Şifrelerin (Parola) olmadığı bir geleceğe göz attım ve sandığınızdan daha yakın

[™ Admin]

Şifrelerin (Parola) olmadığı bir geleceğe göz attım ve sandığınızdan daha yakın

Çok fazla şifrem var. Bu noktada sadece tüm hesaplarıma ve cihazlarıma erişmek için 200'den fazla giriş yapıyorum. Ve her web sitesi için değişen parola gereksinimleriyle, her şeyi düzgün tutmak neredeyse imkansızdır.

Birçok insan gibi ben de yıllar önce tüm şifrelerimi hatırlamaya çalışmaktan vazgeçtim ve bu sorumluluğu bir şifre yöneticisine devrettim. Ancak, şirketlerin siteleri daha fazla güvenlik katmanı oluşturmaya devam ettikçe, hafızamı bir parola yöneticisine boşaltmak kendi sorunlarıyla birlikte gelir. Her oturum açma, soygun tarzı bir kasa kırma gibi hissettiriyor: Kendi parolasıyla parola yöneticisinin kilidini açın. Tıklamak. Benzersiz, telaffuz edilemez bir karakter dizisini kopyalayıp oturum açma formuna yapıştırın. Tıklamak. E-posta adresime veya telefonuma gönderilen altı haneli bir kodla benim olduğumu onaylayın. Tıklamak. Ve ben varım.

Ve bu sadece bir hesap için - Sadece temel görevleri tamamlamak için bu işlemi günde birkaç kez tekrarlamak zorunda kalıyorum. Yalnız değilim: Ortalama bir insan, e-posta gelen kutularından banka hesaplarına, akış hizmetlerine ve yerel kafenin üyelik programına kadar her şeye erişmek için 100'e yakın şifre biriktirmiştir.

Çok sayıda olmasına rağmen, parolalar insanların bilgilerini güvende tutmanın kusursuz bir yolu değildir. Herkesin bildiği gibi kırılması kolay: Microsoft, saniyede yaklaşık 1.287 veya günde yaklaşık 111 milyon parola saldırısı bildiriyor. Ve Cybersecurity Ventures, ihlallerden her saniye 44 kaydın çalındığını bildiriyor. Bir harf, sayı ve karakter dizisinin yanılabilirliği göz önüne alındığında, teknoloji firmaları 1960'larda piyasaya sürüldüklerinden bu yana şifrelerin üzerine bir dizi savunma yerleştirdiler - kodların hem sayıları hem de harfleri içermesini zorunlu kılmaktan ikinci bir kimlik doğrulama adımı eklemeye kadar. güvenlik soruları olarak Bu eklenen karmaşıklıklar, hırsızlıkları önlemek için çok az şey yaptı. Yalnızca geçen yıl, 2020'ye kıyasla %65'lik bir artışla 24 milyardan fazla oturum açma bilgisi açığa çıktı.

Parola sorununu çözmek için, Apple, Amazon, Google ve Microsoft dahil olmak üzere en etkili teknoloji firmalarından bazılarının oluşturduğu bir koalisyon, son on yılı arkaik parolayı bir kez ortadan kaldıracak bir oturum açma sistemi üzerinde çalışarak geçiren FIDO Alliance'ı kurdu. ve herkes için. FIDO çözümü neredeyse geldi ve onu birkaç hafta denemem gerekiyor. Tamamen şifresiz bir geleceğe yakın olmasak da, denediğim sistem şimdiden oyunun kurallarını değiştirdi.

Şifrelerin belası

İnternetin doğuşu, çevrimiçi faaliyet göstermeyi uman işletmeler için acil bir sorun oluşturdu. Birinin söylediği kişi olduğundan nasıl emin olabiliriz? İşletmeler, sorunu çözmek için Buffalo Üniversitesi'nde bilgisayar bilimi profesörü olan Ziming Zhao'nun bana en basit çözüm olduğunu söylediği şeye başvurdu: metin tabanlı oturum açma bilgileri veya parolalar. Cambridge Üniversitesi tarafından yapılan bir araştırma, parolalara alternatifler için yirmi yıllık önerileri karşılaştırdı ve her biri konuşlandırılabilirlik açısından parolalardan daha kötü performans gösterdi - bu, işletmelerin parolaları oluşturmasının ne kadar kolay olduğunun bir ölçüsü.

