อื่น ๆ

รหัสผ่านตายแล้วรหัสผ่านแบบยาว

ดูดรหัสผ่าน อย่าไปสับคำพูดที่นี่หรือตีรอบพุ่มไม้ ทุกคนเกลียดรหัสผ่านและมีสิทธิ์ที่จะทำเช่นนั้น รหัสผ่านเป็นสารพิษของการมีชีวิตอยู่แบบออนไลน์ของเรา ไม่น่าแปลกใจที่หูของเราเองก็ผุดขึ้นมาและเราก็ปรารถนาที่จะเชื่อเมื่อเราได้ยินวลี: killer รหัสผ่าน! หุบปากแล้วเอาเงินไป!

ในบทความนี้ผมจะอธิบายถึงวิธีการที่เราได้ไปถึงสถานที่อันน่ากลัวนี้และวิธีการทำให้ดีที่สุด จากนั้นฉันจะเปิดเผยชุดเทคโนโลยีใหม่ ๆ ที่อ้างว่าเป็น "killers รหัสผ่าน" ... และอธิบายเหตุผลที่เราควรหลีกเลี่ยงค่าใช้จ่ายทั้งหมด และสุดท้ายฉันจะแนะนำคุณให้น่ารัก, crunch เลือนที่อาจช่วยเราได้ทั้งหมด

สถานการณ์ยุ่งยากของรหัสผ่าน

ลองย้อนกลับสักหน่อยและทบทวนว่าเรามาที่นี่ตั้งแต่แรก ทันทีที่เราย้ายจากโลกแห่งความเป็นจริงไปสู่ไซเบอร์สเปซเราต้องเผชิญกับปัญหา: เรารู้ได้อย่างไรว่าคุณเป็นคนที่คุณพูดว่าเป็น? นี่คือปัญหาของการ ตรวจสอบสิทธิ์ - การค้นหาวิธีที่ปลอดภัยและมีประสิทธิภาพในการยืนยันตัวตนของคุณ อย่างไรก็ตามโปรดทราบว่านี่ไม่เหมือนกับการระบุว่าคุณเป็นใคร ไซเบอร์สเปซมอบการเปิดเผยตัวตนของผู้ใช้ (หรืออย่างน้อยที่สุดความเป็นไปได้ที่จะไม่ระบุชื่อ) แม้ว่าในกรณีดังกล่าวมักไม่ได้ทำธุรกรรมทางการเงิน (เช่นธนาคารการช็อปปิ้ง) ในกรณีส่วนใหญ่คุณจะต้องสร้างชื่อแทนตัวเองที่ไม่ได้เชื่อมโยงกับชื่อที่อยู่ ฯลฯ

อัตลักษณ์โดยปกติแล้วจะถูกสร้างโดยวิธีการอย่างใดอย่างหนึ่งต่อไปนี้:

  • สิ่งที่คุณรู้ (รหัสผ่าน, PIN, คำตอบสำหรับ "คำถามลับ")
  • สิ่งที่คุณเป็น (ลายนิ้วมือไอริสหน้า)
  • สิ่งที่คุณมี (ป้ายชื่อ, ID รูปถ่าย, โทรศัพท์มือถือ)

สำหรับยุคอินเทอร์เน็ตส่วนใหญ่วิธีการตรวจสอบสิทธิ์ในโลกไซเบอร์มีอยู่ จำกัด อุปกรณ์อินพุตเดียวที่คุณสามารถรับประกันได้ว่าทุกคนเป็นคีย์บอร์ด ดังนั้นรูปแบบที่เป็นตรรกะที่สุดในการจำแนกประเภทนี้จึงเป็นรหัสผ่าน และที่นี่เรามี

สำหรับระบบที่ใช้รหัสผ่านเพื่อให้ทำงานได้ดีผู้ใช้ต้องมี รหัสผ่านที่แตกต่างกันสำหรับแต่ละบัญชีและรหัสผ่านแต่ละรหัสต้องไม่สามารถคาดเดาได้ น่าเสียดายที่สมองของมนุษย์ไม่ได้อยู่ที่งานนี้และทำให้คนส่วนใหญ่เกิดรหัสผ่านไม่ถูกต้อง 2-3 ครั้งและใช้พวกเขาซ้ำแล้วซ้ำอีก แฮกเกอร์ทราบเรื่องนี้และได้พัฒนาเครื่องมืออัตโนมัติที่สามารถทำลายรหัสผ่านส่วนใหญ่ที่มนุษย์สร้างขึ้นภายในไม่กี่นาทีหรือแม้แต่วินาที พวกเขาเริ่มต้นด้วยการคาดเดารหัสผ่านและวลีที่พบโดยทั่วไปรวมทั้งคำศัพท์ทุกคำในพจนานุกรมเนื้อเพลงเนื้อเพลงชื่อภาพยนตร์ทีมกีฬาชื่อสามัญวันที่เป็นต้นไปและย้อนกลับไปข้างหน้าแม้แต่กับตัวอักษรบางตัวที่ถูกแทนที่ด้วยตัวเลข (ศูนย์เป็น "0" ฯลฯ ) ปุถุชนเพียงแค่ยืนไม่ได้มีโอกาส

มีปัญหาง่ายๆสำหรับปัญหานี้: ผู้จัดการรหัสผ่าน แอปพลิเคชันที่เป็นประโยชน์เหล่านี้ (เช่น LastPass หรือ 1Password) จะไม่เพียง แต่จดจำและป้อนรหัสผ่านของคุณโดยอัตโนมัติเท่านั้น แต่จะช่วยในการสร้างรหัสผ่านที่รัดกุมสำหรับแต่ละบัญชีที่คุณมี อย่างไรก็ตามแม้จะมียูทิลิตี้ที่เห็นได้ชัดของผู้จัดการรหัสผ่าน แต่ก็มีเพียงไม่กี่คนที่ใช้ระบบเหล่านี้ (มีเพียง 8% ตามรายงานของ Siber Systems เมื่อปีที่แล้ว)

การรู้ว่าคนไม่เก่งในการสร้างรหัสผ่านที่ดี บริษัท ที่ใส่ใจในเรื่องความปลอดภัยและรัฐบาลได้เริ่มใช้รูปแบบ "ID" สองรูปแบบแล้วหรือที่เรียกว่า "การตรวจสอบสิทธิ์แบบสองปัจจัย" โดยปกติจะประกอบด้วยรหัสผ่านพร้อมรหัสตัวเลขแบบครั้งเดียวซึ่งจัดส่งให้สมาร์ทโฟนของคุณทาง SMS หรือสร้างโดยแอปพลิเคชันสมาร์ทโฟน แม้ว่าคนร้ายจะพยายามคาดเดารหัสผ่านของคุณ แต่พวกเขายังคงต้องเป็นเจ้าของสมาร์ทโฟนของคุณเพื่อเข้าถึงบัญชีของคุณ นี่คือมาตรฐานทองคำปัจจุบันและ (เมื่อใช้อย่างถูกต้อง) สามารถให้การรักษาความปลอดภัยที่มีประสิทธิภาพอย่างเป็นธรรม แต่น่าเสียดายที่มันยังต้องใช้รหัสผ่านที่หวั่นไหว และรหัสผ่านยังคงดูดอยู่ แน่นอนในยุคของคอมพิวเตอร์ที่มีประสิทธิภาพ fabulously นี้เสียงที่ซับซ้อนและการประมวลผลวิดีโอและมาร์ทโฟนแพร่หลายเต็มไปด้วยเซ็นเซอร์ที่เราสามารถมากับสิ่งที่ดีกว่า ...

ใส่รหัสผ่าน killer!

