود. پیشنهادات رایگان معمولاً توسط مصرف کنندگان مورد استفاده قرار می گیرد بدون اینکه همیشه بدانند که نوعی SSO است. دکمه های "ورود به سیستم با Google" (یا فیس بوک یا توییتر) که اغلب برای راحتی پیدا می شوند و برای راحتی استفاده می شوند خدمات SSO هستند. اصطکاک کاهش می یابد؛ امنیت سنتی به همان اندازه Google یا Facebook است. اما هزینه آن حریم خصوصی است هنگامی که با Facebook وارد سیستم می شوید ، در واقع می گویید به Facebook (شرکتی که مدل تجاری آن مبنی بر فروش اطلاعات شخصی است) در کجا می روید و به طور بالقوه آنچه انجام می دهید در اینترنت است.
تعداد عوامل تأیید اعتبار را افزایش می دهد.
گذرواژه تنها یک عامل تأیید اعتبار است. "عوامل" انواع مختلفی از رازها هستند که قبل از پذیرش احراز هویت باید ارائه شوند. گذرواژه متعلق به عاملی است که با عنوان "چیزی که می دانید" شناخته می شود. عوامل دیگر می تواند "چیزی باشد که شما مالک آن هستید" (مانند اعتبار یا کارت شناسایی). "چیزی که شما هستید" (مانند یک یا چند ویژگی بیومتریک بی نظیر مانند اثر انگشت)؛ و "کاری که انجام می دهید" (بیومتریک رفتاری که شامل شناسه هایی از قبیل موقعیت جغرافیایی ، الگوهای تایپ ، زمان دسترسی و موارد دیگر) می باشد.
هر بار که نیاز به تأیید اعتبار دارد با فاکتورهای مورد نیاز اضافی افزایش می یابد (یعنی انتقال از تک عامل تأیید هویت چند عاملی – MFA) امنیت احراز هویت بطور چشمگیری بهبود یافته است. به همین دلیل است که کارشناسان امنیت سایبری همیشه MFA را ستایش می کنند و توصیه می کنند. متأسفانه ، با افزایش امنیت ، اصطکاک کاربر نیز اتفاق می افتد – و به همین دلیل کاربران تمایلی به تصویب MFA ندارند.
مشکل احراز هویت یکسان است: چگونه می توانید امنیت را از پسورد های یک فاکتور افزایش دهید بدون افزایش (و از نظر ایده آل ، کاهش اصطکاک کاربر؟
نشانه های یک بار
نشانه های یک بار – که مورد علاقه مؤسسات مالی و تقریباً جهانی از طرف کاربران قرار گرفته است – رایج ترین و اساسی ترین شکل MFA هستند. به طور دقیق ، فقط دو عامل از همین عامل هستند: چیزی که شما می دانید. در ابتدایی ترین شکل ، هنگامی که کاربر به یک وب سایت وارد شوید ، این اقدام باعث می شود که یک فرم دوم فقط یک بار استفاده از رمز عبور اضافی (نشانه) برای تلفن همراه کاربر ارسال شود. این همچنین باید قبل از دسترسی به وب سایت وارد شود.
این روند را در نظر بگیرید. کاربر سعی دارد به وب سایت دسترسی پیدا کند. او باید منتظر بماند تا وب سایت رمز عبور یک بار تولید کند و آن را به تلفن همراه کاربر ارسال کند.
(این سوال را ایجاد می کند ، اگر کاربر تلفن همراه نداشته باشد یا خراب شود ، چه می شود؟) گم شده یا به سرقت رفته است ، یا هیچ سیگنال wifi در این مکان وجود ندارد ، یا تحت کنترل هکری است که جاسوسی نصب کرده است و می تواند نشانه را سرقت کند؟))
کاربر باید پس از آن منتظر تماس تلفنی باشد ، نشانه گذاری کنید ، و از لحاظ جسمی بدون هیچ خطایی آن را وارد صفحه وب وارد شوید. برای یک خطای واحد غیر معمولی یا تأخیر بیش از حد طولانی ، تکرار کل فرآیند غیر معمول نیست. قابل درک است ، با توجه به گزینه ، اکثر کاربران ترجیح می دهند با وجود افزایش امنیت احتمالی ، صرفاً با استفاده از یک سرویس جایگزین که به آن احتیاج ندارد ، از این نوع MFA جلوگیری کنند.
