Tänk dig det här: Det är en vacker solig morgon, och eftersom jag jobbar hemifrån bestämmer jag mig för att ta min arbetsdator till ett kafé med uteservering. När jag slår på den stirrar det läskiga ögat i Windows Hello på mig och försöker identifiera mig och ge åtkomst till min dator utan att ange lösenordet. Efter några sekunder börjar jag undra varför detta inte fungerar och jag minns att ansiktsigenkänning med en mask inte existerar ännu. Så jag måste gå tillbaka till den gamla lösenordsautentiseringen och hoppas att ingen försöker gissa min unika 6-siffriga PIN-kod. Lösenordslös autentisering kom och lovade att det inte finns fler lösenord, och vem gör inte det? Lösenordslös autentisering erbjuder mer användarvänlighet i en tid där vi loggar in överallt och ständigt uppmanas att skapa unika koder som vi glömmer, vilket tvingar oss att trycka på den otroligt irriterande återställningsknappen. Lösenord. Det faktum att svaga lösenord utgör ett hot mot användare och organisationer kan inte diskuteras. Men realistiskt sett, hur nära är vi att inte ha något lösenord? Användningen av lösenordslös autentisering växer och det är bra, men vi måste fokusera på att förstå potentialen för denna teknik och hur den skyddar mot hot. Passar det alla? Låt oss ta ett steg tillbaka och ta en titt på autentiseringsfaktorer, vanliga lösenordslösa metoder, deras fördelar och utmaningarna för användarna. Om författaren Alex Cagnoni är chef för autentisering på WatchGuard Technologies
Kom ihåg autentiseringsfaktorer
- Något du vet: ett lösenord, en pinkod
- Något du har: en nyckel, ett smartkort, en token
- Något du är: ditt fingeravtryck, ditt ansikte
Lösenordslös autentisering är att ersätta något du vet med något du är eller något du äger. I mitt första exempel skulle det vara ansiktsigenkänning, eller något du har, som en fysisk token. Faktum är att många gånger lösenordet faktiskt inte ersätts, utan lagras och överförs transparent. Det är något som kan förbättra användarupplevelsen, minska friktionen och beroende på vilken metod som används till och med förbättra säkerheten.
Ansiktsigenkänning
Hemanvändare av Microsoft-datorer är förmodligen bekanta med denna metod. Slå på Windows Hello, använd din bärbara dators kamera och på nolltid kommer du att loggas in. Mycket bekvämt, och som experter säger, igenkänningsalgoritmen och kamerorna är ganska effektiva, kan upptäcka livlighet och förhindra attacker med hjälp av förinspelade bilder eller video. Även om problemet jag lyfte fram i scenariot jag beskrev inte behöver vara ett vanligt fall, ger det faktum att reservplanen är PIN-baserad autentisering mig några röda flaggor. Om en obehörig användare vill komma åt min dator kan att gissa PIN-koden vara ett tillgängligt (och sårbart) sätt att göra det. Ett annat problem är fjärråtkomst. Låt oss säga att jag får åtkomst till en virtuell molnmaskin eller server med RDP. Ansiktsigenkänning är inte längre ett alternativ.
mobil biometri
De flesta mobilappar erbjuder integration med den mobila enhetens biometri, vanligtvis fingeravtryck och ibland ansiktsigenkänning. Fingeravtrycksautentisering på nyare smartphones är ganska säker, liksom ansiktsigenkänning på nyare iOS-enheter. Ansiktsigenkänning är dock inte så kraftfullt på de flesta Android-enheter. Till exempel stöder nyare Samsung-enheter som S10 och S20 det, men det är inte lika säkert som fingeravtryck. Mitt råd: håll dig till det senare. Hur som helst är appens integrationer med den mobila biometriska enheten fantastiska för användaren. De ger en mycket bekväm och lättanvänd lösenordslös autentiseringsupplevelse som till exempel kan låta dig komma åt din bankapplikation utan krångel. Det kräver egentligen inget lösenord förrän du behöver komma åt ditt bankkonto, telefonbolag eller annan tjänst med din bärbara dator. Vad är ditt lösenord igen? Om du använder din telefon för det mesta kommer du kanske inte ihåg när du behöver komma åt samma tjänst på en annan dator eller enhet.
Tokens USB
FIDO2 är en intressant industristandard som tillåter användare att göra lösenordslösa anslutningar med hjälp av kringutrustning som USB-säkerhetsnycklar. Anslut bara din USB-token till din dator, placera kanske fingret för att låsa upp den och du är klar. Du kan använda den för att logga in på din dator och komma åt FIDO2-kompatibla webbplatser. Det är nyckeln till ditt slott, inget lösenord, klistra bara in det. Tappa den inte. Och räkna inte med det om du behöver ansluta till en app på din mobiltelefon eller surfplatta utan USB-port. För att detta ska fungera måste du köpa en Bluetooth- eller NFC-kompatibel token. Därifrån börjar det bli komplicerat och bli ganska dyrt.
Dator- eller enhetsförsäkring
Vissa lösningar erbjuder lösenordslös autentisering baserat på din dators eller enhets säkerhet. Så länge du kommer åt en webbplats från en enhet som tidigare definierats som en "säker och känd" enhet, såsom din personliga mobiltelefon, bärbara dator (ej delad), kan du eventuellt logga in på webbplatserna. Webbplats utan lösenord. Även om det är mycket bekvämt för användaren, autentiserar du oftast enheten, inte användaren. Du kan inte garantera att rätt användare använder denna "säkra" enhet, och inte heller att det inte finns en trojansk häst installerad på denna enhet som nu har lösenordslös åtkomst till användarkonton. . Att gå utan lösenord är verkligen spännande. Det är ett intressant exempel på framväxande autentiseringsteknologier, och som ett företag med ett växande fokus på digitala identiteter är det viktigt att vi tänker på det på det sättet. Detta är dock ingen unik situation. Cyberbrottslighet blir allt mer kunnig och de på säkerhetssidan måste fortsätta att fokusera på att utveckla teknologier som är skalbara, mer användarvänliga och viktigast av allt, förbättra säkerheten och interoperabiliteten. Tills dess, skapa starka lösenord, lita på administratörsappar om det hjälper och aktivera multifaktorautentisering när det är möjligt.