Mục lục:
- Điều gì ngăn chặn xác thực mật khẩu?
- Các Fed đến gõ cửa
- Bắt đầu trên cùng một trang
- Khi nào mật khẩu cuối cùng sẽ biến mất?
Video: Em Của Anh Đừng Của Ai - Tập Full - Phim Học Đường | Hi Team - FAPtv (Tháng Chín 2024)
Vào năm 2012, Matt Honan của Wired đã viết về hậu quả tai hại của việc buộc toàn bộ cuộc sống số của bạn vào một chuỗi các chữ cái, chữ số và ký hiệu. Honan chỉ là một trong vô số người có tài khoản trực tuyến bị tấn công sau khi tin tặc phát hiện ra mật khẩu của họ; danh sách nạn nhân cũng chứa các giám đốc điều hành công nghệ cao, bao gồm Mark Zuckerberg.
Tuy nhiên, mật khẩu vẫn là phương pháp chính để bảo vệ tài khoản trực tuyến.
Đã có một lượng nhỏ sự đổi mới trong không gian xác thực. Vào năm 2016, tôi đã viết về các công nghệ xác thực cung cấp các lựa chọn thay thế an toàn và dễ sử dụng cho mật khẩu, nhưng cho đến gần đây, không có công nghệ nào được áp dụng hàng loạt.
Mặc dù vậy, giờ đây, hy vọng rằng cuối cùng chúng ta cũng có thể bỏ được các mật khẩu dài, phức tạp nhờ một loạt các quy định và tiêu chuẩn mở giúp dễ dàng và khuyến khích thực hiện các phương thức xác thực không mật khẩu trong các ứng dụng trực tuyến.
Điều gì ngăn chặn xác thực mật khẩu?
"Số lượng lớn mật khẩu cần thiết trong cuộc sống hàng ngày của chúng tôi đã trở thành một gánh nặng, đó là lý do tại sao chúng tôi thấy rất nhiều thông tin tĩnh được sử dụng lại hoặc yếu", Stina Ehrensvard, CEO và người sáng lập của Yubico, nhà sản xuất các khóa bảo mật vật lý như Yubikey 5 NFC . "Chúng tôi cần suy nghĩ về cách giải quyết vấn đề này theo cách đơn giản hóa quá trình đăng nhập trong khi thêm mức bảo mật cao nhất. Cho đến nay, thực sự không có cách nào để thực hiện thành công cả hai điều đó."
Các lỗ hổng của mật khẩu không bị mất đối với các tổ chức tiếp tục sử dụng chúng. Nhưng trước khi xem xét các lựa chọn thay thế, họ phải tính đến tính bảo mật, tính khả dụng, tính sẵn có và chi phí của công nghệ.
"Lý do chúng tôi chưa thay thế mật khẩu trước đây bằng một thứ đáng tin cậy hơn là vì tất cả các lựa chọn thay thế có thể tốt hơn cho bảo mật hoặc khả năng sử dụng đều không có sẵn ở tất cả các hình dạng và kích thước của thiết bị kết nối internet, cũng không phải trả giá - không hiệu quả, "Brett McDowell, giám đốc điều hành của Liên minh FIDO, một tập đoàn phát triển các tiêu chuẩn xác thực.
Ngoài ra, nhập mật khẩu là công nghệ xác thực ít tốn kém nhất và dễ thực hiện nhất trong các trang web và ứng dụng di động mới. Và trong khi các lựa chọn thay thế như công nghệ xác thực sinh trắc học đã trở nên phổ biến rộng rãi hơn trên các thiết bị di động, nhập mật khẩu vẫn là tính năng phổ biến mà tất cả các thiết bị hỗ trợ. Loại bỏ nó sẽ ngăn nhiều người dùng truy cập vào các dịch vụ đó.
Thiếu các tiêu chuẩn cũng làm cho nó khó di chuyển khỏi mật khẩu. Chi phí cao cho việc thêm hỗ trợ cho hàng tá công nghệ xác thực khác nhau trong các ứng dụng khách và máy chủ phụ trợ là điều mà hầu hết các tổ chức không thể chịu đựng được.