Google ผู้ผลิตระบบปฏิบัติการแอนดรอยด์และ Nexus และ Pixel ของสมาร์ทโฟนเชื่อว่าในที่สุดก็ทำได้: พวกเขาเชื่อว่าพวกเขาได้สร้างเทคโนโลยีที่จะฆ่า "รหัสผ่านที่นับถือเป็นวิธีการหลักในการตรวจสอบ การใช้ฝ้าของเซนเซอร์ในสมาร์ทโฟนพวกเขาจะสามารถจดจำคุณได้โดยใช้การรวมกันของใบหน้าไอริสเสียงตำแหน่งที่ตั้งความเร็วในการพิมพ์และสไตล์ของคุณแอปที่คุณใช้และเมื่อใช้และ แม้กระทั่งวิธีที่คุณเดิน นำมารวมกันแล้วพวกเขาจะพัฒนา "คะแนนความไว้วางใจ" - อัลกอริธึมลับสำหรับกำหนดว่าคุณเป็นอย่างไร คะแนนนี้จะมีให้กับแอปโทรศัพท์ของคุณทำให้พวกเขามีตัวเลือกในการใช้รหัสผ่านดังกล่าวหากพวกเขามั่นใจว่าใครกำลังถือโทรศัพท์อยู่ เห็นได้ชัดว่าแอพพลิเคชันที่แตกต่างกันอาจต้องใช้ความมั่นใจในระดับต่างกัน: ในขณะที่ Jewel Mania อาจเป็นแบบหลวม ๆ เวลส์ฟาร์โกน่าจะเข้มงวดมาก (และถูกต้อง)

คุณอาจจะคิด: วิธีเย็นคือ? ไม่มีรหัสผ่าน! มันก็จะ รู้ ว่าฉัน แต่ขอย้อนกลับไปสักครู่ ... ลองพิจารณาว่ามีอะไรเกิดขึ้นที่นี่และตรวจสอบความหมาย

ระบบคะแนนความไว้วางใจของ Google เป็นหนึ่งในเทคโนโลยี "killer password" หลายรูปแบบในขอบฟ้า ตัวอย่างอื่น ๆ ได้แก่ การจดจำเสียงจาก บริษัท ต่างๆเช่น Barclays Bank และคุณลักษณะการจดจำใบหน้า Windows 10 ใหม่ที่เรียกว่า Windows Hello เทคโนโลยีเหล่านี้ทั้งหมดขึ้นอยู่กับรูปแบบข้อมูลไบโอเมตริกซ์บางอย่างนั่นคือ สิ่งที่คุณเป็น (ในทางตรงกันข้ามกับสิ่งที่คุณรู้รหัสผ่าน) สิ่งที่ระบบเหล่านี้กำลังพยายามที่จะเกิดขึ้นด้วยวิธีการบางอย่าง - แม้กระทั่งหลายวิธี - เพื่อระบุตัวคุณในเชิงบวกและมีประสิทธิภาพ การใช้เซ็นเซอร์ต่างๆระบบเหล่านี้จะรวบรวมข้อมูลทั้งหมดเพื่อพัฒนา "ลายเซ็นไบโอเมตริกซ์" สำหรับคุณเพื่อกลั่นกรองสาระสำคัญทางกายภาพของคุณไปสู่การเป็นตัวแทนดิจิทัล ลายเซ็นเหล่านี้จะถูกเก็บไว้เพื่อให้ระบบสามารถใช้เพื่อระบุตัวคุณในอนาคต - เปรียบเทียบข้อมูลเซ็นเซอร์ปัจจุบันกับข้อมูลที่จัดเก็บไว้

รหัสผ่านหรือ ID ผู้ใช้?

