Anders

Wachtwoorden zijn dode, lang levende wachtwoorden

Wachtwoorden zuigen. Laten we hier geen woorden hakken of kloppen. Iedereen heeft een hekel aan wachtwoorden en ze hebben gelijk. Wachtwoorden zijn de vloek van ons moderne online bestaan. Het is geen wonder dat onze collectieve oren opfleuren en we smachten om te geloven als we de zin horen: wachtwoord moordenaar! Zwijg en neem mijn geld!

In dit artikel zal ik uitleggen hoe we bij deze vreselijke plek kwamen en hoe we er het beste van konden maken. Ik zal vervolgens een reeks nieuwe technologieën onthullen die beweren "wachtwoordmoordenaars" te zijn ... en uitleggen waarom we ze ten koste van alles moeten vermijden. En tot slot zal ik je voorstellen aan een schattig, vaag critter dat ons allemaal allemaal kan redden.

Het wachtwoord hachelijke situatie

Laten we een beetje terugspoelen en bekijken hoe we hier zijn gekomen. Zodra we ons van de echte wereld naar cyberspace bewogen, werden we geconfronteerd met een probleem: hoe weten we dat je bent wie je zegt dat je bent? Dit is het probleem van authenticatie - het vinden van een veilige, robuuste manier om uw identiteit te verifiëren. Merk echter op dat dit niet hetzelfde is als uitvinden wie u specifiek bent . Cyberspace biedt gebruikers anonimiteit (of op zijn minst de mogelijkheid van anonimiteit). Hoewel dit meestal niet het geval is voor financiële transacties (bijv. Bankieren, winkelen), hoeft u in de meeste gevallen alleen een soort alias voor uzelf op te stellen die niet is gekoppeld aan uw naam, adres, enz.

Identiteit wordt meestal vastgesteld door een of meer van de volgende methoden:

  • Iets dat u weet (wachtwoord, pincode, antwoorden op 'geheime vragen')
  • Iets wat je bent (vingerafdruk, iris, gezicht)
  • Iets dat je hebt (badge, foto-ID, mobiele telefoon)

Voor het grootste deel van het internettijdperk waren de beschikbare methoden voor authenticatie in cyberspace beperkt. Het enige invoerapparaat dat iedereen kon garanderen, was een toetsenbord. De meest logische vorm van identificatie, met betrekking tot deze kleinste gemene deler, was dus het wachtwoord. En hier zijn we.

Om op wachtwoord gebaseerde systemen goed te laten werken, moeten gebruikers dat wel hebben een ander wachtwoord voor elk account en elk wachtwoord mag niet raadzaam zijn. Helaas is het menselijk brein gewoon niet aan deze taak toe te schrijven - en dus komen de meeste mensen met 2-3 slechte wachtwoorden en gebruiken ze steeds opnieuw. Hackers weten dit en hebben geautomatiseerde tools ontwikkeld die de overgrote meerderheid van door de mens gemaakte wachtwoorden binnen enkele minuten of zelfs seconden kunnen kraken. Ze beginnen met het raden van gemeenschappelijke wachtwoorden en frases, en vervolgens elke combinatie van woorden in het woordenboek, liedteksten, filmtitels, sportteams, algemene namen, datums, enzovoort, zowel achterwaarts als voorwaarts, zelfs als sommige letters worden vervangen door cijfers (nul voor "0", enz.). Alleen stervelingen maken gewoon geen schijn van kans.

Er bestaat echter een eenvoudige oplossing voor dit probleem: een wachtwoordbeheerder. Deze handige applicaties (zoals LastPass of 1Password) zullen niet alleen al uw wachtwoorden onthouden en automatisch invoeren, ze zullen ook helpen om belachelijk sterke wachtwoorden te genereren voor elk account dat u hebt. Ondanks het voor de hand liggende nut van wachtwoordbeheerders, gebruiken maar heel weinig mensen deze (slechts 8% volgens een rapport van Siber Systems vorig jaar).

Wetend hoe onbeholpen mensen goede wachtwoorden kunnen maken, hebben beveiligingsbewuste bedrijven en overheden nu twee vormen van 'ID' nodig, de zogenaamde 'two-factor authentication'. Dit bestaat meestal uit een wachtwoord en een eenmalige numerieke code, die via sms op uw smartphone wordt afgeleverd of door een smartphone-applicatie wordt gegenereerd. Zelfs als de slechteriken erin slagen om uw wachtwoord te raden, moeten ze toch in het bezit van uw smartphone zijn om toegang te krijgen tot uw account. Dit is de huidige gouden standaard en kan (indien correct geïmplementeerd) een vrij robuuste beveiliging bieden. Helaas vereist het nog steeds dat gevreesde wachtwoord. En wachtwoorden zijn nog steeds slecht. Zeker in dit tijdperk van fabelachtig krachtige computers, geavanceerde audio- en videoverwerking en alomtegenwoordige smartphones boordevol sensoren, kunnen we iets beters verzinnen ...

Voer de wachtwoordmoordenaar in!

