Śledź ZDNET: Dodaj nas jako preferowane źródło w Google.
Kluczowe dane ZDNET dla Van
- Hasła są bezpieczniejsze niż hasła do uwierzytelniania przy kontach online.
- Praca z kluczami dostępu wymaga uwierzytelnienia i innych technologii.
- Mobilny moduł uwierzytelniający może być najbardziej skomplikowanym i najbezpieczniejszym typem uwierzytelniacza.
Spójrzmy prawdzie w oczy. Jeśli chodzi o hasła, jesteśmy swoimi największymi wrogami. Zbyt rygorystyczne? Nie sądzę. Robimy wszystko, co w naszej mocy, aby ułatwić cyberprzestępcom zrobienie najgorszego – od wydobycia i dystrybucji naszych wrażliwych danych po opróżnienie naszych kont bankowych. Biorąc pod uwagę, jak często użytkownicy końcowi w dalszym ciągu nieumyślnie włączają tych hakerów, praktycznie dołączyliśmy do drugiej strony.
W rzeczywistości badania pokazują, że pomimo odbycia dokładnego i wszechstronnego szkolenia w zakresie cyberbezpieczeństwa aż 98% z nas nadal zostaje oszukanych przez phisherów, smisherów, quisherów i innych cyberprzestępców, którzy próbują nas nakłonić do przypadkowego ujawnienia naszych tajnych haseł.
Także: Jak przygotować firmę na przyszłość bez haseł – w 5 krokach
Widząc, że szkolenia i edukacja są wyraźnie daremne, branża technologiczna zdecydowała się na alternatywne podejście: całkowicie wyeliminować hasła. Zamiast danych logowania, które wymagają od nas wprowadzenia (czyli „udostępnienia”) naszego sekretu w aplikacji lub witrynie internetowej (zbiorczo zwanej „stroną ufającą”), co powiesz na ogólnobranżowy standard pozbawiony haseł, który nadal zawiera sekret, ale taki, którego nigdy nie trzeba nikomu udostępniać? Nawet legalne, zaufane strony, nie mówiąc już o groźbach? Właściwie, czy nie byłoby wspaniale, gdybyśmy my, użytkownicy końcowi, nie mieli pojęcia, na czym polega sekret?
Krótko mówiąc, jest to założenie klucza dostępu. Trzy główne idee stojące za kluczami dostępu to:
- Nie można ich odgadnąć (tak jak można i często tak się dzieje).
- Tego samego klucza dostępu nie można używać ponownie w witrynach internetowych i aplikacjach (tak jak w przypadku haseł).
- Nie da się Cię oszukać i ujawnić kluczy dostępu złośliwym podmiotom (tak jak dzieje się to w przypadku haseł).
Łatwe, prawda? Cóż, nie tak szybko. Chociaż 99% współczesnych przepływów pracy związanych z identyfikatorami użytkowników i hasłami jest łatwych do zrozumienia i do zakończenia tego procesu nie jest wymagana żadna dodatkowa, dedykowana technologia, tego samego nie można powiedzieć o kluczach dostępu.
W przypadku kluczy dostępu, podobnie jak w przypadku wszystkiego, co wiąże się z cyberbezpieczeństwem, będziesz musiał zrezygnować z wygody na rzecz poprawy bezpieczeństwa. Jak już szczegółowo wyjaśniłem, taki kompromis się opłaca.Jednak kompromis ten wiąże się z pewną złożonością, do której trzeba będzie się przyzwyczaić.
Za kulisami z kluczami
Za każdym razem, gdy tworzysz nowe hasło lub używasz go do logowania się do strony ufającej, masz do czynienia z zestawem technologii — sprzętem urządzenia, systemem operacyjnym, który go obsługuje, natywną przeglądarką internetową systemu operacyjnego, stroną uzależnioną i modułem uwierzytelniającym — zaprojektowanych tak, aby współdziałały w celu zapewnienia ostatecznego i, miejmy nadzieję, bezproblemowego doświadczenia użytkownika. Niektóre z tych technologii nakładają się na siebie w taki sposób, że granice między nimi zacierają się.
Także: Jak działają hasła: kompletny przewodnik po Twojej nieuniknionej przyszłości bez haseł
Słowo „klucz” jest w rzeczywistości pseudonimem specyfikacji poświadczeń FIDO2 stowarzyszenia FIDO Alliance, która sama w sobie jest zasadniczo połączeniem dwóch innych otwartych standardów: standardu WebAuthn opracowanego przez konsorcjum World Wide Web Consortium (W3) dotyczącego uwierzytelniania bez hasła za pośrednictwem Internetu (HTTP) ze stroną ufającą oraz protokołu Client-to-Authenticator Protocol (CTAP) sojuszu FIDO. Jeśli chodzi o „Authenticator” w „protokole Client-to-Authenticator”, WebAuthn rozróżnia trzy różne typy uwierzytelniaczy: platformawirtualnych i roamingowych.
