Diğer

Şifreler öldü, uzun canlı şifreler

Şifreler emmek. Buradaki kelimeleri kıymayız ya da ormanın etrafında dövmeyelim. Herkes şifreden nefret ediyor ve bunu yapmakta haklılar. Şifreler, modern çevrimiçi varlığımızın kanadıdır. Kolektif kulağımızın ayağa kalkması ve şu cümleyi duyduğumuza inanmamızın bir sakıncası yoktur: şifre katili! Sesini kes ve paramı al!

Bu yazıda, bu korkunç yere nasıl geldiğimizi ve en iyi şekilde nasıl yapılacağını açıklayacağım. Daha sonra “şifre katilleri” olduğunu iddia eden bir dizi yeni teknolojiyi açıklayacağım… ve neden her ne pahasına olursa olsun onlardan kaçınmamız gerektiğini açıklayacağım. Ve son olarak, sizi hepimizi kurtarabilecek sevimli, tüysüz bir yaratıkla tanıştıracağım.

Şifre çıkmazı

Biraz geri sarmalı ve ilk etapta buraya nasıl geldiğimizi gözden geçirelim. Gerçek dünyadan siber uzaya taşındığımızda, bir sorunla karşılaştık: kim olduğunu söylediğinizi nasıl bilebiliriz? Bu kimlik doğrulama sorunudur - kimliğinizi doğrulamak için güvenli ve sağlam bir yol bulmak. Bununla birlikte, bunun özellikle kimlerin olduğunu anlamakla aynı olmadığını unutmayın. Siber, kullanıcılara anonimlik (veya en azından anonimlik olasılığı) sunmaktadır. Bu genellikle finansal işlemler için geçerli olmasa da (örneğin, bankacılık, alışveriş), çoğu durumda sadece sizin adınıza, adresinize vb. Bağlı olmayan bir tür takma adlar oluşturmanız gerekir.

Kimlik genellikle aşağıdaki yöntemlerden bir veya daha fazlası tarafından oluşturulur:

  • Bildiğiniz bir şey (şifre, PIN, "gizli sorulara" yanıtları)
  • Senin bir şeysin (parmak izi, iris, yüz)
  • Sahip olduğunuz bir şey (rozet, fotoğraflı kimlik, cep telefonu)

İnternet çağının çoğu için siber uzayda mevcut olan doğrulama yöntemleri sınırlıydı. Herkesin güvenebileceği tek giriş cihazı bir klavye idi. Bu nedenle, en az bilinen paydaya verilen en mantıklı kimlik, şifreydi. Ve işte buradayız.

Şifre tabanlı sistemlerin iyi çalışması için kullanıcıların sahip olması gerekir. Her hesap için farklı bir şifre ve her şifre tahmin edilmemelidir. Ne yazık ki, insan beyni bu işe pek uymuyor - ve çoğu insan 2-3 kötü şifre ile geliyor ve tekrar tekrar kullanıyor. Hackerlar bunu biliyor ve insan tarafından oluşturulan şifrelerin büyük çoğunluğunu dakikalar hatta saniyeler içinde kırabilecek otomatik araçlar geliştirdiler. Ortak şifreleri ve kelime öbeklerini tahmin ederek başlarlar ve daha sonra sözlükteki her sözcük kombinasyonu, şarkı sözleri, film başlıkları, spor takımları, ortak isimler, tarihler, vb. ("0" için sıfır, vb.). Sadece ölümlüler bir şansa sahip değiller.

Ancak, bu soruna basit bir çözüm var: bir şifre yöneticisi. Bu yararlı uygulamalar (LastPass veya 1Password gibi) sadece tüm şifrelerinizi hatırlamayacak ve otomatik olarak girmeyecek, aynı zamanda sahip olduğunuz her bir hesap için gülünç derecede güçlü şifreler oluşturmanıza yardımcı olacaktır. Ancak, parola yöneticilerinin bariz şekilde kullanılmasına rağmen, çok az insan bunları kullanır (geçen yıl Siber Systems tarafından yapılan bir rapora göre% 8 kadar az).