Kullanım kolaylığına rağmen, parolaların önemli dezavantajları vardır: Veri ihlallerinin %80'inden fazlası, zayıf parolaların sonucudur. Siber güvenlik uzmanları çevrimiçi gizliliği sıkılaştırmanın yollarını bulsa da, çoğu zaman verileri güvende tutma sorumluluğu nihayetinde insanlara aittir ve insanlar pek güvenilir değildir. Çoğu insan kimlik bilgilerinin güvensiz olduğunu bilse de, yalnızca birkaç kişi bu konuda bir şeyler yapmaya zahmet eder. Ve iki faktörlü kimlik doğrulama gibi ek güvenlik önlemleri, parolaların ortaya çıkardığı sorunlarda yara bandıdır. Google'ın kimlik ve güvenlik ekibinin ürün müdürü Christiaan Brand, her zaman köşede yeni bir tehdit olduğunu söyledi: "Gerçekten sıfırdan başlamamız gereken noktadayız."

Gerçekten sıfırdan başlamamız gereken noktadayız.

Parolaları öldürme arayışı yeni değil. 2004'te Bill Gates, ünlü bir şekilde geleneksel şifrelerin ölümünü tasavvur etti ve bunları değiştirmek için birkaç girişimde bulunuldu. Ancak şimdiye kadar hiçbiri bir alternatif bulamadı. FIDO Alliance'ın "geçiş anahtarları" olarak anılan çözümü, güvenlik yükünü kullanıcıdan teknolojiye kaydırıyor. Parolalarla, her web sitesi için benzersiz parolalar kaydetme konusunda endişelenmenize veya oturum açmak için güvenlik adımlarından oluşan bir labirentte gezinmenize gerek kalmaz. FIDO'nun parolasız dünyasında, parola sizsiniz. Herhangi bir yerde oturum açmak için tek yapmanız gereken yüzünüzü veya parmak izinizi taramak.

Birinci sınıf parola yöneticisi ve FIDO Alliance'ın bir üyesi olan 1Password'ün baş ürün sorumlusu Steve Won, "Parola yoksa, kelimenin tam anlamıyla bir parolayı çalamazsınız," dedi.

Başarılı olursa, geçiş anahtarları en acil çevrimiçi güvenlik endişelerinden bazılarını ortadan kaldırabilir. FIDO'nun son güncellemesinin ardından, geçtiğimiz yıl birçok büyük şirket, cihazlarına ve web sitelerine geçiş anahtarları için destek sağladı. Apple'dan Mastercard'a platform sahipleri katılıyor, bu yüzden kontrol altına almaları için gerçek bir şans var. Almanya'daki TU Darmstadt'ta güvenlik araştırmacısı olan Florentin Putz, geçiş anahtarlarını heyecan verici kılan şeyin teknoloji şirketleri arasındaki yaygın destek olduğunu söyledi.

Geçiş anahtarları nasıl çalışır?

Yeni parolasız oturum açmayı kullanmak için önce dizüstü bilgisayarınızda, telefonunuzda, tabletinizde veya diğer cihazınızda bir parola ayarlamanız gerekir. Fazladan bir uygulama yüklemenize gerek yok — Apple, Microsoft ve Google artık varsayılan olarak parola sistemleri sunuyor.

Best Buy veya Google gibi hesaplarımdan biri için şifresiz bir giriş oluşturmak istediğimde, şifre kayıt sayfasını ziyaret ederim. Web sitesi veya uygulama yüzümü veya parmak izimi tarıyor. Cihazımda biyometrik tarayıcı yoksa, benden cihazın kilit ekranı PIN'ini veya şifresini girmemi ister. (Bu adım, sizi doğrulamak için yüzünüzü veya parmak izinizi tarayamayan cihazlar için geçici bir çözümdür; ancak amaç, PIN gerekliliğini ortadan kaldırmaktır.) Site, kimliğimi doğruladıktan sonra, benzersiz bir sanal çift oluşturur. anahtarlar. Bunlardan biri web sitesinin sunucusunda kalır. Diğeri özel ve cihazımda kalıyor.

Bu hesaba bir sonraki girişimde tek yapmam gereken giriş formundaki küçük bir tuş simgesine dokunmak. Site daha sonra kimliğimi Face ID ile doğruluyor ve saniyeler içinde içeri giriyorum. Uzun bir alfasayısal parola girmem veya iki faktörlü kimlik doğrulama gibi fazladan oturum açma adımlarıyla uğraşmam gerekmiyor. Perde arkasında, web sitesi veya uygulama, daha önce cihazıma kaydettiğim özel anahtarı okur ve yalnızca sunucusundaki anahtarla eşleşirse kapının kilidini açar. Kulağa karmaşık gelse de, hepsi arka planda gerçekleşir ve anında gerçekleşir - hiçbir şeyi hatırlamanız veya yönetmeniz gerekmez. Bir iPhone'un kilidini açmak kadar basit.