Tematem czwartej i ostatniej części serii ZDNET poświęconej technologiom uwierzytelniania haseł jest uwierzytelniacz mobilny.
Ograniczenia uwierzytelniania w roamingu
Jak sama nazwa wskazuje, uwierzytelniacz mobilny to urządzenie fizyczne, takie jak pamięć USB (powszechnie nazywana kluczem bezpieczeństwa), które można nosić w kieszeni. Klucze Yubico Yubi I Tytan Google’a to dwa typowe przykłady uwierzytelniaczy roamingowych. Jednak uwierzytelniacze w roamingu mogą mieć postać innych urządzeń, w tym smartfonów i kart inteligentnych.
Yubico oferuje szeroką gamę uwierzytelniaczy roamingowych, z których większość różni się w zależności od możliwości połączenia z urządzeniem. Na przykład YubiKey 5C NFC można fizycznie podłączyć do urządzenia przez USB-C lub bezprzewodowo za pośrednictwem komunikacji NFC (Near Field Communication). Jednak uwierzytelniacze mobilne są również małe i łatwe do zgubienia lub zgubienia, dlatego potrzebne są co najmniej dwa — jeden na potrzeby kopii zapasowej.
Yubico
Obecnie, gdy wykorzystujesz dany uwierzytelniacz roamingowy do obsługi ceremonii rejestracji klucza dostępu dla danej strony ufającej, klucz dostępu jest generowany i przechowywany w postaci zaszyfrowanej na uwierzytelniaczu mobilnym w taki sposób, że nie można go oddzielić od urządzenia fizycznego. Z tego powodu klucze dostępu wygenerowane przez uwierzytelniacze mobilne są uważane za „przypisane do urządzenia”. Innymi słowy, w przeciwieństwie do pęku kluczy iCloud firmy Apple, menedżera haseł w przeglądarce Google Chrome i większości wirtualnych menedżerów haseł, hasło utworzone i przechowywane w mobilnym urządzeniu uwierzytelniającym jest również kluczem, którego nie można zsynchronizować. Nie można go wyciągnąć z podstawowego sprzętu, zsynchronizować z chmurą i stamtąd zsynchronizować z innymi urządzeniami użytkownika.
Ponadto: Najlepsze klucze bezpieczeństwa: fachowo przetestowane
To ograniczenie mobilnego uwierzytelniacza odzwierciedla również obecny stan rzeczy z Windows Hello, gdzie użytkownicy mają możliwość utworzenia klucza dostępu powiązanego z bazowym systemem Windows. W tym przypadku powstały klucz dostępu jest kryptograficznie powiązany ze sprzętem zabezpieczającym systemu, znanym również jako moduł zaufanej platformy (TPM). Każdy nowoczesny system ma kryptograficznie unikalny moduł TPM, który służy jako sprzętowa podstawa zaufania, z którą można nierozerwalnie powiązać hasła i inne tajemnice.
Mając to na uwadze, mobilny moduł uwierzytelniający można w pewnym sensie uznać za mobilny rdzeń zaufania; jest to zasadniczo przenośny moduł TPM. Chociaż klucza dostępu powiązanego z modułem TPM podłączonym na stałe do obwodu komputera lub urządzenia mobilnego nie można nigdy oddzielić od urządzenia, klucz dostępu przechowywany w mobilnym urządzeniu uwierzytelniającym jest nadal kryptograficznie powiązany ze sprzętowym źródłem zaufania, ale można go następnie udostępnić wielu urządzeniom, z którymi może się połączyć mobilny moduł uwierzytelniający. Na przykład klucz dostępu przechowywany na kluczu YubiKey opartym na USB może służyć do obsługi ceremonii uwierzytelniania opartej na kluczu na dowolnym urządzeniu, do którego można podłączyć ten klucz YubiKey (np. komputerze stacjonarnym, smartfonie, tablecie lub konsoli do gier).
Hasło, które można zsynchronizować
Główną zaletą tego podejścia jest to, że można korzystać z wielu urządzeń, korzystając z synchronizowanego programowo klucza dostępu, bez konieczności przechowywania hasła w innym miejscu niż w samym mobilnym urządzeniu uwierzytelniającym. Nie są zapisywane na żadnym z Twoich urządzeń komputerowych ani nie przechodzą przez chmury internetowe w celu synchronizacji z innymi urządzeniami i korzystania z nich. Zamiast synchronizować hasło w chmurze, po prostu podłączasz mobilny moduł uwierzytelniający do dowolnego urządzenia, które potrzebuje go do ceremonii uwierzytelnienia ze stroną ufającą.