Ineptif insanların iyi şifreler oluşturduğunu bilerek, güvenlik bilinciyle çalışan şirketler ve hükümetler şimdi "iki faktörlü kimlik doğrulama" olarak adlandırılan iki "ID" formu gerektirmeye başlamışlardır. Bu, genellikle bir akıllı telefon koduyla birlikte akıllı telefonunuza SMS yoluyla veya bir akıllı telefon uygulaması tarafından üretilen bir şifreden oluşur. Kötü niyetli kişiler şifrenizi tahmin etse bile, hesabınıza erişmek için akıllı telefonunuzun sahip olması gerekir. Bu geçerli altın standardıdır ve (doğru bir şekilde uygulandığında) oldukça sağlam bir güvenlik sağlayabilir. Ne yazık ki, hala bu korkunç şifre gerektirir. Ve şifreler hala berbat. Şaşırtıcı derecede güçlü bilgisayarların, sofistike ses ve görüntü işlemenin ve her yerde bulunan akıllı telefonların sensörlerle dolu olduğu bu dönemde kesinlikle daha iyi bir şey bulabiliriz…

Şifre katilini girin!

Android işletim sisteminin ve Nexus ve Pixel akıllı telefonların üreticisi olan Google, sonunda yapıldığı fikrine inanıyor: Son olarak, güvenilir şifreyi birincil kimlik doğrulama yöntemi olarak "öldürecek" bir teknoloji yarattıklarına inanıyorlar. Akıllı telefonlarda yukarıda bahsedilen sensör sensörlerini kullanarak, yüzünüzün, irisinizin, sesinizin, konumunuzun, yazım hızınızın ve stilinizin, kullandığınız ve kullandığınız uygulamaların bir kombinasyonunu kullanarak sizi tanıyabilecekler. nasıl yürüdüğünü bile. Hep birlikte ele alındığında, bir "güven skoru" geliştireceklerdir - siz olduğunuzu ne kadar olası bir şekilde belirleyebilmeniz için gizli bir algoritma. Bu puan, telefon uygulamanızın kullanımına sunularak, kimin telefonu elinde tuttuğundan yeterince emin olmaları durumunda bir şifre alma seçeneği sunacaktır. Açıkçası, farklı uygulamalar farklı güven seviyeleri gerektirebilir: Jewel Mania, gevşek-goosey olabilirken, Wells Fargo büyük olasılıkla oldukça katı (ve haklı olarak) olacaktır.

Düşünüyor olabilirsiniz: ne kadar havalı? Daha fazla şifre yok! Sadece benim olduğunu biliyorum ! Ama bir dakika geriye dönelim… hadi neler olup bittiğini düşünelim ve sonuçları inceleyelim.

Google’ın güven puan sistemi, ufukta bulunan yeni "şifre katil" teknolojilerinden biridir. Diğer örnekler arasında Barclays Bank gibi firmalardan ses tanıma ve Windows Hello adında yeni bir Windows 10 yüz tanıma özelliği bulunmaktadır. Tüm bu teknolojiler bir çeşit biyometrik verilere dayanmaktadır - yani, bir şeysiniz (bildiğiniz bir şeyin aksine: şifreler). Bu sistemlerin yapmaya çalıştığı şey, sizi olumlu ve sağlam bir şekilde tanımlamak için bir şekilde - hatta birden fazla yolla - ortaya çıkmaktadır. Çeşitli sensörler kullanarak, bu sistemler sizin için bir "biyometrik imza" geliştirmek ve fiziksel özünüzü dijital bir temsile dönüştürmek için her türlü veriyi yakalar. Bu imzalar daha sonra sisteminizin gelecekte sizi tanımlamak için kullanabileceği şekilde saklanır - böylece mevcut sensör verilerinin saklanan verilerle karşılaştırılması ve eşleşip eşleşmediğinin belirlenmesi.

Şifre veya kullanıcı kimliği?

