Çelësat fizik të sigurisë eliminojnë phishing në google

Të gjithë e dimë që duhet t’i ruajmë fjalëkalimet tona, mirëpo prapë se prapë vjedhja e tyre po bëhet gjithnjë e më e përhapur. Mashtrimet phishing kanë arritur që të kenë sukses në mashtrimin e një numri të madh të njerëzve duke i komprometuar llogaritë e tyre online. Një nga mënyrat më të mira për parandalimin e mashtrimeve phishing është Autentikimi me dy-faktorë.

Për ata që nuk e dinë, phishing është një metodë e vjedhjës së të dhënave senzitive të llogarisë së viktimës nga një mashtrues, i cili pastaj të mund të veproi në emër të viktimës – si shfrytëzues legjitim. P.sh. mund të pranoni një e-mail për ri-vendosje të fjalëkalimit, që në shikim të parë duket që është dërguar nga banka juaj, por që mund të jetë thjeshtë një përpjekje për t’iu mashtruar, që ju të jepni të dhënat personale të qasjes në llogarinë tuaj bankare, në një faqe mashtruese – e cila ka pamjen e faqes legjitime të bankës tuaj.

Google pretendon se i ka eliminuar plotësisht sulmet e suksesshme phishing ndaj punonjësve të vet, jo përmes autentikimit me dy-faktorë, por përmes përdorimit të çelësave fizik të sigurisë dhe përmes Universal Second Factor, duke i dhënë secilit punonjës nga një pajisje USB, të cilat mund të blihen në amazon me $20, apo $50 apo versione më të shtrenjta.

Pajisjet USB janë çelësa fizik të sigurisë të cilët ofrojnë një mënyrë alternative të sigurisë me dy faktorë – e cila kërkon nga shfrytëzuesit të cilët kyçen në një faqe Interneti, të kyçen duke përdorë diçka që dinë (p.sh. fjalëkalimin) dhe diçka që kanë (p.sh. celularin).

Google filloi t`i fusë dhe të vlerësojë çelësat e sigurisë fizike që nga viti 2014, dhe deri në fillim të vitit 2017 të gjithë 85,000 punonjësve të Google iu kërkua t’i përdornin ato kur të hyjnë në llogaritë e kompanisë. Një zëdhënës i Google thotë se çelësat fizik të sigurisë janë baza e të gjitha qasjeve në llogari brenda kompanisë.

“Nuk kemi pasur asnjë raportim apo konfirmim për komprometim të ndonjë llogarie të punonjësve tanë që nga implementimi i çelësave fizik të sigurisë”.

Ideja e autentikimit me dy faktorë është që edhe nëse të zbulojnë fjalëkalimin, prapë se prapë llogaria juaj mbetet e sigurt derisa nuk e fusin nën kontroll edhe faktorin tuaj të dytë të sigurisë, që mund të jetë celulari juaj.

Për dallim nga kjo, një çelës i sigurisë implementon një lloj të autentikimit me shumë faktorë të njohur si Faktorizimi i dytë Universal (Universal 2nd Factor – U2F), i cili i mundëson shfrytëzuesit të kompletojë procesin e hyrjes (login) thjeshtë duke e futë pajisjen USB dhe duke e shtypur një buton në atë pajisje. Pajisja funksionon pa pasur nevojë për ndonjë softuer special për instalim.

Me të futur në kompjuter pajisjen për një ueb adresë që përkrahë çelësat e sigurisë, shfrytëzuesi nuk do të ketë më nevojë të futë fjalëkalime në atë ueb adresë.

Kjo gjithashtu mund të përdorët në pajisjet celulare nëse pajisja U2F e përkrahë NFC[1].

Po ashtu, zëdhënësi i Google, deklaron se vendimi për të përdorur çelësat e sigurisë fizike – Universal Second Factor (U2F) në vend të legalizimit me një fjalëkalim të bazuar në softuer (OTP[2]) u bazua në testimet e brendshme.

“Ne besojmë se çelësat e sigurisë ofrojnë mbrojtje më të fortë kundër phishing” – ka deklaruar një zëdhënës i Google përmes postës elektronike. “Ne bëmë një studim dyvjeçar që tregoi se autentifikimi me bazë në OTP kishte një normë mesatare dështimi prej 3% dhe me çelësat e sigurisë U2F kemi 0% dështim“.

KOMPANITË NË GARË PËR ÇELËSAT FIZIK TË SIGURISË

Çelësat fizik të sigurisë që zbatojnë U2F ishin pjesë thelbësore e Programit të Avancuar të Mbrojtjes në Google, i cili u zhvillua si një mënyrë për të mbrojtur llogaritë e përdoruesve me rrezikshmëri të lartë në Google. Një çelës fizik sigurie, si p.sh. një YubiKey, mund të vërtetojë një përdorues thjesht duke futur çelësin në një kompjuter, duke e goditur atë me një smartphone të aftë për NFC ose duke u lidhur me një pajisje iOS nëpërmjet Bluetooth.

Nadav Avital, menaxher i kërkimit të kërcënimeve në Imperva, me seli në Redwood Shores, Kaliforni, tha: “në një botë ideale”, më shumë kompani do të kërkonin autentifikim me shumë faktorë (MFA).

“Në përgjithësi çelësat fizik ofrojnë siguri më të mirë, sepse vërtetimi i bazuar në softuer mbështetet në një sekret të përbashkët midis klientit dhe ofruesit të shërbimit, i cili mund të zbulohet. Për fat të keq, shumica e njerëzve nuk përdorin [2FA ose MFA] pasi nuk i kuptojnë implikimet apo sepse preferojnë thjeshtësinë kundrejt sigurisë.” shkruan Avital me anë të postës elektronike. “Klientët mund të vuajnë nga mashtrimet, vjedhjet e të dhënave ose vjedhjet e identitetit, ndërkohë që kompania mund të pësojë dëmtime të reputacionit, dëmtime financiare nga paditë e mundshme dhe jo vetëm kaq.”

Richard Ford, shkencëtari kryesor në Forcepoint, një kompani kibernetike me seli në Austin, Texas, tha se shqetësimet rreth mënyrës më të mirë për të zbatuar 2FA mund të jenë të parakohshme, pasi “ne ende kemi kompani që përdoruesit e tyre përdorin fjalëkalime të thjeshta“.

Mateu Gardiner, ekspert për cybersecurity në Mimecast, një kompani e sigurisë në internet dhe e-mail me qendër në Lexington, Massachusetts, sugjeroi inkuadrimin e çështjes në drejtim të reduktimit të rrezikut. “Është e vështirë të përcaktoni rrezikun nëse nuk keni përjetuar një shkelje të kohëve të fundit. Përdorimi i MFA nuk është një ide teorike, tani është një praktikë më e mirë e sigurisë që është jashtëzakonisht e lirë dhe e lehtë për t’u përdorur nga shitësit e shumtë dhe ofruesit e shërbimeve cloud”

U2F është një standard në zhvillim e sipër i autentikimit me kod të hapur, dhe si të tillë vetëm një numër i faqeve e përkrahin, duke përfshirë Google, Dropbox, Github, LastPass, Facebook. Po ashtu shumica e menaxherëve të fjalëkalimeve e përkrahin këtë duke përfshirë Dashlane dhe Keeppass.