Google, de maker van het Android-besturingssysteem en de Nexus- en Pixel-lijnen van smartphones, is van mening dat het eindelijk is gelukt: ze geloven dat ze een technologie hebben ontwikkeld die het eerbiedwaardige wachtwoord eindelijk zal 'doden' als een primaire verificatiemethode. Met behulp van de bovengenoemde reeks sensoren in smartphones kunnen ze je herkennen aan de hand van een combinatie van je gezicht, je iris, je stem, je locatie, je schrijfsnelheid en stijl, welke apps je gebruikt en wanneer je ze gebruikt, en zelfs hoe je loopt. Alles bij elkaar zullen ze een "vertrouwensscore" ontwikkelen - een geheim algoritme om te bepalen hoe waarschijnlijk het is dat jij jezelf bent. Deze score wordt beschikbaar gesteld aan je telefoon-apps, waardoor ze de mogelijkheid hebben om af te zien van een wachtwoord als ze voldoende zeker zijn van wie de telefoon vasthoudt. Het is duidelijk dat verschillende apps verschillende niveaus van vertrouwen kunnen vereisen: terwijl Jewel Mania loshangend kan zijn, zal Wells Fargo waarschijnlijk behoorlijk streng zijn (en terecht).

Je denkt misschien: hoe cool is dat ?? Geen wachtwoorden meer! Het zal gewoon weten dat ik het ben! Maar laten we een moment teruggaan ... laten we eens kijken wat er hier echt aan de hand is en de implicaties bekijken.

Het Google-vertrouwensscoresysteem is een van de vele nieuwe 'wachtwoordmoordenaar'-technologieën aan de horizon. Andere voorbeelden zijn spraakherkenning van bedrijven zoals Barclays Bank en een nieuwe Windows 10 gezichtsherkenningsfunctie genaamd Windows Hello. Al deze technologieën zijn gebaseerd op een of andere vorm van biometrische gegevens - dat wil zeggen, iets dat u bent (in tegenstelling tot iets dat u kent: wachtwoorden). Wat deze systemen proberen te doen is op de een of andere manier bedenken - zelfs meerdere manieren - om je positief en krachtig te identificeren. Met behulp van verschillende sensoren vangen deze systemen allerlei gegevens op om een ​​'biometrische handtekening' voor u te ontwikkelen, waarbij uw fysieke essentie wordt gedestilleerd tot een digitale representatie. Deze handtekeningen worden vervolgens opgeslagen, zodat het systeem het kan gebruiken om u in de toekomst te identificeren - het vergelijken van de huidige sensorgegevens met de opgeslagen gegevens en het bepalen of ze overeenkomen.

Wachtwoord of gebruikers-ID?

In mijn gedachten zijn er drie belangrijke problemen met de biometrische benadering van authenticatie. Allereerst, op het meest elementaire niveau, vertegenwoordigt uw biometrische informatie meer een gebruikersnaam of gebruikers-ID dan een wachtwoord - en een vrij inflexibele en zwakke gebruikers-ID. Aan de ene kant, tenzij je bereid bent jezelf te verminken, kun je deze kenmerken niet veranderen; aan de andere kant, wat als je ogen, gezicht of vingers zijn misvormd bij een ongeluk? Laryngitis of zelfs een verkoudheid kan uw stem onherkenbaar maken. Ook al bent u nog steeds u, voor deze systemen lijkt u niet langer uzelf te zijn. Ook, je bent geen joecool85 op deze site en therealjsw op een andere site ... je bent Joseph William Smith. Altijd. Overal.

Privacy en anonimiteit

Dat brengt ons bij het tweede probleem: gebrek aan anonimiteit en privacy. Met biometrische authenticatie is er geen enkele manier om anoniem te zijn en geen manier om uw identiteit van de ene site naar de andere te disassociëren of te isoleren. Dat wil zeggen, u wilt in staat zijn om met sommige websites te communiceren, maar niet om hen specifiek te laten weten wie u bent (anonimiteit). U zou ook graag willen dat uw acties op die website onbekend zijn voor andere mensen en andere websites (privacy). Met biometrische authenticatie zijn beide onmogelijk. In dit tijdperk van mondiaal terrorisme lijken veel mensen bereid om online privacy op te geven omdat ze geloven dat het hun overheid zal helpen om ze veilig te houden. Maar privacy en anonimiteit zijn noodzakelijk - niet alleen voor democratie, maar voor de mensheid. Dit zou een heel boek op zichzelf kunnen zijn, maar als je dit niet gelooft, zou ik je willen verwijzen naar deze prachtige TED-lezing door Glenn Greenwald. Laten we het voorlopig eens zijn dat biometrische verificatie zowel privacy als anonimiteit uitschakelt.

Een uitstekende dramatisering van dit effect is te vinden in het filmminderheidsrapport . In deze film kan het personage van Tom Cruise nergens heen lopen zonder automatisch te worden herkend door alomtegenwoordige monitorsystemen. Dit zijn niet alleen overheidssurveillancesystemen, het zijn bedrijfsadvertentiesystemen die alleen maar proberen de "klantervaring" te verbeteren. In de naam van richten en afstemmen van hun advertenties, vinden ze dat ze zoveel mogelijk over u moeten weten - en u herkennen waar u ook heen gaat, fysiek of virtueel. Dit is echter geen science fiction meer - het gebeurt echt.

