Mật khẩu hút. Chúng ta hãy không khai thác các từ ở đây hoặc đánh bại quanh bụi cây. Mọi người đều ghét mật khẩu và họ có quyền làm như vậy. Mật khẩu là nguyên nhân của sự tồn tại trực tuyến hiện đại của chúng tôi. Không có gì ngạc nhiên khi đôi tai tập thể của chúng tôi trở nên lúng túng và chúng tôi khao khát tin rằng khi nghe cụm từ: kẻ giết mật khẩu! Shut up và lấy tiền của tôi!
Trong bài viết này, tôi sẽ giải thích cách chúng tôi đã đến nơi khủng khiếp này và cách làm tốt nhất của nó. Sau đó tôi sẽ tiết lộ một bộ công nghệ mới được cho là "kẻ giết mật khẩu" ... và giải thích tại sao chúng ta nên tránh chúng bằng mọi giá. Và cuối cùng, tôi sẽ giới thiệu bạn với một người chơi dễ thương, mờ nhạt có thể cứu tất cả chúng ta.
Tình trạng khó khăn về mật khẩu
Hãy tua lại một chút và xem lại cách chúng ta có ở đây ngay từ đầu. Ngay sau khi chúng tôi chuyển từ thế giới thực sang không gian mạng, chúng tôi đã phải đối mặt với một vấn đề: làm thế nào để chúng tôi biết bạn là người bạn nói bạn là ai? Đây là vấn đề xác thực - tìm một cách an toàn và mạnh mẽ để xác minh danh tính của bạn. Tuy nhiên, lưu ý rằng điều này không giống với việc xác định bạn là ai. Không gian ảo cung cấp ẩn danh cho người dùng (hoặc ít nhất là khả năng ẩn danh). Mặc dù đây không phải là trường hợp giao dịch tài chính (ví dụ: ngân hàng, mua sắm), trong hầu hết các trường hợp, bạn chỉ cần thiết lập một số loại bí danh cho chính mình mà không gắn với tên, địa chỉ, v.v.
Danh tính thường được thiết lập bởi một hoặc nhiều phương pháp sau:
- Nội dung bạn biết (mật khẩu, mã PIN, câu trả lời cho "câu hỏi bí mật")
- Một cái gì đó bạn đang có (dấu vân tay, mống mắt, mặt)
- Một cái gì đó bạn có (huy hiệu, ID ảnh, điện thoại di động)
Đối với hầu hết thời đại Internet, các phương pháp xác thực có sẵn trong không gian mạng bị hạn chế. Các thiết bị đầu vào duy nhất mà bạn có thể đảm bảo tất cả mọi người đã có một bàn phím. Vì vậy, hình thức nhận dạng hợp lý nhất, phục vụ cho mẫu số ít phổ biến nhất này, là mật khẩu. Và chúng tôi đang ở đây.
Để các hệ thống dựa trên mật khẩu hoạt động tốt, người dùng phải có không thể đoán được mật khẩu khác cho mỗi tài khoản và mỗi mật khẩu. Thật không may, bộ não con người chỉ đơn giản là không đến nhiệm vụ này - và vì vậy hầu hết mọi người đến với 2-3 mật khẩu xấu và sử dụng chúng hơn và hơn nữa. Tin tặc biết điều này và đã phát triển các công cụ tự động có thể crack phần lớn mật khẩu do con người tạo ra chỉ trong vài phút hoặc thậm chí vài giây. Họ bắt đầu bằng cách đoán các mật khẩu và cụm từ thông thường, sau đó kết hợp các từ trong từ điển, lời bài hát, tiêu đề phim, đội thể thao, tên thường gọi, ngày tháng, v.v. (số không cho "0", v.v.). Chỉ những người chết mới không có cơ hội.
Tuy nhiên, có một giải pháp đơn giản cho vấn đề này: một trình quản lý mật khẩu. Các ứng dụng hữu ích này (như LastPass hoặc 1Password) sẽ không chỉ nhớ và tự động nhập tất cả mật khẩu của bạn, chúng sẽ giúp tạo mật khẩu mạnh mẽ vô cùng cho mỗi tài khoản bạn có. Tuy nhiên, mặc dù tiện ích hiển nhiên của các nhà quản lý mật khẩu, rất ít người sử dụng chúng (ít nhất là 8% theo một báo cáo năm ngoái bởi Siber Systems).