و همچنین توجه داشته باشید که این روند مسئله اساسی را حل کنید – این دستگاه به جای آنکه شخصی تأیید شود مجاز به آن است.
بیومتریک فیزیکی
بیومتریک فیزیکی – عامل "چیزی که شما هستید" از مدت ها قبل به عنوان یک جایگزین امن برای اصطکاک کم اصطکاک مورد استفاده قرار گرفته است. . آنها مطمئناً مسئله اساسی را حل می کنند ، زیرا شخص شناسایی شده و همچنین دستگاه مجاز است. اما آنها هرگز کاملاً به قول خارج از تأیید اعتبار کاربر تلفن همراه تحویل نگرفته اند.
بیومتریک بسیار مورد علاقه دولت ها و سازمان های اجرای قانون است ، که از آنها برای احراز هویت (یا احتمال زیاد به رسمیت شناختن) افراد با اثر انگشت یا اسکن صورت استفاده می کنند. این یکی از بزرگترین نگرانی ها در مورد استفاده از بیومتریک ها – از بین رفتن حریم شخصی کاربران است.
وقتی آژانس ها از شناسایی بیومتریک استفاده می کنند ، آنها نمونه اسکن شده را با پایگاه داده های گسترده اسکن های کنترل مقایسه می کنند. این تنها می تواند به عنوان شکلی از تشخیص / تأیید اعتبار کار کند اگر تصویر اسکن شده در پایگاه های داده گنجانده شود. از نظر حقوقی ، این بدان معنی است که اسکنهای "بی گناه" با اسکنهای شناخته شده جنایی همراه هستند. این اصل دیرینه را معکوس می کند که مردم بی گناه هستند تا زمانی که اثبات گناه نشوند ، زیرا فرض می کند که مردم تا زمانی که توسط پایگاه داده بیومتریک بی گناه ثابت نشوند گناهکار هستند.
این منجر به عدم اعتماد کاربر به بیومتریک شده است که در آن نگرانی به استفاده تجاری از بیومتریک کاهش یافته است.
همچنین باید بیان کرد که در صورت نیاز به بانکهای اطلاعاتی بزرگ کنترل های بیومتریک ، این پایگاه داده ها یک هدف اصلی برای هکرها هستند. . با این حال ، مشکل کاربران این است که اگر یک بیومتریک به سرقت برود ، نمی توان آن را به راحتی تغییر داد زیرا رمز عبور دزدیده شده قابل تغییر است.
موضوعات دیگری وجود دارد. بیومتریک شخصی می تواند با گذشت زمان تغییر کند. به عنوان مثال ، اثر انگشت را می توان با کار دستی از بین برد – و حتی اسکله های صفحه کلید مانند نویسندگان می توانند اثر انگشت ضعیف یا غیرقابل تشخیص داشته باشند. مهمتر از این ، هیچ شکلی از بیومتریک وجود ندارد که توسط محققان امنیتی و / یا مجرمان با موفقیت فاسد نشده باشد.
منطقه ای که در آن بیومتریک موفقیت معقول داشته است ، در تأیید اعتبار صاحب تلفن همراه قبل از اجازه دسترسی است. . دلیل اصلی این امر این است که کنترل بیومتریک هرگز تلفن را ترک نمی کند. هیچ بانک اطلاعاتی مرکزی برای اسکن های کنترلی وجود ندارد ، و هیچ مسئله ای در مورد حفظ حریم خصوصی وجود ندارد.
بیومتریک موفقیتی که انتظار می رفت نیست. در تئوری ، آنها باید امنیت را افزایش داده و اصطکاک کاربران را کاهش دهند. اما در عمل آنها به ندرت می توانند این کار را انجام دهند.