Và tất nhiên, luôn có yếu tố con người. "Một số công ty và cá nhân tiếp tục tin rằng họ sẽ không bị ảnh hưởng bởi các cuộc tấn công mạng và họ không quan tâm đến tội phạm mạng. Việc thiếu mong muốn và nguồn lực để thay đổi các giải pháp hiện tại đang cản trở việc áp dụng các giải pháp xác thực mật khẩu mới", Alex nói. Momot, CEO của REMME, một startup đang phát triển một hệ thống xác thực phi tập trung.
Các Fed đến gõ cửa
Trong những năm gần đây, đã có sự gia tăng nhận thức xung quanh vấn đề bảo mật và quyền riêng tư trực tuyến của người dùng, đặc biệt là giữa các cơ quan chính phủ và cơ quan quản lý. Mặc dù trước đây, các tổ chức có thể đã loại bỏ các vi phạm dữ liệu và sự cố bảo mật với một số hậu quả pháp lý và tài chính, đó không còn là vấn đề nữa.
"Các nhà quản lý đã mệt mỏi với các tiêu đề vi phạm dữ liệu như bất kỳ ai khác và họ bắt đầu hành động, dẫn đến nhiều doanh nghiệp thêm xác thực mạnh vào thực tiễn bảo vệ dữ liệu của họ", McDowell nói.
Trong số các hành động pháp lý có liên quan nhất là Quy định bảo vệ dữ liệu chung (GDPR), một bộ quy tắc xác định cách thức các công ty thu thập, xử lý và bảo mật dữ liệu người dùng. GDPR cũng xác định các tiêu chuẩn để xác thực người dùng mạnh mẽ. Các công ty không tuân thủ các quy tắc và bảo vệ dữ liệu của khách hàng của họ sẽ bị phạt nặng. GDPR chỉ áp dụng cho quyền tài phán của EU, nhưng vì nhiều công ty không có trụ sở tại EU vẫn kinh doanh trong khu vực, nên giờ đây nó được coi là một tiêu chuẩn vàng cho an ninh.
"Vào thời điểm ngày càng có nhiều công ty áp dụng xác thực mạnh và ngày càng có nhiều vi phạm dữ liệu do thỏa hiệp mật khẩu, sẽ ngày càng khó khăn hơn cho một doanh nghiệp đối với cơ quan quản lý GDPR rằng xác thực chỉ có mật khẩu bảo mật thích hợp, có khả năng khiến công ty của họ bị phạt nặng hơn nhiều so với giá chuyển từ mật khẩu sang xác thực mạnh mẽ thực sự, "McDowell nói.
Các quy định cụ thể khác của ngành rõ ràng hơn về việc sử dụng công nghệ xác thực. Một ví dụ là Chỉ thị Dịch vụ Thanh toán 2 (PSD2), quy định về thương mại điện tử và dịch vụ tài chính trực tuyến ở Châu Âu và bắt buộc xác thực hai yếu tố (2FA). PSD2 cũng khuyến khích sử dụng thẻ bảo mật, thiết bị di động và máy quét sinh trắc học để cải thiện trải nghiệm người dùng mà không ảnh hưởng đến bảo mật.
Và Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), trong đó xác định các tiêu chí cho các ngành công nghiệp khác nhau, nêu trong hướng dẫn nhận dạng kỹ thuật số của mình rằng các tổ chức nên tránh xa mật khẩu và mật mã một lần và áp dụng xác thực mạnh mẽ hiện đại.
"Cụ thể hơn, NIST khuyên bạn nên xác thực trong đó thiết bị hiện đại của bạn tạo và sử dụng khóa riêng mã hóa làm thông tin tài khoản mới của bạn và lưu trữ chúng an toàn cho thiết bị cá nhân của bạn giống như hầu hết các điện thoại thông minh hiện lưu trữ dữ liệu vân tay của bạn một cách an toàn", McDowell nói.
Có tranh luận về việc quy định của chính phủ sẽ cản trở hay khuyến khích đổi mới. Nhưng tại thời điểm này, chúng ta có thể cần một sự thúc đẩy theo quy định đối với việc áp dụng các cơ chế xác thực an toàn hơn.