Biết cách thức những người khiếm thị tạo ra mật khẩu tốt, các công ty và chính phủ an ninh đã bắt đầu yêu cầu hai dạng "ID" bây giờ, được gọi là "xác thực hai yếu tố". Điều này thường bao gồm mật khẩu cùng với mã số một lần, được gửi tới điện thoại thông minh của bạn qua SMS hoặc được tạo bởi ứng dụng điện thoại thông minh. Ngay cả khi những kẻ xấu quản lý để đoán mật khẩu của bạn, họ vẫn cần phải sở hữu điện thoại thông minh của bạn để truy cập vào tài khoản của bạn. Đây là tiêu chuẩn vàng hiện tại và (khi được triển khai chính xác) có thể cung cấp bảo mật khá mạnh mẽ. Thật không may, nó vẫn yêu cầu mật khẩu đáng sợ đó. Và mật khẩu vẫn còn hút. Chắc chắn trong thời đại này của máy tính mạnh mẽ tuyệt vời, xử lý âm thanh và video tinh vi, và điện thoại thông minh phổ biến chock đầy đủ các cảm biến, chúng tôi có thể đến với một cái gì đó tốt hơn ...
Nhập kẻ giết người mật khẩu!
Google, nhà sản xuất hệ điều hành Android và các dòng điện thoại thông minh Nexus và Pixel, tin rằng cuối cùng họ đã hoàn thành nó: họ tin rằng họ đã tạo ra một công nghệ cuối cùng sẽ "giết" mật khẩu đáng kính như một phương pháp xác thực chính. Bằng cách sử dụng các cảm biến nói trên trong điện thoại thông minh, họ có thể nhận ra bạn bằng cách sử dụng kết hợp khuôn mặt, mống mắt, giọng nói, vị trí, tốc độ gõ và kiểu của bạn, ứng dụng bạn sử dụng và khi bạn sử dụng chúng, ngay cả cách bạn đi bộ. Tóm lại, họ sẽ phát triển một "điểm tin cậy" - một thuật toán bí mật để xác định khả năng bạn là bạn. Điểm số này sẽ được cung cấp cho các ứng dụng điện thoại của bạn, cung cấp cho họ tùy chọn nói trên mật khẩu nếu họ đủ chắc chắn ai đang cầm điện thoại. Rõ ràng, các ứng dụng khác nhau có thể yêu cầu các mức độ tin cậy khác nhau: trong khi Jewel Mania có thể bị lung lay, Wells Fargo có thể sẽ khá nghiêm ngặt (và đúng như vậy).
Bạn có thể suy nghĩ: làm thế nào mát mẻ đó ?? Không còn mật khẩu nữa! Nó sẽ chỉ biết đó là tôi! Nhưng chúng ta hãy lùi lại một chút ... chúng ta hãy xem xét những gì đang thực sự xảy ra ở đây và kiểm tra các tác động.
Hệ thống điểm tin cậy của Google là một trong một số công nghệ "sát thủ mật khẩu" mới trên đường chân trời. Các ví dụ khác bao gồm nhận dạng giọng nói từ các công ty như Ngân hàng Barclays và tính năng nhận dạng khuôn mặt Windows 10 mới có tên Windows Hello. Tất cả các công nghệ này được dựa trên một số dạng dữ liệu sinh trắc học - nghĩa là, bạn là một cái gì đó (trái ngược với một cái gì đó bạn biết: mật khẩu). Những gì các hệ thống này đang nỗ lực làm là đưa ra một số cách - thậm chí nhiều cách - để xác định tích cực và mạnh mẽ bạn. Sử dụng các cảm biến khác nhau, các hệ thống này nắm bắt tất cả các loại dữ liệu để phát triển một "chữ ký sinh trắc học" cho bạn, chắt lọc bản chất vật lý của bạn xuống một đại diện kỹ thuật số. Các chữ ký này sau đó được lưu trữ để hệ thống có thể sử dụng nó để nhận dạng bạn trong tương lai - so sánh dữ liệu cảm biến hiện tại với dữ liệu được lưu trữ và xác định liệu chúng có khớp không.
Mật khẩu hoặc ID người dùng?
