Hvad gør tofaktor godkendelse fejlbehæftet?
Tofaktorautentificering er blevet mere almindelig i følsomme miljøer som f.eks. Bank-, betalingsbehandling, sociale medier og andre platforme, hvor du deler mange personlige oplysninger, som du absolut ikke vil have, at andre vil få deres hænder på. Det har været en meget kraftfuld måde at sikre, at du er den eneste person med adgang til dine data, men der er nogle dårlige nyheder: det er fejlbehæftet. Ikke alt er dårlige nyheder, dog. Det ser ud til, at nogle virksomheder arbejder på at lave en ny form for godkendelse, der tegner sig for nogle af disse fejl.
En primer på tofaktorautentificering
Hovedpunktet af det er dette: Hvis du skal bruge noget ud over blot et brugernavn og en adgangskode for at komme ind på en konto, bruger du højst sandsynligt 2-faktor-godkendelse for at komme ind i det.
Ofte vil du se dette ske, når du logger ind på en bankapp eller bruger en app som Uber for første gang. Det kommer som regel i form af en SMS-bekræftelse for at sikre, at du er ejer af telefonnummeret, der var registreret på kontoen.
Nogle banker vil give dig en digital token generator (ligesom Google Authenticator app), der genererer en række tal hvert minut eller så, som du skal bruge til at logge ind på din konto.
Andre applikationer bruger et smart automatisk detektionssystem, der kalder dit telefonnummer og henter op, når opkaldet går ind for at fortælle, at du ejer din telefon.
I nogle tilfælde kan tofaktorautentificering endda indebære biometri, som et fingeraftryk eller dit ansigt. Nogle af disse metoder bruges i stedet for en adgangskode til at gøre visse ting som at låse din telefon op.
Alle disse metoder blev opfundet for at bevise, at du er dig.
Flyvet i salven
Den største fejl i moderne godkendelsesmetoder er, at de ikke tager højde for det faktum, at mennesker bruger dem. Vi finder altid nye og kreative måder at misbruge vores data på, og ingen sikkerhedsforanstaltninger, der eksisterer i dag, kan virkelig kompensere for det.
I mange tilfælde falder vi for sociale ingeniørordninger, der får os til at give vigtige oplysninger til rådighed for folk, der forsøger at få adgang til vores konti.
Der er også risiko for tyveri. Hvis nogen stjæler din telefon, har de nu mulighed for at modtage bekræftelses SMS-beskeder. Hvis nogen stjæler dit token, kan de godkende din bankkonto.
Fingeraftryk? De er også sårbare. Så er ansigtsgenkendelse.
En ny grænse med sine egne forbehold
I efteråret 2017 meddelte en gruppe mobiloperatører i USA, at de vil frigive en ny form for godkendelse, der skal tage fat på alle de ovennævnte fejl. Mens dette hele kan høre hunky dory, er der ikke mange detaljer om, hvordan denne nye autentificeringsmetode ville fungere.
Gruppen, kendt som Mobile Authentication Taskforce, sagde, at deres nye metode ville "reducere mobile identitetsrisici ved at analysere data og aktivitetsmønstre på et mobilnetværk for i høj grad at forudsige, om brugeren er den, de siger, de er .”
Det lyder lidt som om de ville spore bevægelser og datamønstre fra mobile brugere og bruge det til at skabe et "fingeraftryk" af deres identitet. Hvis der er for meget afvigelse fra dette mønster (f.eks. Din telefon er pludselig i London og logger ikke ind på de websteder, du typisk logger ind på), så ville det være sikkert at antage, at brugerens identitet er blevet kompromitteret.
Selv om dette kan lyde spændende for nogle, er det helt sikkert bekymring for andre, der er bekymrede for privatlivets fred og deres evne til at have kontrol over deres data. Mange mennesker er måske ikke komfortable med deres mobiloperatører, der sporer deres hver bevægelse og alle de data, de sender via internettet. Og hvad nu hvis en regering ønsker at yde rekorder af disse data?
Hvilken side er du på? Tror du, at MAT's nye autentificeringsmetode er et skridt fremad for at stoppe hackere, eller er privatlivets bekymring nok til at gøre dig til ideen? Fortæl os hvad du synes i en kommentar!