بیومتریک رفتاری
بیومتریک رفتاری از عاملی مبتنی بر آنچه انجام می دهید به جای آنچه شما هستید یا آنچه می دانید استفاده می کند. به طور کلی ، هنوز هم برای دسترسی اولیه به استفاده از رمزعبور نیاز دارد. با این وجود ، از این پس ، سیستم نحوه تعامل کاربر با رایانه و نحوه تعامل رایانه با وب سایت را کنترل می کند. به عنوان مثال می توان مکان جابجایی آدرس IP کاربر را نام برد. به عنوان مثال ، اگر یک کاربر در کالیفرنیا وارد سیستم شود و ده دقیقه بعد از آن از چین یا آمریکای جنوبی وارد شود ، سیستم می داند که مشکلی رخ داده است.
دیگر سنجیهای سنجش رفتاری می تواند شامل زمان روز باشد (اگر کاربر به طور عادی بعد از ظهر وارد می شود و ناگهان در ساعات اولیه صبح وارد سیستم می شوید ، این می تواند دوباره نشانه ای از اشتباه باشد). بیومتریک رفتاری همچنین می تواند شامل الگوهای ضربه زدن به کاربر (همه افراد کاملاً متفاوت باشند) ، استفاده از ماوس یا ترکیبی از این دو است.
بیومتریک رفتاری مزایای بسیاری نسبت به سایر اشکال تأیید اعتبار دارد ، اما با چند مورد احتیاط. اصولاً ، تأیید هویت مداوم با اصطکاک کم به جای تأیید اعتبار فقط در ورود به سیستم ارائه می دهد. با این حال ، این بهترین راه حل برای تجارت است تا مصرف کننده. هوش مصنوعی که برای تشخیص خصوصیات فردی کاربر به کار می رود ، برای یادگیری هویت به زمان نیاز دارد. این بین یک سازمان و کارمندان آن کار می کند ، اما برای بازدیدهای گاه به گاه مصرف کننده از وب سایت مناسب نیست.
به طور خلاصه ، بیومتریک های رفتاری نوید اصطکاک ایمن مداوم با اصطکاک کم را برای شخص برای تجارت ارائه می دهند ، اما در حال حاضر برای مصرف کنندگان اندک است.
تلفن های همراه
تلفن های همراه مدت هاست که به عنوان وسیله ای بالقوه برای تأیید اعتبار کاربر تلقی می شوند ، و تلفن همراه مدرن همه چیز لازم را دارد. دسترسی بیومتریک به تلفن دستگاه را به کاربر / مالک متصل می کند ، بنابراین هرگونه تأیید هویت مربوط به دستگاه به طور خودکار کاربر را شناسایی می کند. تاکنون این با اصطکاک بسیار کم حاصل می شود. تمام آنچه باقی مانده است نیاز به تأیید اعتبار دستگاه با سرویس آنلاین است.
دو فن آوری جدید برای دستیابی به این هدف وجود دارد: ZenKey (هنوز در بتا) از یک کنسرسیوم حامل های تلفنی ایالات متحده است. و Beyond Identity (که در تاریخ 14 آوریل 2020 برای کار تجاری راه اندازی شد و قبل از پایان سال با نسخه مصرفی موافقت کرد).
ZenKey
ZenKey یک فرم SSO است ، با ارائه دهنده خدمات تلفن همراه (AT&T ، Sprint ، T-Mobile و Verizon) ارائه دهنده سرویس SSO. به طور خودکار یک رابطه قابل اعتماد بین کاربر و شرکت مخابراتی برقرار است و شرکت مخابراتی اطلاعات شخصی شخصی زیادی را در اختیار کاربر قرار داده است.