Aklımda, kimlik doğrulama için biyometrik yaklaşımla ilgili üç ana sorun var. Her şeyden önce, en temel seviyede, biyometrik bilgileriniz bir paroladan ziyade bir kullanıcı adı veya kullanıcı kimliğini temsil eder - ve bunun yerine esnek olmayan ve zayıf bir kullanıcı kimliği. Bir yandan, kendinizi yok etmek istemediğiniz sürece, bu özellikleri değiştiremezsiniz; öte yandan, gözleriniz, yüzünüz veya parmaklarınız bir çeşit kazada bozulursa ne olur? Larenjit veya kötü bir soğuk bile sesinizi tanınmaz hale getirebilir. Hala sen olsan bile, bu sistemlere artık sen görünmüyorsun. Ayrıca, sen bu sitede joecool85 değilsin ve başka bir siteye giriyorsun ... sen de Joseph William Smith. Her zaman. Her yerde.

Gizlilik ve anonimlik

Bu bizi ikinci soruna getiriyor: gizlilik ve gizlilik eksikliği. Biyometrik kimlik doğrulamasıyla, kimliğinizi anonim olarak ve kimliğinizi bir siteden diğerine ayırmak veya izole etmenin hiçbir yolu yoktur. Yani, bazı web siteleriyle etkileşime girebilmeniz, ancak özellikle kim olduğunuzu (anonimlik) bilmemelerini istiyorsunuz. Bu web sitesinde yaptığınız eylemlerin diğer kişiler ve diğer web siteleri (gizlilik) ile bilinmemesini de istersiniz. Biyometrik kimlik doğrulama ile, her ikisi de imkansız. Küresel terörizmin bu çağında, pek çok kişi çevrimiçi gizlilikten vazgeçmeye istekli görünüyor çünkü hükümetlerinin kendilerini güvende tutmasına yardımcı olacağına inandıkları için. Ancak gizlilik ve anonimlik, sadece demokrasi için değil, insanlık için gereklidir. Bu, kendisine ait bir kitabın tamamı olabilir, ama eğer buna inanmıyorsan, ben Glenn Greenwald'ın bu harika TED konuşmasına başvururdum. Şimdilik, biyometrik kimlik doğrulamasının hem gizliliği hem de anonimliği özelliğini devre dışı bıraktığını kabul edelim.

Bu etkinin mükemmel bir dramatizasyonu Azınlık Raporu filminde bulunabilir. Bu filmde, Tom Cruise'un karakteri, her yerde bulunan izleme sistemleri tarafından otomatik olarak tanınmadan herhangi bir yerde dolaşamaz. Bunlar sadece devlet gözetim sistemleri değil, "müşteri deneyimini iyileştirmeye" çalışan kurumsal reklam sistemleridir. Reklamları hedeflemek ve uyarlamak adına, olabildiğince çok şey bilmeleri gerektiğini hissediyorlar - ve nereye giderseniz gidin, fiziksel olarak ya da sanal olarak sizi tanıyorlar. Ancak, bu artık bilim kurgu değil - aslında oluyor.

Güvenlik

Biyometri tabanlı kimlik doğrulama sistemi ile ilgili son sorun, yeterince güvenli olmamasıdır. Hiçbir sistem% 100 güvenli olamayabilir ve bu nedenle bir sistemin güvenliğini sağlamak, her zaman başarısızlığın sonuçlarına karşı maliyet ve kolaylıktan kaçınmaktır. Bir bilgisayar korsanının Amazon.com'a girmesi ve tüm müşterilerinin parolalarını çalmayı başarması halinde, Amazon tüm bu kayıp şifreleri geçersiz kılabilir ve herkesi yeni bir şifre seçmeye zorlayabilir. Ama yeni bir yüz, parmak izi veya ses nasıl seçilir? Dijital bir şey kopyalamak veya çalmak kolaydır ve anında dünya çapında paylaşılabilir. Bu bilgi çalındığında, kedi çantadan çıkar, cin şişeden çıktı, dijital at sanal ahırdan çıktı. Oyun bitti. Sadece bir örnek olarak, hackerlar geçen yıl ABD Personel Ofisi Yönetimi'nden 5 milyondan fazla dijital parmak izini çaldılar. Bu çalışanlar, hayatlarının geri kalanı için hiçbir zaman parmak izi tabanlı kimlik doğrulamasını kullanamazlar.

