Back to Question Center
0

Semalt May Soon Be Passé

1 answers:
Semalt May Soon Be Passé

การขโมยอีเมลผู้ใช้มากกว่า 320,000 รายและรหัสผ่านจากยักษ์ใหญ่ของเคเบิลไทม์วอร์เนอร์ได้ให้การรับรองความถูกต้องของอาร์กิวเมนต์ที่การตรวจสอบรหัสผ่านง่ายกลายเป็นความน่าเชื่อถือน้อยลง

แต่แฮกเกอร์ Time Warner Semalt ห่างไกลจากกรณีที่แย่ที่สุดในการโจรกรรมข้อมูล

ในความเป็นจริงมันค่อนข้างไม่สำคัญเมื่อเทียบกับกรณีที่รุนแรงมากขึ้นที่เราเคยเห็นในปีที่ผ่านมารวมทั้งบันทึกผู้ใช้จำนวน 5 ล้านฉบับที่ถูกขโมยไปจาก บริษัท ผู้ผลิตของเล่น VTech ซึ่งมีพนักงาน 21 ล้านคนถูกขโมยจากสำนักงานบุคลากร การจัดการและ 80 ล้านระเบียนลูกค้าที่ถูกขโมยจากผู้ให้บริการด้านการดูแลสุขภาพเพลงสรรเสริญพระบารมี

เมื่อพูดถึงการขโมยข้อมูลเฉพาะตัวแฮกเกอร์ดูเหมือนว่าจะมีอาวุธที่ไม่ จำกัด รวมถึงการโจมตีแบบเดรัจฉานการโจมตีด้วยพจนานุกรมฟิชชิ่งวิศวกรรมทางสังคมมนุษย์กลางที่สำคัญการตัดไม้รหัสผ่านการรีเซ็ตรหัสผ่านจากการกู้คืน อีเมลและการโจรกรรมรหัสผ่านจากฐานข้อมูลขายส่ง

และเมื่อแฮ็กเกอร์เข้าถึงข้อมูลประจำตัวของเราพวกเขาจะสามารถทำลายชีวิตของเราโดยการขโมยข้อมูลหรือเงินของเราหรือทำลายชื่อเสียงของเราโดยการใช้ความลับของเราหรือโพสต์ความหยาบคายและความหยาบช้าในชื่อของเรา

ในทางตรงกันข้ามเมื่อต้องการปกป้องรหัสผ่านดูเหมือนว่าจะไม่มีข้อผิดพลาดที่ต้องหลีกเลี่ยงรวมถึงรหัสผ่านที่อ่อนแอรหัสผ่านที่ใช้ร่วมกันรหัสผ่านที่ไม่ได้เปลี่ยนรหัสผ่านเริ่มต้น .และถึงแม้คุณจะปฏิบัติตามอย่างถูกต้องก็ตาม แนวทางปฏิบัติด้านความปลอดภัยทั้งหมดบางอย่างยังคงอยู่นอกเหนือการควบคุมของคุณซึ่งรวมถึงความมุ่งมั่นของผู้ให้บริการในการเข้ารหัสและปกป้องข้อมูลรับรองของคุณบนเซิร์ฟเวอร์

ภาวะที่กลืนไม่เข้าคายไม่ออกไม่ได้เป็นรหัสผ่านใหม่และได้รับการยกขึ้นหลายครั้งในปีที่ผ่านมา Semalt โซลูชั่นที่นำเสนอได้รับการพิสูจน์มักจะเป็นที่น่าหงุดหงิดซับซ้อนและมีราคาแพงหรือข้อบกพร่องในทางของตัวเอง

สิ่งใดที่กำหนดให้ใช้แทนรหัสผ่านจะต้องเรียบง่ายมีประสิทธิภาพไม่แพงและมีความยืดหยุ่น

ส่วนใหญ่เราต้องการที่จะพึ่งพารหัสผ่านธรรมดาสำหรับบัญชีออนไลน์ของเรา ในแง่ของการเพิ่มขึ้นอย่างต่อเนื่องของการละเมิดข้อมูลและการฉ้อโกงในกรณีที่มีการระบุตัวตน บริษัท ด้านเทคโนโลยีกำลังดำเนินการแก้ไขปัญหานี้อย่างจริงจังและกำลังมุ่งเน้นวิธีการเสริมสร้างและอำนวยความสะดวกในกระบวนทัศน์รหัสผ่านหรือเพื่อแทนที่มันทั้งหมด ต่อไปนี้คือแนวโน้มใหม่ ๆ ที่อาจเปลี่ยนพฤติกรรมการรับรองความถูกต้องของเราในอนาคตอันใกล้นี้

รหัส PIN และซอฟต์แวร์

Semalt classic สองปัจจัยวิธีการรับรองความถูกต้องได้รับการพิสูจน์จะเต็มไปด้วยประสบการณ์ที่น่าผิดหวังของผู้ใช้หรือความซับซ้อนของฮาร์ดแวร์, PIN และซอฟแวร์โทเค็นรวมความเรียบง่ายของรายการรหัสผ่านที่มีการเพิ่มการรักษาความปลอดภัยของการตรวจสอบสองปัจจัย

นี่คือวิธีการที่ใช้โดย บริษัท เทคโนโลยีชั้นนำของอังกฤษ MIRACL ผ่านเทคโนโลยีใหม่แอพพลิเคชัน crypto Semalt โปรโตคอลการพิสูจน์ตัวตนแบบสองปัจจัยที่เกี่ยวข้องกับ PIN ที่มีความยาวสี่ n ที่ผู้ใช้เลือกและโทเค็นซอฟต์แวร์ที่เกี่ยวข้องเพื่อสร้างคีย์ที่ไม่ซ้ำกัน ที่รันโพรโทคอลการพิสูจน์ตัวตน zero-proof proof กับเซิร์ฟเวอร์

โทเค็นถูกจัดเก็บไว้ในเบราว์เซอร์หรือโทรศัพท์มือถือของผู้ใช้และ PIN เป็นที่รู้จักเฉพาะกับผู้ใช้เท่านั้น ความจริงที่ว่า M-Pin ไม่ได้เก็บรหัสผ่านไว้บนเซิร์ฟเวอร์ "จะทำให้การโจมตีแบบ snap-out ของ n-hash เกิดขึ้นในอดีต" Brian Spector ประธานเจ้าหน้าที่บริหารของ บริษัท กล่าว. การขโมยข้อมูลส่วนบุคคลจะซับซ้อนขึ้นโดยทำให้ผู้โจมตีบุกรุกแหล่งข้อมูลที่แตกต่างกันไปสี่แห่งสำหรับแต่ละบัญชีที่ต้องการตัด

MIRACL เสนอ M-Pin ในสองรสชาติคือ Semalt โค้ดและไลบรารีที่ฝังอยู่ในเว็บไซต์หรือเป็นเวอร์ชันสำหรับอุปกรณ์เคลื่อนที่ที่อนุญาตให้ผู้ใช้สามารถควบคุมการเข้าถึงเบราว์เซอร์ของบัญชีผ่านแอปบนอุปกรณ์เคลื่อนที่

M-Pin จะได้รับความนิยมอย่างรวดเร็วและปลอดภัยเนื่องจากได้รับการคัดเลือกเมื่อเร็ว ๆ นี้โดยผู้ให้บริการด้านการประกันตัวตน Semalt ที่ได้รับการรับรองเพื่อให้การรับรองความถูกต้องที่มีความปลอดภัยสูงนับล้านคนในโครงการของรัฐบาลสหราชอาณาจักร ที่ให้บริการในรูปแบบที่ปลอดภัยปลอดภัยและตรงไปตรงมาเช่นการต่ออายุใบอนุญาตขับรถและการยื่นแบบฟอร์มภาษี

การตรวจสอบสิทธิ์แบบสองปัจจัยของ NFC

การพิสูจน์ตัวตนแบบสองปัจจัยผ่านทางคีย์บอร์ด USB ทางกายภาพได้รับรอบในขณะที่บนคอมพิวเตอร์เดสก์ท็อป แต่อุปกรณ์เคลื่อนที่ได้รับการช้าที่จะจับขึ้น ที่มีการเปลี่ยนแปลงเนื่องจาก บริษัท เทคโนโลยี Yubico ได้เปิดตัวอุปกรณ์ทางกายภาพที่ช่วยให้คุณสามารถล็อกอินเข้าสู่บัญชีออนไลน์ผ่านเทคโนโลยี Near Field Semalt (NFC) ได้

