Néhány ember nem hagyhatja abba a jelszó halálát. A jelszavak régiek, bizonytalanok és könnyen kiszivárognak. Hamarosan mindannyian biometrikus adatokat, hardver biztonsági kulcsokat és más futurisztikus megoldásokat fogunk használni - igaz? Nos, nem olyan gyorsan.
Beszéltünk 1Jelszó Jeffery Goldberg biztonsági főnök, aki szerint "óvatosan optimista, hogy ezúttal a jelszóproblémában horpadást láthatunk".
Ez az optimista felfogás - és messze van a jelszavak halálától.
Miért akarják megölni az emberek a jelszót?
Amikor megvitatták a vállalat „ Jelszavak nélküli világ építése, ”Még 2018 májusában a Microsoft biztonsági csapata ezt írta:
„Senki sem szereti a jelszavakat. Kényelmetlenek, bizonytalanok és drágák. Valójában annyira nem szeretjük őket, hogy a munkánkat azzal töltöttük el, hogy megpróbáltunk világot létrehozni nélkülük - jelszavak nélküli világot. "
A jelszavak az idők folyamán egyre idegesítőbbek lettek, és mindannyian bölcsek lettünk az újrafelhasználás kockázataival szemben. Ha ugyanazt a jelszót használja több webhelyen, és jelszószivárgás tapasztalható, akkor a sajátjával hozzáférhet fiókjához egy másik webhelyen. Tehát minden egyes szolgáltatáshoz erős, egyedi jelszót kell választania. Elmúltak azok az idők, amikor egy rövid, egyszerű jelszót néhány webhelyen újra felhasználtak.
A legtöbb ember számára, akik nem rendelkeznek emberfeletti emlékekkel, lehetetlen minden online fiókhoz erős, egyedi jelszót megjegyezni. Ezért javasoljuk a jelszókezelőket - emlékeznek az összes erős, egyedi jelszóra az Ön számára. Csak emlékeznie kell a fő jelszavára, ami sokkal könnyebb, mint a 100 emlékezése, és sokkal biztonságosabb, mint ugyanazon újrafelhasználása.
Ez még jelszókezelővel sem teljesen biztonságos. Valaki a keylogger a rendszeren rögzítheti a jelszavát, és bejelentkezhet. Ezért a szolgáltatások további biztonságot nyújtanak. Gyakran beírunk egy jelszót, majd másodszor kell hitelesítenünk egy kóddal vagy kulccsal.
Van jobb módszer?
Mi helyettesítheti a jelszót?
Goldberg elmondta, hogy az elmúlt húsz évben látta, hogy a „séma séma után” a jelszavak megölésére tett javaslatot - amelyek közül sok nem tanult abból, ami a múltban kudarcot vallott. De az újabbaknak nagyobb esélye lehet a sikerre az olyan előrelépések miatt, mint az erősebb helyi eszközök.
A biometrikus adatok helyettesíthetik a jelszót. A PIN-kód beírása helyett az Touch vagy Face ID (biometrikus adatok) használatával jelentkezhet be iPhone készülékére. Az Android telefonok ujjlenyomat- és arcbejelentkezési funkcióval is rendelkeznek.
Most is megteheti hozzon létre „jelszó nélküli” Microsoft-fiókokat hogy bejelentkezzen a Windows rendszerbe. A felhasználónév a telefonszáma, a beírt „jelszó” pedig a telefonszámodra SMS-ben elküldött kód.
Használhatja a fizikai biztonsági kulcs jelszó helyett online fiókok hitelesítéséhez. A kulcsot magánál tartja (akár a kulcstartón is tarthatja), és USB-n, NFC-n vagy Bluetooth-on keresztül használja, amikor ideje bejelentkezni.
Telefonok is helyettesíthetik a jelszavakat. A Google mostantól hagyja, hogy az Android-eszközök FIDO2-kulcsként működjenek . Előfordulhat, hogy a laptop ujjlenyomatával is hitelesítenie kell, amikor bejelentkezik egy webhelyre a laptopján.
Sok vállalat megpróbálja csökkenteni a jelszavakra való támaszkodást az „egyszeri bejelentkezés” szolgáltatók felajánlásával. Ekkor jelentkezik be a Facebookba, a Google-ba stb., Majd ezt a fiókot használja más szolgáltatásokba történő bejelentkezéshez - nincs szükség további jelszavakra.
Jelszó „Cserék” Ne cserélje ki a jelszavakat
Pedig itt van egy nagy probléma. A jelszó „csereként” emlegetett technológiák valójában nem helyettesítők - legalábbis még nem.
