Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Технологии и концепции
бр. 11, 2017

Автентификацията след ерата на паролите

от , 23 ноември 2017 0 172 прочитания,

Много шум се вдигна около най-известната характеристика на iPhoneX - отключване на телефона с лице. За съжаление представянето на устройството беше съпътствано от гаф - шефът на софтуерния отдел на Apple, Крейк Фередиги не успя се справи от първия път. Въпреки това, замяната на паролата, отключващата фигура и пръстовия отпечатък с нещо друго е голяма стъпка напред.

През последните три години, редица стартъпи се подготвят за времето след паролите. Алтернативите и допълнителните решения навлизат без много шум в мобилните устройства и услугите на международните банки, предприятия и компании за потребителски софтуер. Може би сега е моментът, бизнесът да преосмисли начина, по който разбира автентификацията. И да развие успешни стратегии за разпознаване на клиентите си, като същевременно повиши нивото на сигурност, за да могат те да се откажат от паролите.


Автентификацията след ерата на паролите


Удостоверяваме кои сме по три начина - какво знаем, кои сме и с какво разполагаме. Целта е на това "упражнение" е да се подобри сигурността и да се реши неудобството с паролите.

  • Какво знаем

Паролите се базират на знание. Защитните въпроси, от типа "какво е моминското име на майка ви", използват информация, която потребителите имат. Трудно е за един измамник да се добере до това, което само вие знаете, но не е невъзможно. А опасностите от пробив идват от там, че паролите могат да бъдат откраднати или прихванати, докато сме онлайн. Друг вариант на автентификацията, базирана на знание, е въпрос, свързан с взаимоотношенията ви с доставчика или услуги, които ползвате. 

  • Кои сме

 Използването на "поведенческата биометрия" или "измерването на матриците на човешкото поведение" не е нещо ново и се прилага още преди паролите. Инструменти като BioCatch, NuData и BehavioSec, сайтове и приложения, записват хиляди параметри как ползвате компютъра си или мобилния си телефон и така разпознават потребителите.

Подобни сайтове пускат невидими тестове, за да отчетат реакциите на потребителите, да речем, ако курсорът, изчезне за части от секундата. След това записват вашите реакции - дали браузвате или кликате и използват събраните данни, за да ви разпознаят.

В свой доклад Националният институт по стандари и технологии (NITS) на САЩ, отбелязва, че биометрията е достатъчно сигурен инструмент за вторична автентификация, но все още индустрията не е набрала достатъчно сила, за да стане основен, т.е. паралелно с него трябва да се ползва и друг метод, например, базиран на знание. Част от резервите към лицевото разпознаване са свързани с необходимото приемане и компромис от страна на потребителите - колкото по-чувствителна е биометричната автентификация, толкова по-голяма съпротива може да предизвика. Понякога повече от един човек ползват дадено устройство или акаунт, а биоментричните данни да индивидуални.

  • Какво имаме?

На лице са много начини да идентифицираме някого на базата на притежание, както и на малко опити за замяна на паролите с физически вещи. Класически пример за това са токените. Големи компании и стартъпи като RSA, Gemalto, Pico, Yubico, насочиха усилията си да идентифицират потребителите чрез притежание. Yubico изобретиха мини USB ключ за логин към приложения или мрежи. Размерът му беше по-малък от този на класическата флашка, но скоро стана ясно, че колкото по-малко е устройството, толкова по-лесно е да бъде загубено или забравено в компютър, да речем. И тази мода отшумя, а усилията се насочиха в друга посока. Технологичните гиганти като Google, въведоха услуги, базирани на притежание: Google Prompt, известна още като Google Push, ви подканва да замените паролата си с логин през телефона. Microsoft също предлагат подобна възможност за корпоративни и крайни клиенти чрез Phone Login. Лицевата биометрия, която набира сила в услугите на различни компании - от Apple до обслужващата ви банка, пак използва притежание - вашето лице.

 Можем ли да съберем на едно място трите метода?

Обикновено новосъздадните компании се насочват към разработка на един от изброените начини за удостоверяване на самоличността, но има и друг подход - комбинация от всичко. Подобна стратегия има базираната в Тел Авив, Secret Double Octopus, която използва т.нар. "криптирана схема за споделяне"(secret sharing scheme) и разработва автентификация, комбинираща поне два метода. 

Тя е изобретена през 70-те години на миналия век от Ади Шамир, откривателят на RSA (Rivest–Shamir–Adleman) алгоритъма, първата криптираща система с публичен ключ. Целта й е да действа като средство за предотвратяване на бомбени терористични атаки.

Шамир открива, че комбинация от различни данни, без връзка помежду им, които сами по себе си нямат никакво значение, стартират операция, ако се въведат едновременно. През 70-те в Израел така се активират бомби.

Днес на базата на "криптираната схема за споделяне" е разработен нов метод - "разпределена схема с ключ", която позволява на страните да се идентифицират на базата на информацията, с която разполагат и да създават тайни ключове, неизвестни на другата страна.

С напредването на поведенческата биометрия (кои сме), автентификацията перз смартфона или хардуер на трета страна (какво имаме), в комбинация с нови методи за извличане на данни (какво знаем), криптираното споделяне има потенциала да да замени паролите.

Например, служител в производствено предприятие може да се логне в корпоративната мрежа, като отговори на известие, получено на смартфона и се идентифицира, отговаряйки на въпрос за свършената работа през предишния ден. Това е двустепенно удостоверяване на самоличността, без да се въвеждат пароли или друг вид основна автентификация. Според Амит Рахав, говорител на Secret Double Octopus, технологиите, базирани на какво имаме и кои сме, стават все по-ефективни, а криптираното споделяне е най-добрият вариант за замяна на паролите.

Неотдавнашното партньорство между SecureAuth и стартиращата Safe-T подчертава пътя към децентрализация и въвеждането на множество удостоверителни механизми за достъп до бази данни или обмен на данни, подобно на тайно споделяне.

Какво ще стане с паролите?

Използването на новите инструменти и начини за автентификация, зависи от предприятията, банките, земеделските производииели, застрахователите, фармацевтичните компании, търговците и т.н. В момента се тестват много различни решения за автентификация във финансовите институции и реалния сектор. Според очакванията на мениджърите им, в следващите 3 до 6 години, паролите няма да се използват като първи метод за автентификация, а като ще бъдат заменени от криптирано споделяне, поведенческа биометрия, извстия, изискващи дейтвие (push notifications) и др.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов