Hva gjør tofaktorautentisering feil?
Tofaktorautentisering er blitt vanligere i følsomme miljøer som for eksempel bank, betalingsbehandling, sosiale medier og andre plattformer hvor du deler mye personlig informasjon som du absolutt ikke vil at noen andre skal ta seg av. Det har vært en veldig kraftig måte å sikre at du er den eneste personen med tilgang til dataene dine, men det er noen dårlige nyheter: det er feil. Ikke alt er dårlige nyheter, men. Det ser ut som at noen selskaper jobber med å lage en ny form for godkjenning som står for noen av disse feilene.
En primer på tofaktorautentisering
Kjennetegnet av dette er dette: Hvis du må bruke noe annet enn bare et brukernavn og passord for å komme inn i en konto, bruker du sannest mulig tofaktorautentisering for å komme inn på den.
Ofte ser du dette skje når du logger deg på en banktjeneste eller bruker en app som Uber for første gang. Det kommer vanligvis i form av en SMS-bekreftelse for å sikre at du er eieren av telefonnummeret som ble registrert på kontoen.
Noen banker vil gi deg en digital token generator (som Google Authenticator app) som genererer en rekke tall hvert minutt eller så du må bruke for å logge på kontoen din.
Andre applikasjoner bruker et smart automatisk gjenkjenningssystem som ringer telefonnummeret ditt og henter opp når samtalen går inn for å fortelle at du eier telefonen.
I noen tilfeller kan tofaktorautentisering også inkludere biometri, som et fingeravtrykk eller ansiktet ditt. Noen av disse metodene brukes i stedet for et passord for å gjøre visse ting som å låse opp telefonen.
Alle disse metodene ble oppfunnet for å bevise at du er deg.
The Fly i salven
Den største feilen i dagens autentiseringsmetoder er at de ikke tar hensyn til det faktum at mennesker bruker dem. Vi finner alltid nye og kreative måter å misbruke våre data på, og ingen sikkerhetsmåte som eksisterer i dag, kan virkelig kompensere for det.
I mange tilfeller faller vi for sosialtekniske ordninger som får oss til å gi bort viktig informasjon til folk som forsøker å få tilgang til våre kontoer.
Det er også risiko for tyveri. Hvis noen stjeler telefonen, har de nå mulighet til å motta bekreftelsesmeldinger. Hvis noen stjeler ditt token, kan de autentisere bankkontoen din.
Fingeravtrykk? De er også sårbare. Så er ansiktsgjenkjenning.
En ny grense med sine egne forbehold
Høsten 2017 annonserte en gruppe mobiloperatører i USA at de vil frigjøre en ny form for godkjenning som bør adressere alle feilene som er nevnt ovenfor. Selv om dette alle kan høres hunky dory, er det ikke mange detaljer om nøyaktig hvordan denne nye autentiseringsmetoden ville fungere.
Gruppen, kjent som Mobile Authentication Taskforce, sa at deres nye metode ville "redusere mobile identitetsrisikoer ved å analysere data og aktivitetsmønstre på et mobilnett for å forutsi, med høy grad av sikkerhet, om brukeren er den de sier de er .”
Dette høres ut som om de ville spore bevegelser og datamønstre fra mobilbrukere og bruke det til å lage et "fingeravtrykk" av deres identitet. Hvis det er for mye av en avvik fra dette mønsteret (f.eks. Telefonen er plutselig i London og logger ikke inn på nettstedene du vanligvis logger på), så ville det være trygt å anta at brukerens identitet er blitt kompromittert.
Selv om dette kan hende spennende for noen, forårsaker det absolutt bekymring hos andre som er opptatt av personvern og deres evne til å ha kontroll over dataene sine. Mange mennesker kan ikke være komfortable med sine mobiloperatører som sporer hver bevegelse og alle dataene de sender over nettet. Og hva om en regjering vil motta oppdrag av disse dataene?
Hvilken side er du på? Tror du at MATs nye godkjenningsmetode er et skritt fremover for å stoppe hackere, eller er personvernet bekymringer nok til å slå deg av til ideen? Fortell oss hva du synes i en kommentar!