ZenKey ارتباط مستقیمی بین تلفن همراه (کاربر کاربر) و شرکت مخابراتی فراهم می کند. شرکت مخابراتی ترافیک را به مقصد مورد نظر کاربر هدایت می کند. در صورت لزوم ورود به سیستم ، شرکت مخابراتی به نمایندگی از کاربر وارد سیستم می شود ، به طور معمول بدون نیاز به هرگونه اطلاعات یا تلاش اضافی از سوی آن کاربر.
بزرگترین ضعف در ZenKey نیاز به برقراری روابط با ارائه دهندگان خدمات (بانک ها ، فروشگاه های خرده فروشی) است. ، و غیره) که کاربران مایل به دسترسی هستند. این زمان می برد. اما پس از دستیابی ، اما – و به شرطی که برنامه ZenKey روی دستگاه نصب و فعال شود – کاربران به سادگی با یک دکمه دیگر ارائه می شوند. در کنار دکمه "ورود با فیس بوک" دکمه "ورود به سیستم با ZenKey" وجود خواهد داشت.
این جعبه ها را نشان می دهد – اصطکاک بسیار کم ، افزایش امنیت و شناسایی شخصی که از دستگاه استفاده می کند.
فراتر از هویت
Beyond Identity یک شرکت جدید است که توسط لومینرهای اینترنتی تأسیس شده است (جیم کلارک از مشهور نت و اسکیم و تام جرملوک از شهرت شبکه Home) با استفاده از فناوری خوب: گواهینامه های X.509 و SSL (حدود 25 سال پیش توسط Netscape اختراع شده است) بستر ارتباطات اینترنتی ایمن).
این سیستم برای هر تلفن یک گواهی تولید می کند و آن را با ایمن در داخل محفظه امن تلفن ذخیره می کند. هویت گواهینامه با استفاده از رمزگذاری SSL به سرویس آنلاین ارسال می شود. هویت کاربر با احراز هویت بیومتریک مشخص شده است. در نتیجه ، یک اعتماد کامل از وب سایت از طریق دستگاه به کاربر واقعی وجود دارد – همه بدون اینکه یک رمز عبور لازم داشته باشد.
آینده
گذرواژه ها در رویکرد ما به امنیت جاسازی شده اند. برای جایگزینی آنها مدتی طول خواهد کشید – و فناوری جدیداً جدید. اما نقصان امنیتی آنها بسیار شدید است ، آنها باید جایگزین شوند. تلاش برای بهبود امنیت ، با نیاز اضافی به یک رمزعبور یک بار ، اصطکاک کاربران را به حدی افزایش می دهد که در نهایت و به ناچار شکست بخورند.
رویکرد SSO استفاده از شخص ثالث برای انجام بخش بیشتر کار وعده داده شده است – اما برای دسترسی به سرویس SSO هنوز به رمزعبور نیاز دارد. با این وجود آزمایش شناسایی کاربر به جای مجوز دستگاه امکان پذیر نیست – و اگر یک مجرم از آن رمز عبور خود را در دست بگیرد ، وی به تمام سرویس های آنلاین دسترسی کاربر دسترسی دارد.
این را می توان با استفاده از دستگاه تلفن همراه به عنوان ارتباطی بین شناسایی کاربر و تأیید اعتبار دستگاه است.
بیومتریک رفتاری ممکن است راه حلی برای تجارت باشد. این اصطکاک کم (فقط رمز اصلی اولیه یا شاید یک دستگاه بیومتریک) ارائه می دهد ، کاربر و همچنین دستگاه را مشخص می کند و می تواند برای احراز هویت مداوم از آن استفاده شود. اما در حال حاضر در بازار مصرف مفید نیست. در اینجا ، احراز هویت مبتنی بر تلفن همراه از این مزیت برخوردار است.
به نظر می رسد ، بنابراین ، تا زمان ظهور فناوری جدید جدید ، بیومتریک رفتاری در استفاده در تجارت رشد می یابد ، در حالی که احراز هویت تلفن همراه در بازار مصرف افزایش می یابد. هر دو روش ضمن شناسایی فرد در پشت دستگاه ، امنیت را با کاهش اصطکاک افزایش می دهند.
