Традиционални лозинки и безбедност на податоците: предизвици, алтернативи и иднината на автентикацијата на корисниците
Традиционалната употреба на кориснички имиња и лозинки е основата на дигиталниот идентитет и безбедноста во последните пет децении, но со зголемениот број на кориснички сметки, се создадоа мноштво проблеми: потешкотии за корисниците да запомнат повеќе лозинки, трошоци за поддршка и она што е најважно, безбедносни ризици поради изложеното корисничко име и лозинка. Новите проблеми веќе ја надминуваат корисноста на лозинките. Сега постои уште поубедлив аргумент за целосно елиминирање на лозинките од процесот на автентикација.
Напредокот во безбедносните стандарди без лозинка, зголемените очекувања од корисничкото искуство и зголемените трошоци го трансформираа укинувањето на лозинките од хипотетички концепт во реална можност. Ќе го разгледаме случајот за отстранување на лозинки за автентикација на клиенти и вработени, темелно ќе ги објасниме новите методи за автентикација и се надеваме дека ќе ве насочиме кон тоа да го направите вашето онлајн присуство побезбедно.
Што значи „без лозинка“?
Откако долго време беа во центарот на вниманието, значењето на лозинките веќе избледува. Автентикацијата без лозинка е во подем, не само поради изложеноста на лозинките на разни напади и пониските нивоа на безбедност, туку и поради тоа што тие ја прават непотребно комплицирана и тешка за корисниците. Никој не сака да запомни комбинација од бројки и букви. Повеќе-факторската автентикација (MFA) со опција за автентикација без лозинка е многу полесна за употреба. Исто така, на големите организации им заштедува проценет годишен трошок од 1 милион американски долари за интервенции на Helpdesk, кои вклучуваат ресетирање на лозинка.
Автентикацијата без лозинка е многу побезбедна. Факторите за автентикација, како што се мобилната апликација за автентикатор, хардверскиот токен или еднократната лозинка (OTP) и биометриските карактеристики, како отпечатоци од прсти или скенирање на лицето, ги заменуваат статичните лозинки и тајните засновани на знаење, со што се затвора ризикот од протекување или пресретнување на лозинките. Повеќе-факторскиот пристап за автентикација, кој вклучува безбедност на апликации, безбедност на уредот и континуирано следење на измами, обезбедува дополнителен слој на безбедност што сигурно ќе ја зголеми заштитата.
Автентикацијата без лозинка е моќно безбедносно решение што може во голема мера да го намали социјалното инженерство и измамата со преземање на корисничките сметки, да го подобри корисничкото искуство и да помогне во намалувањето на трошоците.
Понатаму, дво-факторската автентикација, која комбинира нешто што го има корисникот (на пр. мобилен уред) со нешто што е корисникот (на пример, отпечаток од прст или препознавање лице), може да понуди уште повисоко ниво на безбедност. Сето ова значи помал ризик од протекување на податоците и подобра заштеда на трошоците за управување со лозинката, што ја прави автентикацијата без лозинка паметен избор за секоја организација.
Предизвици од немање лозинка
Автентикацијата без лозинка не е сигурно решение за сите безбедносни прашања. Нејзината имплементација, сепак, има нето позитивен ефект врз заштитата при најавување, иако носи одредени ризици во однос на безбедноста и корисничкото искуство. Оваа промена може да донесе одреден степен на отпорност на корисниците, бидејќи луѓето обично не се свесни за проблемите што доаѓаат со лозинките.
Важно е луѓето да се едуцираат за ова и да се направи транзиција кон автентикација без лозинка што е можно побеспрекорно. Дури и тогаш, сè уште ќе има безбедносни ризици, па затоа е неопходно да се воспостават протоколи за справување со овие потенцијални сценарија. Земете ги магичните линкови за пример – ако напаѓачот се инфилтрира во е-поштата на корисникот, тој може да се најави на вашата сметка. За да се заштити идентитетот на вистинскиот корисник, персоналот за поддршка мора да биде достапен за да го врати пристапот до неговата сметка.
Поставување на систем со поголема безбедност од традиционалниот базиран на лозинка е често посложено и поскапо. Потребни се многу чекори за инсталирање, проверка и одржување на системот, а добивањето платформа од трета страна може да додаде и финансиски трошоци и дополнителен предизвик.