Jednak uwierzytelniacze mobilne różnią się znacznie od swoich platform i wirtualnych odpowiedników tym, że nie mają żadnych możliwości zarządzania hasłami. Nie można zapisać identyfikatora użytkownika ani hasła w mobilnym urządzeniu uwierzytelniającym w taki sam sposób, w jaki można zapisać hasło. Stanowi to pewną zagadkę, ponieważ menedżery haseł są nadal przydatne ze względu na ich możliwości związane z kluczami niedostępnymi dla dostępu, takie jak tworzenie unikalnych, złożonych haseł dla każdej strony ufającej, a następnie w razie potrzeby automatyczne wypełnianie ich w formularzach aplikacji. Jeśli Twoja strategia zarządzania danymi uwierzytelniającymi obejmuje zarówno menedżera haseł, jak i mobilny moduł uwierzytelniający, zasadniczo będziesz mieć dwa moduły uwierzytelniające — jeden wirtualny (jako część menedżera haseł) i jeden mobilny, co wymaga podjęcia decyzji i zapamiętania, którego uwierzytelniacza użyć dla której strony ufającej.
Ponadto: Synchronizowane a niezsynchronizowane klucze dostępu: czy uwierzytelnianie w roamingu jest najlepsze z obu światów?
Na szczęście istnieje jeden wyraźny przypadek użycia, w którym posiadanie platformy mobilnej lub wirtualnego uwierzytelniacza ma sens. Jak opisano w tym raporcie na temat niedawnej współpracy pomiędzy Dashlane i Yubico, z menedżerami haseł wiąże się pewien paradoks: jeśli musisz być zalogowany do menedżera haseł, aby zalogować się do wszystkiego innego, jak zalogować się do menedżera haseł?
Najlepszą strategią jest zrobienie tego za pomocą uwierzytelniacza roamingowego. W końcu Twój menedżer haseł przechowuje klucze do całego Twojego królestwa. Pomysł włamania się hakera do Twojego menedżera haseł powinien wywołać w każdym sercu zdrowy strach. Jeśli jednak jedynym sposobem uwierzytelnienia za pomocą menedżera haseł jest użycie czegoś, co fizycznie posiadasz — na przykład mobilnego narzędzia uwierzytelniającego — wówczas złośliwy haker nie ma możliwości, aby za pomocą inżynierii społecznej uzyskać dane uwierzytelniające menedżera haseł. Być może najważniejszym punktem tej wiadomości Dashlane jest to, jak możesz całkowicie wyeliminować swój identyfikator użytkownika i hasło jako sposób logowania się na konto Dashlane.
Ale gdy pójdziesz tą ścieżką, pojawia się następująca komplikacja.
Oto problem: w przypadku stron uzależnionych, w których jedynymi pasującymi kluczami dostępu są klucze dostępu na Twoim mobilnym urządzeniu uwierzytelniającym, będziesz potrzebować innego mobilnego modułu uwierzytelniającego, w którym będziesz mógł przechowywać zapasowe klucze dostępu. Trzeci mobilny uwierzytelniacz — kopia zapasowa dla kopii zapasowej — też nie zaszkodzi. W przeciwieństwie do identyfikatorów użytkowników i haseł, powinna istnieć możliwość utworzenia wielu haseł — każdego innego niż pozostałe — dla każdej strony ufającej obsługującej hasła. Jeżeli posiadasz trzech uwierzytelniaczy w roamingu, dobrym pomysłem byłoby zarejestrowanie trzech oddzielnych kluczy dostępu dla każdej strony ufającej (jeden unikalny klucz dostępu dla każdego uwierzytelniacza w roamingu).
Ponadto: Co się stanie, jeśli Twoje urządzenie z hasłem zostanie skradzione? Jak zarządzać ryzykiem w przyszłości bez haseł
Jeśli naprawdę się nad tym zastanowisz, główna idea kluczy jest twierdząca pozbyć się haseł. Gdy strona ufająca wyeliminuje opcję uwierzytelniania identyfikatora użytkownika i hasła, należy bardzo uważać, aby nie zgubić klucza dostępu (a uwierzytelniacz mobilny jest bardzo łatwo stracić). Niektóre zaufane strony, takie jak GitHub, nie oferują programów odzyskiwania kont zabezpieczonych kluczem dostępu – i słusznie. Jeśli jesteś stroną uzależnioną i jeden z Twoich użytkowników zdecydował się chronić konto w Twoich systemach za pomocą klucza dostępu, musisz założyć, że zrobił to z jakiegoś powodu, więc nie ma innego sposobu na zalogowanie się.