"Các chính phủ có thể đóng một vai trò quan trọng trong việc áp dụng các tiêu chuẩn mở", Ehrensvard nói. "Ví dụ, hãy nhìn vào dây an toàn. Đây cũng là một tiêu chuẩn mở và việc sử dụng nó được quy định bởi chính phủ. Vì điều này, ngày nay có nhiều xe ô tô hơn 10 lần nhưng tổng số vụ tai nạn xe hơi thấp hơn . "
Bắt đầu trên cùng một trang
Thay thế rộng rãi xác thực chỉ cần mật khẩu nhiều hơn quy định. Nếu không có một bộ giao thức chuẩn, các tổ chức và công ty sẽ phải vật lộn để tìm ra một công nghệ xác thực giúp họ tuân thủ các quy định bảo mật trong khi cung cấp các ứng dụng của họ cho người dùng của họ.
Đó là vấn đề FIDO được đặt ra để giải quyết. Xác thực FIDO dựa trên bộ tiêu chuẩn công nghệ mở và miễn phí, được phát triển với sự hợp tác của World Wide Web Consortium (W3C). Mục đích là tạo ra khả năng tương tác giữa các thiết bị và dịch vụ bằng cách cho phép toàn bộ ngành công nghiệp điện tử tiêu dùng tích hợp công nghệ vào các sản phẩm và nền tảng của họ.
FIDO thay thế mật khẩu bằng mật mã khóa công khai. Điều này có nghĩa là thay vì mật khẩu, người dùng được xác định bằng một cặp khóa công khai và khóa riêng. Bất cứ điều gì được mã hóa bằng khóa chung chỉ có thể được giải mã bằng khóa riêng tương ứng. Khi người dùng đăng ký dịch vụ trực tuyến hỗ trợ xác thực FIDO, dịch vụ sẽ tạo một cặp khóa và lưu trữ khóa chung trên các máy chủ của nó. Khóa riêng chỉ được lưu trữ trên thiết bị của người dùng. Khi đăng nhập, ứng dụng khách được đưa ra một thách thức về mật mã được tạo bằng khóa chung, chỉ có thể được giải quyết bằng khóa riêng. Người dùng phải xác minh danh tính của họ bằng thiết bị của họ (thông qua dấu vân tay, khuôn mặt hoặc mã PIN) để mở khóa khóa riêng của họ và giải quyết thách thức.
Ưu điểm của mô hình này là nó cung cấp xác thực đa yếu tố mà không yêu cầu lưu trữ và trao đổi mật khẩu. Ngay cả khi tin tặc vi phạm các máy chủ của nhà cung cấp dịch vụ, chúng sẽ chỉ có quyền truy cập vào các khóa công khai, vô dụng nếu không có các khóa riêng tương ứng được lưu trữ trên thiết bị của người dùng. Nếu tin tặc đánh cắp thiết bị của người dùng, họ vẫn cần bỏ qua xác minh danh tính cục bộ để lấy khóa riêng. Từ quan điểm của người dùng, điều này tránh được nhu cầu ghi nhớ mật khẩu dài, phức tạp cho mỗi tài khoản trong khi vẫn cung cấp bảo mật vượt trội.
Nhưng thành tựu lớn hơn của FIDO là nhận được sự hỗ trợ rộng rãi từ ngành công nghệ. Liên minh đã tập hợp các tên tuổi lớn như Google, Microsoft, Amazon và Intel để phát triển các tiêu chuẩn dễ thực hiện trên các loại thiết bị và hệ điều hành khác nhau.
"Các doanh nghiệp đã cùng nhau thành lập Liên minh FIDO hiểu rằng việc thay thế mật khẩu để xác thực trực tuyến chỉ có thể trở nên khả thi về mặt thương mại ở quy mô thông qua sự kết hợp giữa các tiêu chuẩn công nghệ mở và miễn phí, trải nghiệm người dùng vượt trội và cách tiếp cận cơ bản khác với mô hình bảo mật, "McDowell nói.