Veiligheid

Het laatste probleem met het op biometrie gebaseerde authenticatiesysteem is dat het niet veilig genoeg is. Geen enkel systeem kan ooit 100% veilig zijn, en dus is het ontwerpen van de beveiliging van een systeem altijd een kwestie van kosten en gebruiksgemak afzetten tegen de gevolgen van falen. Als een hacker tegen Amazon.com ingaat en alle wachtwoorden van zijn klanten weet te stelen, kan Amazon eenvoudig al die verloren wachtwoorden ongeldig maken en iedereen dwingen een nieuw wachtwoord te kiezen. Maar hoe kies je een nieuw gezicht, een vingerafdruk of een stem? Alles wat digitaal is, is gemakkelijk te kopiëren of te stelen en kan onmiddellijk over de hele wereld worden gedeeld. Zodra deze informatie is gestolen, is de kat uit de zak, is de geest uit de fles, het digitale paard is uit de virtuele schuur. Spel is over. Als slechts één voorbeeld stalen hackers meer dan 5 miljoen gedigitaliseerde vingerafdrukken van het Amerikaanse Office of Personnel Management vorig jaar. Die werknemers kunnen nooit een soort van op vingerafdruk gebaseerde authenticatie gebruiken voor de rest van hun leven.

Maar dat is slechts een aspect van het beveiligingsprobleem. Uw biometrische eigenschappen zijn gemakkelijk waarneembaar door anderen - en het is mogelijk om ze te kopiëren met behulp van dezelfde soorten sensoren die werden gebruikt om uw digitale handtekening in de eerste plaats vast te leggen. Gezichtsherkenning en irisscansystemen kunnen worden voor de gek gehouden door een foto. Vingerafdrukken kunnen worden gekopieerd van iets dat u hebt aangeraakt. Spraakherkenningssystemen kunnen worden voor de gek gehouden met behulp van fragmenten van opgenomen spraak. Zelfs als de herkenningssystemen beter worden, doen ook de tools die kunnen worden gebruikt om ze te misleiden. Wat moet er ook worden voorkomen dat u wordt gedwongen of in de val gelokt om deze biometrische identificerende informatie te verstrekken aan een of andere kwaadwillende andere persoon? U hoeft niet bereid te zijn of zelfs maar bewust om een ​​vingerafdruk of gezichtsscan te geven. Als je echt griezelig wilt worden, zijn sommige van je fysieke eigenschappen eigenlijk in staat om te worden gestolen (Demolition Man, anyone?).

Eerlijk gezegd hebben we alleen maar de oppervlakte van de problemen bekrast. Wie is eigenaar van uw biometrische handtekeningen? Waar en hoe wordt deze informatie opgeslagen? Wie heeft toegang tot deze gegevens en welke controle heeft u over deze toegang? Voor welke andere doeleinden kan deze informatie worden gebruikt? Heeft u eenmaal voor dit systeem gekozen, is er een zinvolle manier om terug te gaan?

Er is nog steeds hoop

Hoewel het huidige systeem van wachtwoorden en tweefactorauthenticatie buitengewoon pijnlijk is, moet ik u zeggen: biometrische authenticatie is niet het antwoord. En het lijkt erop dat mensen dit al beseffen.

Er zijn echter enkele andere veelbelovende oplossingen. Een nieuw authenticatiesysteem genaamd SQRL (uitgesproken als "eekhoorn") stelt u bijvoorbeeld in staat om uw identiteit aan een website te bewijzen met behulp van een slimme uitdaging- en antwoordtechniek waarbij de gebruiker alleen op een afbeelding hoeft te klikken of een QR-code hoeft te scannen met zijn smartphone camera. De gebruiker kan niets invoeren en daarom hoeft de gebruiker niets te onthouden. Dat betekent ook dat de website niets hoeft op te slaan dat door hackers kan worden gestolen. En om de kers op de taart te zetten, hebt u een unieke en 'gezichtsloze' identiteit voor elke website - met behoud van uw anonimiteit op die site en bescherming van uw privacy op alle anderen.

Het zal waarschijnlijk nog erger worden voordat ze beter worden, maar ik geloof wel dat ze beter zullen worden. We moeten alleen oppassen dat we niet over het schip heen springen voordat we echt oplossingen bedenken die ons veilig kunnen houden, terwijl we tenminste de mogelijkheid van anonimiteit en privacy behouden.

Wat denk je over de toekomst van authenticatie?

Nu u aan het einde van mijn artikel bent, zou ik graag uw feedback over dit onderwerp horen! Laat alsjeblieft reacties achter en begin wat discussie op gang te brengen. Ik zal van tijd tot tijd meedoen om mijn twee cent toe te voegen en uw vragen zo goed mogelijk te beantwoorden. Bedankt voor het lezen en voor het deelnemen aan het gesprek.