Trong tâm trí của tôi, có ba vấn đề chính với cách tiếp cận sinh trắc học để xác thực. Trước hết, ở mức cơ bản nhất, thông tin sinh trắc học của bạn đại diện cho tên người dùng hoặc ID người dùng nhiều hơn mật khẩu - và ID người dùng khá thiếu linh hoạt và yếu đuối ở đó. Một mặt, trừ khi bạn sẵn sàng tự cắt xén mình, bạn không thể thay đổi những đặc tính này; mặt khác, nếu mắt, mặt, hoặc ngón tay của bạn bị biến dạng trong một số loại tai nạn thì sao? Viêm thanh quản hoặc thậm chí là cảm lạnh xấu có thể làm cho giọng nói của bạn không thể nhận ra. Mặc dù bạn vẫn là bạn, với những hệ thống này bạn không còn là bạn nữa. Ngoài ra, bạn không phải là joecool85 trên trang web này và therealjsw trên một trang web khác ... bạn là Joseph William Smith. Luôn luôn. Mọi nơi.
Quyền riêng tư và ẩn danh
Điều này đưa chúng ta đến vấn đề thứ hai: thiếu sự nặc danh và riêng tư. Với xác thực sinh trắc học, không có cách nào để ẩn danh và không có cách nào để tách rời hoặc cô lập danh tính của bạn từ trang này sang trang khác. Đó là, bạn muốn có thể tương tác với một số trang web nhưng không có họ biết cụ thể bạn là ai (giấu tên). Bạn cũng muốn các hành động của bạn trên trang web đó không được người khác và các trang web khác (quyền riêng tư) biết đến. Với xác thực sinh trắc học, cả hai đều là không thể. Trong thời đại khủng bố toàn cầu này, nhiều người dường như sẵn sàng từ bỏ quyền riêng tư trực tuyến bởi vì họ tin rằng nó sẽ giúp chính phủ của họ giữ an toàn cho họ. Nhưng sự riêng tư và ẩn danh là cần thiết - không chỉ cho dân chủ, mà còn cho nhân loại. Đây có thể là toàn bộ cuốn sách cho chính nó, nhưng nếu bạn không tin điều này, tôi sẽ giới thiệu bạn tới buổi nói chuyện TED tuyệt vời này của Glenn Greenwald. Bây giờ, chúng ta hãy đồng ý rằng xác thực sinh trắc học vô hiệu hóa cả bảo mật và ẩn danh.
Một kịch bản tuyệt vời của hiệu ứng này có thể được tìm thấy trong phim Minority Report . Trong bộ phim này, nhân vật của Tom Cruise không thể đi bộ xung quanh bất cứ nơi nào mà không được tự động công nhận bởi các hệ thống giám sát khắp mọi nơi. Đây không chỉ là hệ thống giám sát của chính phủ, mà còn là các hệ thống quảng cáo của công ty mà chỉ đang cố gắng "cải thiện trải nghiệm của khách hàng". Trong tên nhắm mục tiêu và điều chỉnh quảng cáo của họ, họ cảm thấy họ phải biết càng nhiều càng tốt về bạn - và nhận ra bạn ở bất cứ nơi nào bạn đi, về thể chất hoặc hầu như. Tuy nhiên, điều này không còn là viễn tưởng khoa học nữa - nó thực sự đang xảy ra.
Bảo vệ
Vấn đề cuối cùng với hệ thống xác thực dựa trên sinh trắc học là nó không đủ an toàn. Không có hệ thống nào có thể an toàn 100%, và do đó kỹ thuật bảo mật của hệ thống luôn là về việc cắt giảm chi phí và thuận tiện chống lại hậu quả của sự thất bại. Nếu một hacker xâm nhập vào Amazon.com và quản lý để ăn cắp tất cả mật khẩu của khách hàng của họ, Amazon có thể đơn giản vô hiệu hóa tất cả những mật khẩu bị mất và buộc tất cả mọi người phải chọn một mật khẩu mới. Nhưng làm thế nào để bạn chọn một khuôn mặt mới, hoặc vân tay, hoặc giọng nói? Mọi thứ kỹ thuật số đều dễ dàng sao chép hoặc ăn cắp và có thể được chia sẻ ngay lập tức trên toàn cầu. Một khi thông tin này bị đánh cắp, con mèo đã ra khỏi túi, thần ra khỏi chai, con ngựa kỹ thuật số đã ra khỏi chuồng ảo. Trò chơi kết thúc. Như một ví dụ, tin tặc đã đánh cắp hơn 5 triệu dấu vân tay số hóa từ Văn phòng Quản lý Nhân sự Hoa Kỳ năm ngoái. Những nhân viên đó không bao giờ có thể sử dụng bất kỳ loại xác thực dựa trên dấu vân tay nào cho phần còn lại của cuộc đời họ.