A biometrikus adatokhoz, például az Arc vagy a Touch ID-hez, továbbra is meg kell adni egy jelszót és egy Apple ID jelszót a készüléken. Egyes feladatokhoz PIN kód szükséges a háttér titkosításához is. A biometrikus funkciók az Androidon és a Windows Hello a Windows 10 rendszeren ugyanúgy működnek - alapvetően kényelmi funkcióként. Könnyebb bejelentkezni eszközére, mert nem kell minden alkalommal beírnia jelszót, de nem is cserélje ki a jelszavad.
A jelszó nélküli fiók, amely telefonszámokat küld Önnek, szintén nem jó. A fiókjához tartozó jelszó helyett ez a szolgáltatás minden alkalommal, amikor megpróbál bejelentkezni, újat generál, és SMS-ben küldi el Önnek. Ez kevésbé biztonságos, mint az egyetlen jelszó hagyományos módszere, valamint a bejelentkezéskor Önnek küldött biztonsági kód.
Sajnos a támadók sok esetben könnyen ellopják a telefonszámokat, ami kevésbé biztonságos. Nagyszerű módszer az emberek elérésére azokban az országokban, ahol a telefonszámok mindenütt jelen vannak, és csökkenti a fiókba történő regisztráció súrlódását, ezért kínálja ezt az Amazon is. De ez nem jó megoldás a jelszavak cseréjére.
A fizikai biztonsági kulcsokat átvevő legtöbb szolgáltatás ezeket használja egy további hitelesítési lehetőség . Még mindig bejelentkezik jelszavával, majd másodlagos megerősítésként megadja a biztonsági kulcsot a bejutáshoz. A kulcs jelszó nélküli használata még mindig messze van.
Adatvédelmi probléma van az egyszeri bejelentkezési szolgáltatásokkal is. Amikor a „Bejelentkezés a Google-val” vagy a „Bejelentkezés a Facebookon” gombra kattint, a szolgáltató - a Google vagy a Facebook - tudja, mire jelentkezik be.
Mindig lesznek jelszavak (a háttérben)
Még akkor is, ha a Google álma, hogy a jelszavakat telefonokra cserélje, megvalósul, nem szünteti meg a jelszót. A perem így foglalta össze a Google terveit: "Ha már be van jelentkezve a telefonjára, akkor ezzel fel lehet használni a következő eszköz" bootstrapját ", amelyet bejelentkezni szeretne Google-fiókjába."
Lehet, hogy sokáig kerüli a jelszavának használatát, de még mindig ott van a háttérben. Végül is szüksége lesz rá, ha elveszíti az összes eszközét.
A jelszavak még mindig elterjedtek. Könnyű beállítani és használni. A jelszó „cserék” nagyobb kényelmet vagy extra biztonságot kínálnak. De mindig szüksége lesz a hozzáférés visszaszerzésének módjára, ha elveszíti készülékét, és nem tudja használni a biometrikus adatait vagy a hardver biztonságát.
"Azt hiszem, mindig lesznek olyan éles esetek, amelyekhez jelszavakra van szükség" - mondta Matt Davey, az 1Password operatív vezetője. Például: Jelentkezzen be az Apple szolgáltatással iOS 13 webalapú bejelentkezési lehetőséget kínál, amely az Apple ID jelszavát használja, amikor nem Apple eszközön jelentkezik be. A jelszó mindenhol működik, és univerzális alapértelmezés, ha a divatos biometrikus adatok vagy a hardver biztonsági funkciói nem állnak rendelkezésre.
Mint Goldberg mondta: „A jelszavakat egyszerűen, nagyon egyszerűen” lehet megvalósítani a weboldalak számára. "A szolgáltatók továbbra is a legegyszerűbb dolgot használják."
Éppen ezért az 1Password bullish a jelszókezelők jövőjében. A vállalat szerint több új felhasználót is látott, még akkor is, ha nő a verseny, és az olyan vállalatok, mint az Apple, a Google és a Mozilla komolyabban foglalkoznak a jelszókezeléssel.
Mit rejt a jövő?
A jelszó megölésének álma még messze van. Még akkor is, ha a folyamat jól megy, a legjobb eset az, hogy lassan haladunk előre, a jelszavak egyszerűbb alternatíváival.
Valamikor a jelszavak annyira háttérbe szorulhatnak, hogy rég elfeledett fiók-helyreállítási módszerek lesznek. De valószínűleg még sokáig ott lesznek. Az a harc, amely az emberek többsége számára száműzi őket a mindennapi használatból, hosszú és heves küzdelem lesz. De teljesen megöli a jelszavakat? Ezt még nehezebb elképzelni.