ในใจของฉันมีสามประเด็นหลักเกี่ยวกับวิธีการตรวจสอบสิทธิ์ไบโอเมตริกซ์ ประการแรกในระดับพื้นฐานที่สุดข้อมูลไบโอเมตริกซ์ของคุณแสดงถึงชื่อผู้ใช้หรือรหัสผู้ใช้มากกว่ารหัสผ่านและ ID ผู้ใช้ที่ไม่ยืดหยุ่นและเปราะบางในขณะนั้น ในทางตรงกันข้ามถ้าคุณไม่ต้องการตัดตัวคุณเองคุณจะไม่สามารถเปลี่ยนแปลงลักษณะเหล่านี้ได้ ที่อื่น ๆ สิ่งที่ถ้าดวงตาใบหน้าหรือนิ้วมือของคุณจะ disfigured ในอุบัติเหตุบางประเภท? โรคหลอดลมอักเสบหรือแม้แต่โรคหวัดอาจทำให้เสียงไม่สามารถจดจำได้ แม้ว่าคุณจะยังคงเป็นคุณอยู่ในระบบเหล่านี้คุณก็ไม่ได้เป็นคุณอีกแล้ว นอกจากนี้คุณไม่ใช่ joecool85 ในไซต์นี้และมีไซต์อื่นอยู่ด้วย ... คุณเป็นโจเซฟวิลเลียมสมิ ธ เสมอ. ทุกที่.

ความเป็นส่วนตัวและการเปิดเผยตัวตน

ซึ่งนำเราไปสู่ปัญหาที่สอง: ขาดการเปิดเผยข้อมูลและความเป็นส่วนตัว ด้วยการตรวจสอบข้อมูลไบโอเมตริกซ์คุณจะไม่มีทางที่จะไม่ระบุตัวตนและไม่มีทางแยกตัวหรือแยกตัวตนออกจากไซต์หนึ่งไปยังอีกไซต์หนึ่ง นั่นคือคุณต้องการที่จะสามารถโต้ตอบกับเว็บไซต์บางแห่ง แต่ไม่ได้ให้พวกเขาทราบโดยเฉพาะว่าคุณเป็นใคร (ไม่เปิดเผยชื่อ) คุณยังต้องการให้การกระทำของคุณในเว็บไซต์ดังกล่าวไม่เป็นที่รู้จักของผู้อื่นและเว็บไซต์อื่น ๆ (ความเป็นส่วนตัว) ด้วยการตรวจสอบข้อมูลไบโอเมตริกซ์ทั้งสองอย่างนี้เป็นไปไม่ได้ ในยุคการก่อการร้ายทั่วโลกนี้หลายคนดูเหมือนจะยอมให้ความเป็นส่วนตัวทางออนไลน์เพราะเชื่อว่าจะช่วยให้รัฐบาลของตนมีความปลอดภัย แต่ความเป็นส่วนตัวและการเปิดเผยตัวตนเป็นสิ่งที่จำเป็นไม่ใช่แค่เพื่อประชาธิปไตย แต่สำหรับมนุษยชาติ นี่อาจเป็นหนังสือทั้งหมดสำหรับตัวเอง แต่ถ้าคุณไม่เชื่อเรื่องนี้ผมจะแนะนำคุณให้รู้จักกับบทสัมภาษณ์ TED ที่ยอดเยี่ยมนี้โดย Glenn Greenwald ตอนนี้เราแค่ยอมรับว่าการตรวจสอบสิทธิ์แบบไบโอเมตริกจะปิดใช้งานข้อมูลส่วนบุคคลและไม่เปิดเผยชื่อ