Заштита од вештачката интелигенција
Во март 2023 година, Microsoft го привлече вниманието на ризиците од напредокот на вештачката интелигенција со воведување на пакетот Security Copilot за да им помогне на професионалците за безбедност да се заштитат од неправилно користење на тековната технологија. Сега, Home Security Heroes објави извештај, кој укажува на потенцијалната опасност од актуелната генерација на вештачка интелигенција кога станува збор за пробивање на лозинка. Тие користеле PassGAN (пропорционална мрежа за генерирање на лозинки) за да анализираат над 15.000.000 акредитиви од базата на податоци на Rockyou, а наодите навистина нѝ ги отворија очите: повеќе од половина од вообичаените лозинки беа пробиени за помалку од една минута, а скоро сите беа отклучени во рок од месец.
Иако се чини дека постојат небезбедни начини за создавање на совршена лозинка, вистината е дека како што технологијата напредува со вештачката интелигенција или квантното пресметување, лозинките што ги користиме сега може да застарат. Сепак, додека тоа не се случи, можеме да следиме неколку совети за да бидеме сигурни дека нашите лозинки се дел од 19-те проценти што вештачката интелигенција не може да ги пробие, дури и за еден месец работа. Некои од овие совети вклучуваат избегнување на најчесто користените лозинки како 1234, 0000 или „лозинка“, бидејќи тие се како да ја оставите вашата влезна врата отворена. Исто така, ние можеме да ја зголемиме сложеноста на нашите лозинки за да се отежне дешифрирањето на вештачката интелигенција.
Кога станува збор за лозинки, важно е да останете креативни и да избегнувате генерички или предвидливи комбинации на броеви. Стремете се кон минимум 15 знаци, но ако сакате максимална заштита, 18 знаци е бројот на знаци за кои PassGAN повеќе не може да биде ефикасна. Ова значи мешање на големи и мали букви, бројки и симболи.
Користењето на менаџер за лозинки за складирање и управување со различни лозинки на различни сметки може да биде од голема помош. Погрижете се и периодично да ги менувате; кварталната основа е добар репер, бидејќи компјутерската моќ на вештачката интелигенција продолжува да расте експоненцијално секоја година. Понатаму, не користете ја истата лозинка за сите ваши сметки – важно е да креирате уникатни комбинации за секоја од нив.
Ако барате потврда дека вашите лозинки се безбедни од вештачка интелигенција, проверете ја Home Security Heroes, која има проверувач што ви кажува колку време би било потребно на кој било софтвер со вештачка интелигенција да го пробие.
Заклучок: Прифаќање решенија без лозинки и повеќе-факторски решенија за подобра безбедност и корисничко искуство
Автентикацијата без лозинка е тип на проверка на идентитетот на корисникот што не зависи од традиционалните внесувања на лозинка. Тоа вклучува генерирање на еднократна лозинка, испраќање „магичен“ линк или користење биометриски податоци, како отпечатоци од прсти и препознавање на лицето. Со барање на повеќе фактори за секое најавување, автентикацијата без лозинка станува повеќе-факторска автентикација (MFA).
Овој пристап ја подобрува безбедноста со отстранување на ризикот од слаби лозинки и ги намалува административните трошоци со автоматизирање на процесот на најавување. Иако трошоците за развој можеби се првично повисоки, автентикацијата без лозинка компензира со обезбедување подобра безбедност и намалување на грешките на корисниците. Ова не се однесува само на иднината, туку е и сегашен тренд во автентикацијата, при што технологијата силно го промовира нејзиното усвојување.
Важно е да се гледа на автентикацијата без лозинка како метод за заштита на корисниците, слично на мерките како што се заштита од преземање сметка и откривање измама. Во случаи кога напаѓачите ги прекршуваат првичните безбедносни мерки, користењето прецизно решение за отпечатоци од прсти на уредот може точно да ги идентификува злонамерните обиди за најавување и дополнително да ја подобри безбедноста на корисникот.
Можеме да заклучиме дека комбинацијата на различни пристапи кон безбедноста на лозинката изгледа неопходна во ерата на вештачката интелигенција. Иако заштитата на вашата сметка можеби не е игра со „нулта сума“, важно е да се применат различни методи за најавување за да се спречат злонамерните актери дури и ако тие се обидат да ги нарушат вашите системи. Сè на сè, бидете информирани и подготвени кога станува збор за вашите лозинки, затоа што само така може да имаме успех на долг рок.