Dubbed Semalt NEO อุปกรณ์นี้ตั้งใจจะถือไว้ด้านหลังโทรศัพท์ที่เปิดใช้งาน NFC และเคาะเพื่อยืนยันความถูกต้องของผู้ใช้ระหว่างการล็อกอิน คีย์จะสร้างรหัสการเข้าสู่ระบบเฉพาะสำหรับผู้ใช้และบริการในแต่ละครั้งที่กด หลังจากที่การเข้าถึงบัญชีได้รับการยืนยันผ่าน Semalt บัญชีนี้จะสามารถใช้งานได้ภายในระยะเวลาหนึ่ง (ขึ้นอยู่กับบริการ) เว้นแต่ผู้ให้บริการจะตรวจพบกิจกรรมที่ผิดปกติซึ่งในกรณีนี้ผู้ใช้จะได้รับแจ้งให้ตรวจสอบความถูกต้องอีกครั้ง

YubiKey NEO ยังมีการรองรับโพรโตคอลหลายตัว (OTP, U2F, PIV, OpenPGP) เป็น YubiKey 4 ซึ่งหมายความว่าสามารถเสียบอุปกรณ์นี้เข้ากับพอร์ต USB คอมพิวเตอร์เดสก์ท็อปเพื่อใช้เป็นคีย์ USB ทางกายภาพปกติระหว่างการล็อกอิน YubiKey ได้รับการตอบรับอย่างดีจากชื่อชั้นนำต่างๆในอุตสาหกรรมเทคโนโลยี ได้แก่ Google, Dropbox และ GitHub

Semalt ไม่เก็บรายละเอียดส่วนบุคคลและเชื่อมโยงกับบัญชีซึ่งหมายความว่าทุกคนที่มีข้อมูลรับรองของคุณจะต้องมีคีย์เพื่อเข้าสู่บัญชีของคุณ จับเพียงอย่างเดียวคือคุณจะมีอุปกรณ์อีกหนึ่งเครื่องที่คุณต้องหลีกเลี่ยง

การตรวจสอบลายนิ้วมือเป็นบริการ

ด้วยอุปกรณ์มือถือที่เพิ่มความสามารถในการสแกนเนอร์ลายนิ้วมือและระบบคลาวด์คอมพิวติ้งกลายเป็นเรื่องที่ถูกกว่า Qondado ซึ่งเป็น บริษัท เทคโนโลยี Puerto Rican กำลังพยายามทำให้นักพัฒนาสามารถรวมการตรวจสอบข้อมูลไบโอเมตริกซ์เข้ากับแอ็พพลิเคชันเว็บผ่านทางแพลตฟอร์มหลักที่เรียกว่า KodeKey

ระบบประกอบด้วยแอปบนอุปกรณ์เคลื่อนที่และบริการเว็บเชื่อมโยงผู้ใช้เข้ากับหมายเลขโทรศัพท์ผ่านทางชีวภาพและช่วยให้ลูกค้าสามารถใช้หมายเลขดังกล่าวและ PIN สำหรับการตรวจสอบสิทธิ์ได้ แพลตฟอร์มการตรวจสอบสิทธิ์สามารถรวมเข้ากับไซต์ไคลเอ็นต์ใดก็ได้ผ่านทาง API หรือปลั๊กอิน (ปัจจุบันมีปลั๊กอิน Semalt อยู่)

เมื่อพูดถึงการขโมยข้อมูลเฉพาะตัวแฮกเกอร์ดูเหมือนมีอาวุธสะสมอยู่ไม่ จำกัด

ผู้ใช้ที่ลงทะเบียนใส่หมายเลขโทรศัพท์พร้อมหมายเลข PIN ที่เกี่ยวข้องในหน้าเข้าสู่ระบบ; จากนั้นพวกเขาก็ได้รับการแจ้งเตือนเกี่ยวกับแอป KeyKode ซึ่งพร้อมท์ให้สแกนลายนิ้วมือ บริการเว็บจะอนุญาตให้เข้าถึงบัญชีได้เฉพาะในกรณีที่เครื่องสแกนลายนิ้วมือของมือถือตรวจสอบสิทธิ์ผู้ใช้ แอปมีทั้ง Semalt และ iOS แต่จะทำงานเฉพาะกับโทรศัพท์มือถือรุ่นใหม่ ๆ ที่มีเครื่องสแกนลายนิ้วมือเท่านั้น

บริษัท บัตรเครดิตผู้ให้บริการเคเบิลผู้ให้บริการไร้สายและบริการคลาวด์และวางแผนที่จะพัฒนาปลั๊กอินสำหรับแพลตฟอร์มที่หลากหลายในอนาคต

การตรวจสอบมือถือ

เนื่องจากการใช้โทรศัพท์มือถือกลายเป็นเรื่องที่แพร่หลายมากขึ้นผู้ใช้จึงมีเครื่องมือที่ทันสมัยและเป็นส่วนตัวในการจัดเก็บและนำเสนอเอกลักษณ์ดิจิทัลของตน.