การทำเป็นละครที่ยอดเยี่ยมของผลกระทบนี้สามารถพบได้ในภาพยนตร์เรื่อง The Minority Report ในภาพยนตร์เรื่องนี้ตัวละครของ Tom Cruise ไม่สามารถเดินไปรอบ ๆ ได้โดยไม่ต้องรับรู้โดยอัตโนมัติจากระบบการตรวจสอบที่แพร่หลาย ไม่ใช่แค่ระบบการเฝ้าระวังของรัฐบาลระบบเหล่านี้เป็นระบบการโฆษณาของ บริษัท ที่พยายามเพียงแค่ "ปรับปรุงประสบการณ์ของลูกค้า" เท่านั้น ในชื่อของการกำหนดเป้าหมายและการปรับแต่งการโฆษณาของพวกเขาพวกเขารู้สึกว่าพวกเขาต้องรู้จักคุณมากที่สุดเท่าที่จะเป็นไปได้และรู้จักคุณทุกที่ที่คุณไปทั้งร่างกายและในทางปฏิบัติ อย่างไรก็ตามเรื่องนี้ไม่ใช่นิยายวิทยาศาสตร์อีกต่อไป - เป็นเรื่องที่เกิดขึ้นจริง

ความปลอดภัย

ปัญหาขั้นสุดท้ายเกี่ยวกับระบบการตรวจสอบลายเซ็นต์ที่ใช้ไบโอเมตริกคือไม่ปลอดภัยพอ ไม่มีระบบใดที่เคยมีความปลอดภัย 100% ดังนั้นวิศวกรรมความปลอดภัยของระบบจึงเป็นเรื่องเกี่ยวกับการปิดต้นทุนและความสะดวกสบายจากผลของความล้มเหลว ถ้าแฮกเกอร์เข้าสู่ Amazon.com และจัดการเพื่อขโมยรหัสผ่านของลูกค้าทั้งหมด Amazon อาจทำให้รหัสผ่านที่สูญหายเหล่านี้สูญหายและบังคับให้ทุกคนเลือกรหัสผ่านใหม่ แต่คุณจะเลือกหน้าใหม่หรือลายนิ้วมือหรือเสียงได้อย่างไร? สิ่งที่ดิจิทัลเป็นเรื่องง่ายที่จะคัดลอกหรือขโมยและสามารถแบ่งปันได้ทันทีทั่วโลก เมื่อข้อมูลนี้ถูกขโมยแมวออกจากถุง, มารออกจากขวด, ม้าดิจิตอลจะออกจากโรงนาเสมือน จบเกม. เป็นตัวอย่างหนึ่งที่แฮกเกอร์ขโมยมากกว่า 5 ล้านลายนิ้วมือลายนิ้วมือจากสำนักงานบริหารงานบุคคลของสหรัฐในปีที่ผ่านมา พนักงานเหล่านั้นไม่สามารถใช้การตรวจสอบลายนิ้วมือแบบใดก็ได้ในช่วงที่เหลือของชีวิต

แต่นั่นเป็นเพียงประเด็นหนึ่งที่ทำให้ปัญหาด้านความปลอดภัย คุณสมบัติอื่น ๆ ของคนอื่น ๆ สามารถสังเกตได้ง่ายและสามารถคัดลอกได้โดยใช้เซนเซอร์ชนิดเดียวกันที่ใช้ในการจับภาพลายเซ็นดิจิทัลของคุณในตอนแรก การตรวจจับใบหน้าและระบบสแกนม่านตาสามารถหลงกลได้ด้วยรูปถ่าย คุณสามารถคัดลอกลายนิ้วมือจากสิ่งที่คุณแตะได้ ระบบจดจำเสียงสามารถหลงกลได้โดยใช้ตัวอย่างคำพูดที่บันทึกไว้ แม้ในขณะที่ระบบการรับรู้ดีขึ้นเช่นกันก็ตามเครื่องมือที่สามารถใช้เพื่อหลอกให้ได้ นอกจากนี้สิ่งใดเพื่อป้องกันไม่ให้คุณถูกบังคับหรือถูกหลอกลวงในการจัดหาข้อมูลระบุตัวตนไบโอเมตริกซ์สำหรับบุคคลอื่นที่ไม่เป็นไปได้ คุณไม่จำเป็นต้องเต็มใจหรือแม้กระทั่งมีสติเพื่อให้ลายนิ้วมือหรือสแกนหน้า หากคุณต้องการได้รับน่ากลัวจริงๆบางส่วนของคุณสมบัติทางกายภาพของคุณเป็นจริงสามารถถูกขโมย (Demolition Man, ใคร?)