Ama bu güvenlik sorununa sadece bir yönü. Biyometrik özellikleriniz başkaları tarafından kolayca gözlemlenebilir - ve bunları, dijital imzanızı ilk etapta yakalamak için kullanılan aynı tipteki sensörleri kullanarak kopyalamak mümkündür. Yüz tanıma ve iris tarama sistemleri bir fotoğraf tarafından aldanabilir. Parmak izleri dokunduğunuz bir şeyden kopyalanabilir. Ses tanıma sistemleri, kaydedilen konuşmaların snippet'leri kullanılarak aldatılabilir. Tanıma sistemleri daha da iyileştikçe, onları kandırmak için kullanılabilecek araçları da yapın. Ayrıca, bazı nefretli diğer insanlar için bu biyometrik tanımlayıcı bilgiyi sağlamaya zorlanmanızı veya kandırılmanızı önlemek için ne yapmanız gerekir? Parmak izi veya yüz taraması sağlamak için istekli veya bilinçli olmak zorunda değilsiniz. Gerçekten ürkütücü olmak istiyorsanız, fiziksel özelliklerin bazıları aslında çalınabilir (Yıkım Adamı, herkes?).

Dürüst olmak gerekirse, sadece sorunların yüzeyini çizdik. Biyometrik imzalarına kim sahip? Bu bilgi nerede ve nasıl saklanır? Bu verilere kim erişebilir ve bu erişim üzerinde hangi kontrolünüz var? Bu bilgi başka hangi amaçlar için kullanılabilir? Bu sisteme dahil olduğunuzda, geri çekilmenin anlamlı bir yolu var mı?

Hala umut var

Mevcut şifreler ve iki faktörlü kimlik doğrulama sistemi son derece acı verici olsa da, size şunu söylemek için geldim: biyometrik kimlik doğrulaması cevap değildir. Ve insanlar bunu zaten fark edebilir.

Ancak, başka umut verici çözümler de var. Örneğin, SQRL olarak adlandırılan yeni bir kimlik doğrulama sistemi ("sincap" olarak telaffuz edilir) kimliğinizi sadece bir kullanıcının bir görüntüyü tıklatmasını veya akıllı telefonlarıyla bir QR kodu taramasını gerektiren akıllı bir meydan okuma ve yanıt tekniği kullanarak bir web sitesine kimliğinizi kanıtlamanızı sağlar. kamera. Kullanıcının girmesi için hiçbir şey yoktur ve bu nedenle kullanıcının hatırlaması gereken hiçbir şey yoktur. Bu aynı zamanda web sitesinin hackerlar tarafından çalınabilecek depolamayı denemesi gereken bir şey olmadığı anlamına da geliyor. Ve sadece kek üzerine krema koymak için, her site için benzersiz ve 'yüzsüz' bir kimliğiniz var - bu sitede anonimliğinizi korumak ve gizliliğinizi korumak.

İyileşmeden önce işler daha da kötüleşecek, ama daha iyi olacağına inanıyorum. En azından gizlilik ve gizlilik olasılığını korurken bizi güvende tutabilen çözümler üretmeden önce gemiye atlamamaya dikkat etmeliyiz.

Kimlik doğrulamanın geleceği hakkında ne düşünüyorsunuz?

Artık makalemin sonunda olduğunuzu, bu konuda geri bildiriminizi duymak isterim! Lütfen yorumlarınızı bırakın ve biraz tartışma alın. İki kuruşumu eklemek için zaman zaman atlayacağım ve en iyi şekilde sorularınızı yanıtlayacağım. Okumaya ve konuşmaya katıldığınız için teşekkür ederiz.