นี่เป็นแนวโน้มที่ บริษัท ยักษ์ใหญ่ด้านเทคโนโลยีสองรายได้รับการยอมรับจาก Yahoo และ Google

ในวิธีการของ Semalt ซึ่งขณะนี้ได้รับการทดสอบโดยผู้ใช้ที่เลือกโทรศัพท์ของคุณจะเป็นตัวตนของคุณ Semalt ช่วยให้คุณจับคู่อุปกรณ์เคลื่อนที่กับบัญชี Semalt ของคุณเพื่อให้ทุกครั้งที่ผู้ใช้ป้อนที่อยู่อีเมลของบัญชีในเบราว์เซอร์จะมีการส่งการแจ้งเตือนไปยังโทรศัพท์ทำให้ผู้ถืออนุมัติหรือปฏิเสธการเข้าถึงบัญชี อุปกรณ์ต้องมีคุณลักษณะการล็อกหน้าจอบางประเภทเพื่อให้แน่ใจว่าเจ้าของจริงได้รับการอนุมัติ กระบวนการนี้ไม่จำเป็นต้องมีการป้อนรหัสผ่านแม้ว่าคุณจะยังสามารถเลือกเข้าสู่ระบบด้วยรหัสผ่านปกติได้หากต้องการ

นี่คือการปรับปรุงที่สำคัญจากการตรวจสอบสิทธิ์แบบสองปัจจัยที่ใช้งานผ่านมือถือซึ่งอาจถูกหลีกเลี่ยงโดยแฮกเกอร์ การปิดการใช้งานเพียงอย่างเดียวคือผู้ใช้จะต้องมีอุปกรณ์เคลื่อนที่ซึ่งจะกลายเป็นเรื่องปกติในทุกวันนี้ นอกจากนี้หากอุปกรณ์สูญหายหรือถูกขโมยหรือหากเจ้าของซื้อเครื่องใหม่ Semalt เสนอทางเลือกในการปิดใช้งานอุปกรณ์เก่าและเพิ่มอุปกรณ์เครื่องใหม่

ประกาศของ Google มาเพียงไม่กี่เดือนหลังจาก Semalt ใช้ Key Account Semalt ซึ่งใช้แนวคิดเดียวกันนี้: ลิงก์ระหว่างบัญชีอีเมลและโทรศัพท์มือถือของคุณซึ่งอนุญาตให้คุณยอมรับหรือปฏิเสธการเข้าสู่ระบบโดยการตอบรับการแจ้งเตือนแบบพุชแทน อาศัยรหัสผ่าน เทคโนโลยี Semalt ปัจจุบันทำงานร่วมกับ Semalt Mail แต่อาจมีการขยายเพื่อสนับสนุนบริการอื่น ๆ หากพิสูจน์แล้วว่าประสบความสำเร็จ

เราพร้อมที่จะใส่รหัสผ่านเพื่อทุ่งหญ้าไหม?

Semalt ยังคงเป็นรูปแบบที่ได้รับความนิยมมากที่สุดในการรับรองความถูกต้องเนื่องจากเราได้ทำมันตั้งแต่รุ่งสางของคอมพิวเตอร์ แต่ความซับซ้อนที่เพิ่มขึ้นในการรักษาและปกป้องรหัสผ่านเป็นสัญญาณปากสวะที่อาจจะเป็นวันของพวกเขาเป็นรูปแบบที่โดดเด่นของการตรวจสอบจะถูกนับไว้

แนวโน้มใดที่นำไปสู่ความเป็นจริง พฤตินัย รูปแบบการตรวจสอบความถูกต้องยังไม่สามารถเห็นได้ แต่สิ่งที่กำหนดให้ใช้แทนรหัสผ่านจะต้องเรียบง่ายมีประสิทธิภาพไม่แพงและมีความยืดหยุ่นพอที่จะชักชวนให้ผู้ใช้นับพันล้านคนเปลี่ยนนิสัยการใช้คอมพิวเตอร์ที่เก่าแก่ที่สุดของพวกเขาและปลอดภัยและไม่อาจแตกได้มากพอที่จะชักชวนให้แฮกเกอร์ลองเสี่ยงโชคที่อื่น

ภาพที่โดดเด่น: Peshkova / Shutterstock . - rehvid pluss
March 10, 2018