Ayrıca parolalardan çok daha güvenli ve daha özeldir. Biyometrik bilgileriniz ve geçiş anahtarlarınız cihazlarınızdan asla çıkmadığından, bir veri ihlali durumunda oturum açma bilgilerinizin ele geçirilmesi ihtimali çok düşüktür. Geçiş anahtarlarıyla geçirdiğim birkaç hafta içinde, kolaylıklarını ve eller serbest kimlik doğrulamasını benzersiz buldum - ancak sistem hala mükemmel olmaktan uzak.

Kitlesel benimseme gerekli

Parolalarla ilgili en büyük sorun, onları kaç sitenin kabul ettiğidir. Şu anda, parola desteği olan web siteleri ve uygulamaların listesi birkaç düzine şirketle sınırlı ve sık sık ziyaret ettiğim çoğu hizmet için metin tabanlı parolalara başvurmak zorunda kaldım.

Ancak geçiş anahtarı hareketi yayılıyor: Daha fazla şirket FIDO Alliance'a katılıyor ve geçiş anahtarlarını benimsiyor. Koalisyonun icra direktörü Andrew Shikiar, ittifaka katılmak isteyen firmaların sayısının "şifre sorununun zorunluluğunu gösterdiğini" söyledi. Momentumun önümüzdeki 12 ila 18 ay içinde önemli ölçüde artacağını da sözlerine ekledi.

Diğer büyük zorluk, farklı türde cihazlar arasında bağlantıdır. Şu anda, Apple veya Google ile bir geçiş anahtarı ayarladığınızda, bunu yalnızca kendi ekosistemleriyle senkronize ediyorlar. Tüm aygıtlarınız tek bir şirkete aitse bu harikadır; Apple parolanız bir iPhone, iPad ve MacBook'ta çalışır. Ancak bir iPhone'unuz ve bir PC dizüstü bilgisayarınız varsa, parolanızı bu cihazlar arasında kolayca aktaramazsınız. Oturum açmak için, oturum açmak istediğiniz web sitesini ziyaret etmeniz, kullanıcı adınızı girmeniz ve ardından parolanızı saklayan yakındaki bir cihazla Bluetooth aracılığıyla bağlantı kurmanız gerekir. Yakınınızda ihtiyacınız olan geçiş anahtarına sahip bir cihazınız yoksa, geleneksel parolanıza geri dönmeniz gerekir. Dolayısıyla, parolanızın saklandığı yerde telefonunuzu kaybederseniz, hizmete bilgisayarınızdan geleneksel bir parolayla giriş yapmanız gerekir.

Kulağa karmaşık gelse de, hepsi arka planda gerçekleşir ve anında gerçekleşir - hiçbir şeyi hatırlamanız veya yönetmeniz gerekmez.
Bu işlem, bir bilgisayar korsanının hesaplarınızı manipüle edememesini sağlarken (fiziksel olarak birkaç metre yakınınızda olmadıkça), bir dizi kullanılabilirlik sorunu ortaya çıkarır. Genel olarak Bluetooth paylaşımı titizdir. Birkaç kez, cihazlar arasında geçiş anahtarları göndermeye çalıştığımda başarısız oldu. Ayrıca FIDO, Apple gibi satıcıları çok fazla kontrolle donatarak geçiş anahtarlarını Apple dışı cihazlara aktarmalarını zorlaştırmalarına olanak tanır. İstanbul Teknik Üniversitesi tarafından yapılan araştırma, platformlar arasındaki tutarsız geçiş anahtarı arabirimlerinin, kullanıcıları bunlara geçmekten önemli ölçüde caydırabileceğini buldu.