Nhưng đó chỉ là một khía cạnh cho vấn đề an ninh. Chất lượng sinh trắc học của bạn dễ dàng được người khác quan sát - và có thể sao chép chúng bằng các loại cảm biến tương tự đã được sử dụng để ghi lại chữ ký số của bạn ngay từ đầu. Nhận dạng khuôn mặt và hệ thống quét mống mắt có thể bị lừa bởi một bức ảnh. Dấu vân tay có thể được sao chép từ thứ bạn chạm vào. Hệ thống nhận dạng giọng nói có thể bị lừa bằng cách sử dụng các đoạn của bài phát biểu được ghi lại. Ngay cả khi hệ thống nhận dạng trở nên tốt hơn, do đó, các công cụ có thể được sử dụng để đánh lừa chúng. Ngoài ra, điều gì sẽ ngăn cản bạn bị ép buộc hoặc bị lừa cung cấp thông tin nhận dạng sinh trắc học này cho một số người khác bất chính? Bạn không cần phải sẵn sàng hoặc thậm chí có ý thức để cung cấp dấu vân tay hoặc quét khuôn mặt. Nếu bạn muốn nhận được thực sự grisly, một số thuộc tính vật lý của bạn thực sự có khả năng bị đánh cắp (Demolition Man, bất cứ ai?).
Thành thật mà nói, chúng tôi chỉ trầy xước bề mặt của vấn đề. Ai sở hữu chữ ký sinh trắc học của bạn? Thông tin này được lưu trữ ở đâu và như thế nào? Ai được phép truy cập dữ liệu này và bạn có quyền kiểm soát nào đối với quyền truy cập này? Đối với những mục đích nào khác, thông tin này có thể được sử dụng? Khi bạn chọn tham gia hệ thống này, có cách nào có ý nghĩa để chọn không tham gia không?
Vẫn còn hy vọng
Trong khi hệ thống mật khẩu hiện tại và xác thực hai yếu tố là cực kỳ đau đớn, tôi ở đây để cho bạn biết: xác thực sinh trắc học không phải là câu trả lời. Và có vẻ như mọi người đã nhận ra điều này.
Tuy nhiên, có một số giải pháp hứa hẹn khác. Ví dụ, một hệ thống xác thực mới được gọi là SQRL (phát âm là "squirrel") cho phép bạn chứng minh danh tính của bạn tới một trang web bằng cách sử dụng một thử thách thông minh và kỹ thuật phản hồi mà chỉ yêu cầu người dùng nhấp vào hình ảnh hoặc quét mã QR bằng điện thoại thông minh của họ Máy ảnh. Không có gì để người dùng nhập vào và do đó không có gì người dùng phải nhớ. Điều đó cũng có nghĩa rằng không có gì mà trang web cần phải cố gắng để lưu trữ mà có thể bị đánh cắp bởi tin tặc. Và chỉ để đóng băng trên bánh, bạn có một bản sắc độc đáo và 'vô danh' đối với mọi trang web - bảo toàn tính ẩn danh của bạn trên trang web đó và bảo vệ quyền riêng tư của bạn trên tất cả các trang khác.
Mọi thứ sẽ trở nên tồi tệ hơn trước khi họ trở nên tốt hơn, nhưng tôi tin rằng họ sẽ trở nên tốt hơn. Chúng tôi chỉ phải cẩn thận không để nhảy tàu trước khi chúng tôi thực sự đưa ra các giải pháp có thể giữ cho chúng tôi an toàn trong khi vẫn duy trì ít nhất khả năng ẩn danh và riêng tư.
Bạn nghĩ gì về tương lai của xác thực?
Bây giờ bạn đang ở cuối bài viết của tôi, tôi rất muốn nghe phản hồi của bạn về vấn đề này! Xin vui lòng để lại bình luận và nhận được một số cuộc thảo luận đi. Tôi sẽ nhảy theo thời gian để thêm hai xu của tôi, và trả lời câu hỏi của bạn là tốt nhất tôi có thể. Cảm ơn bạn đã đọc và đã tham gia vào cuộc trò chuyện.