FIDO gần đây đã phát hành FIDO2, một phần mở rộng cho tiêu chuẩn của nó, hỗ trợ thêm xác thực khóa công khai cho các trình duyệt và một loạt các khung ứng dụng. Tiêu chuẩn được hỗ trợ bởi Windows 10, Google Play Services trên Android và các trình duyệt web Chrome, Firefox và Edge. WebKit, công nghệ đằng sau trình duyệt Safari của Apple, cũng có thể sớm hỗ trợ FIDO2.
"Tiêu chuẩn FIDO2 cho phép thay thế xác thực dựa trên mật khẩu yếu bằng xác thực dựa trên phần cứng mạnh, sử dụng mật mã khóa công khai, " Ehrensvard, công ty Yubico là một trong những thành viên chủ chốt của FIDO nói. "Tiêu chuẩn này cho phép xác thực không mật khẩu dưới nhiều hình thức, bao gồm cả qua USB và NFC, và mang lại trải nghiệm tối ưu cho người dùng và cải thiện đáng kể tính bảo mật và năng suất."
Khi nào mật khẩu cuối cùng sẽ biến mất?
Mặc dù ngành công nghiệp đã tiến một bước dài để phát triển các phương thức xác thực thay thế, mật khẩu sẽ không biến mất chỉ sau một đêm. "Chúng ta nên tính đến việc chúng ta có rất nhiều phần mềm và hệ thống thông tin 'di sản'. Đó là lý do tại sao không phải lúc nào cũng có thể dễ dàng thay đổi các quy tắc xác thực được thiết lập bao gồm cả những quy tắc dựa trên mật khẩu", Momot, giám đốc điều hành của REMME nói.
Các chuyên gia khác như Sandor Palfy, CTO của LogMeIn, tin rằng mật khẩu sẽ vẫn là một khía cạnh trung tâm để xác định người dùng. Ông cũng tin rằng ngành công nghiệp nên tập trung vào việc cải thiện trải nghiệm mật khẩu.
- Trình quản lý mật khẩu tốt nhất cho năm 2019 Trình quản lý mật khẩu tốt nhất cho năm 2019
- Mật khẩu là gì? Phát một số nhạc và đăng nhập qua sóng não Mật khẩu là gì? Phát một số nhạc và đăng nhập qua sóng não
- Email khiêu dâm không sử dụng mật khẩu cũ để lừa đảo bạn bằng tiền mặt Email email khiêu dâm sử dụng mật khẩu cũ để lừa đảo bạn hết tiền
"Cho đến khi bảo hiểm toàn cầu với xác thực đa yếu tố (hoặc thậm chí xác thực theo ngữ cảnh hoặc theo ngữ cảnh), các công ty cần đầu tư vào việc tăng cường các dịch vụ được bảo vệ bằng mật khẩu được sử dụng trên toàn bộ tổ chức, " Palfy nói.
"Ghi nhớ mật khẩu độc đáo, phức tạp cho tất cả các tài khoản cá nhân và công việc của chúng tôi không phù hợp với hành vi tự nhiên của con người. Bằng cách sử dụng các công cụ như trình quản lý mật khẩu, việc nhớ nhiều mật khẩu sẽ là quá khứ, với việc người dùng chỉ phải nhớ một mật khẩu chính, "Palfy, công ty là nhà phát triển trình quản lý mật khẩu LastPass nói.
Nhưng đối với McDowell, người đã nắm quyền lãnh đạo FIDO từ năm 2014, nhiệm vụ tìm ra mật khẩu cuối cùng đã đi đến giai đoạn cuối cùng. "Ngày nay, tương lai không mật khẩu đang trở thành hiện thực, mỗi lần một ứng dụng. Trong vài năm, tôi hy vọng các hình thức nhập mật khẩu sẽ hiếm khi được tìm thấy trên các trang web vì các bốt điện thoại công cộng ngày nay và trong các không gian công cộng cùng một lý do, chúng tôi có một giải pháp thay thế hiệu quả, có chi phí mang lại trải nghiệm người dùng tốt hơn nhiều, "ông nói.