Burası ayrıca 1Password gibi üçüncü taraf şifre yöneticilerinin yardımcı olabileceği yerdir. Parola yöneticim olarak 1Password kullanıyorum, bu yüzden birlikte çalışabilirlik sorunlarının bazılarının çözülmesine yardımcı olan yeni parola sistemini denedim. 1Password'ün uygulamaları tüm platformlarda mevcut olduğundan, hangi cihazda olursam olayım geçiş anahtarlarımı kolayca senkronize edebilir. Örneğin, bir Mac'ten Windows PC'ye geçtiğimde, Best Buy'ta bir geçiş anahtarıyla oturum açmak için FIDO'nun hantal QR kod paylaşımı seçeneğiyle uğraşmak zorunda kalmadım - 1Password'ün Chrome eklentisi otomatik olarak oturumumu açtı.

1Password'ün geçiş anahtarı güncellemesi bu makalenin yazıldığı sırada bilgisayarlarla sınırlıyken, Won bana Android telefonlar için desteğin yolda olduğunu söyledi. Öte yandan, Apple üçüncü taraf parola yöneticilerinin cihazlarında geçiş anahtarlarını saklamasına izin vermediği için iPhone'lar başka bir engel oluşturuyor.

Güvenlik araştırmacısı Putz'un yürüttüğü bir araştırmanın katılımcıları, geçiş anahtarı sistemiyle ilgili başka bir endişeyi dile getirdi. Birçok kullanıcı, biyometrik bilgilere dayanan geçiş anahtarlarının kullanımını karmaşıklaştıran, arkadaşları ve aile üyeleriyle hesap paylaştığını bildirdi. Bu, akış platformları da dahil olmak üzere, hesap paylaşımını zaten azaltan bazı işletmeler için yararlı olabilir, ancak paylaşılan bir hizmeti yasal olarak kullanmaya çalışan müşteriler için sorun teşkil eder. Şu anda geçiş anahtarlarını destekleyen web siteleri aynı zamanda geleneksel bir oturum açma olanağı da sunuyor, böylece örneğin başka bir ülkede bulunan biriyle hesap erişimini paylaşmak istediğimde onlara şifreyi mesaj olarak gönderebiliyorum. Ancak bir sitenin yalnızca geçiş anahtarı seçeneği varsa, diğer kişi benim Bluetooth kapsama alanımda olmadığı sürece, insanların hesabımı kullanmasına izin vermenin hiçbir yolu olmazdı.

Bu tasarım gereğidir: Google gibi firmalar bir geçiş anahtarı paylaşmanızı istemez çünkü bu, parolasız bir geleceğin tüm önermesini alt üst eder ve onu kimlik avına karşı savunmasız bırakır - bilgisayar korsanlarının hedeflerini taklit ederek kandırdıkları yaygın bir saldırı türü olmadıkları biri.

Google's Brand, "Diğer kimlik doğrulama biçimleri söz konusu olduğunda önerilerimize benzer şekilde, güvenilir bir kaynakla paylaştığınızı düşünseniz bile geçiş anahtarlarının, şifrelerin vb. Ancak 1Password, kullanıcılarının geçiş anahtarlarını uzaktan paylaşmasına izin vermeyi planladığını söylüyor.

Shikiar, geçiş anahtarlarına geçişin yavaş bir geçiş olacağını kabul etti, ancak bu sorunların çoğunun önümüzdeki üç ila beş yıl içinde çözülmesini bekliyor çünkü geçiş yapma maliyetleri, azalan veri ihlalleri ve dolandırıcılıktan elde edilen artan gelire ağır basıyor.

Buffalo's Zhao'daki Üniversite, geçiş anahtarlarıyla ilgili hala güvenlik açıkları olduğunu söyledi. Örneğin, yeni bir iPhone kurmak için yine de Apple Kimliği şifrenize veya PIN'inize ihtiyacınız var - son raporlar suçluların sadece kilit ekranı PIN'ini dinleyerek bir kişinin dijital hayatını nasıl ele geçirebileceğini vurguladığından ölümcül olabilecek bir boşluk. Yine de Zhao, geçiş anahtarları için kök salıyor.

"Güvenlik sorunlarını tamamen ortadan kaldırmıyorlar" dedi ve ekledi: "Ancak bilgisayar korsanlığı girişimleri için çıtayı yükselterek onları daha da zorlaştırıyorlar."

Sonuç olarak, sayısız güvenlik çemberinden geçmeden internette gezinme yeteneği canlandırıcıdır. Karşılaştığım kusurlar, birinci nesil böceklerden başka bir şey değildi. Parolalar bir gecede kaybolmayacak, ancak FIDO Alliance'ın başardığı şey beni parolasız geleceğimizin hemen köşede olduğuna ikna etti.

Kaynak: Business Insider