สุจริตเราได้รอยขีดข่วนเพียงพื้นผิวของปัญหา ใครเป็นเจ้าของลายเซ็น biometric ของคุณ? ข้อมูลนี้เก็บไว้ที่ไหนและอย่างไร? ใครบ้างที่ได้รับอนุญาตให้เข้าถึงข้อมูลนี้และคุณมีการควบคุมแบบใดในการเข้าถึงนี้? เพื่อวัตถุประสงค์อื่นใดที่สามารถใช้ข้อมูลนี้ได้? เมื่อคุณเลือกใช้ระบบนี้จะมีวิธีที่มีความหมายในการเลือกไม่ใช้งานหรือไม่

ยังมีความหวัง

ในขณะที่ระบบปัจจุบันของรหัสผ่านและการตรวจสอบสิทธิ์แบบสองปัจจัยเป็นเรื่องที่เจ็บปวดอย่างมากฉันจะบอกคุณ: การตรวจสอบข้อมูลไบโอเมตริกซ์ไม่ใช่คำตอบ และดูเหมือนว่าผู้คนอาจรู้เรื่องนี้แล้ว

อย่างไรก็ตามมีบางโซลูชั่นที่มีแนวโน้มอื่น ๆ ตัวอย่างเช่นระบบตรวจสอบสิทธิ์ใหม่ที่เรียกว่า SQRL ("กระรอก") ช่วยให้คุณสามารถพิสูจน์ตัวตนของคุณไปยังเว็บไซต์โดยใช้ความท้าทายและเทคนิคการตอบสนองที่ฉลาดเพียงต้องการให้ผู้ใช้คลิกที่รูปภาพหรือสแกนโค้ด QR ด้วยสมาร์ทโฟน กล้อง. ไม่มีอะไรให้ผู้ใช้ป้อนและดังนั้นจึงไม่มีอะไรที่ผู้ใช้ต้องจดจำ นั่นหมายความว่าไม่มีอะไรที่เว็บไซต์ต้องพยายามจัดเก็บข้อมูลที่อาจถูกขโมยโดยแฮกเกอร์ เพียงวางไอซิ่งลงบนเค้กคุณก็จะมีเอกลักษณ์เฉพาะตัวและ 'ไม่มีหน้ามีตา' สำหรับทุกเว็บไซต์ - รักษาความไม่เปิดเผยชื่อของคุณในไซต์นั้นและปกป้องความเป็นส่วนตัวของคุณต่อคนอื่น ๆ ทั้งหมด

สิ่งต่างๆอาจจะแย่ลงก่อนที่พวกเขาจะดีขึ้น แต่ฉันเชื่อว่าพวกเขาจะดีขึ้น เราต้องระมัดระวังไม่ให้เรือข้ามไปก่อนที่เราจะมาหาโซลูชันที่สามารถรักษาความปลอดภัยให้แก่เราได้อย่างเต็มที่พร้อมกับรักษาความเป็นส่วนตัวและความเป็นส่วนตัวไว้อย่างน้อย

คุณคิดอย่างไรเกี่ยวกับอนาคตของการตรวจสอบ

ตอนนี้คุณอยู่ที่ท้ายบทความของฉันแล้วฉันอยากฟังความคิดเห็นของคุณเกี่ยวกับปัญหานี้! กรุณาแสดงความคิดเห็นและสนทนากันบ้าง ฉันจะกระโดดเข้ามาเป็นครั้งคราวเพื่อเพิ่มสองเซนต์ของฉันและตอบคำถามของคุณให้ดีที่สุดเท่าที่จะทำได้ ขอบคุณสำหรับการอ่านและการมีส่วนร่วมในการสนทนา