Как правильно аутентифицировать пользователя на смартфоне?

Каким будет хороший способ аутентификации пользователя на смартфоне? Под хорошим я подразумеваю, что он безопасен и удобен в использовании. Пароли кажутся не самыми лучшими, потому что пароль должен быть длинным, чтобы быть безопасным, но сложно набрать длинный пароль на смартфоне. Некоторые мысли, о которых я начал думать, касаются биометрических показателей (например, возможно, распознавание лиц) и/или токена. Меня интересует этот вопрос при аутентификации по телефону. Как указывалось в комментариях, мой исходный вопрос был слишком широким, поэтому я разделяю вторую часть на другой вопрос: как лучше всего аутентифицировать пользователя на веб-сайтах и ​​в приложениях с помощью смартфона?


Посмотрите методы аутентификации для разблокировки телефонов. В моей галактике S4 есть:

  • Размах (без защиты)
  • Разблокировка по лицу (низкая безопасность)
  • Лицо и голос (низкий уровень безопасности)
  • Шаблон (средний уровень безопасности)
  • ПИН (от среднего до высокого)
  • Пароль (высокий)

По личному опыту, разблокировка по лицу — это довольно сложно. Вы должны тренировать его, а затем вы должны выставить лицо в правильном свете, чтобы на нем ничего не было, чтобы разблокировать телефон. Также учитывайте людей с ограниченными возможностями или травмами — кто-то, кто получил ожоги в результате несчастного случая, будет заблокирован от своего устройства! Также было проведено исследование, чтобы победить механизм распознавания с помощью изображений, и это довольно легко сделать, потому что любой может увидеть ваше лицо.

Как вы сказали, пароль очень сложно ввести. На крошечных телефонных клавиатурах заглавные буквы очень трудны.

Однако два метода аутентификации, которые я считаю наиболее простыми с точки зрения пользователя, — это ПИН-код и шаблон. Узор можно снять с экрана маслом (отбелить) так, что он ослабнет.

Большая клавиатура только для цифр с произвольным расположением цифр — хороший компромисс между удобством использования и безопасностью. Установите штырь минимальной длины (например, 10), и вы сможете обеспечить безопасность, сопоставимую с паролем.


Вы не упоминаете, для какой службы он предназначен, но как пользователя для меня наименее раздражающий метод авторизации на телефонах — это SSO. Я уже вошел в Google и Facebook, так что обычно это просто случай нажатия «Да», и все готово.

2


Если у вас есть номер мобильного телефона пользователя (и если пользователь подтверждает во время регистрации, что этот номер телефона может получать текстовые сообщения), вы можете использовать эту возможность, чтобы включить Двухэтапная аутентификация с помощью SMS. После успешной аутентификации с использованием имени пользователя и пароля сделайте еще один шаг. Отправьте пользователю текстовое сообщение с помощью API провайдеру шлюза SMS, например Twilio или Plivo (это стоит денег, но цены для поставщиков шлюза SMS в США очень низкие).. Текстовое сообщение, которое вы им отправляете, будет содержать случайно сгенерированное целое число, которое вы создаете для них, может быть длиной от 6 до 8 цифр. Позвольте пользователю ввести это целое число в поле формы и аутентифицировать его с его помощью. Чтобы пользователю было проще вводить его, вы можете настроить поле формы так, чтобы на его экране отображалась клавиатура набора номера, содержащая только цифры для кнопок, например:

    

После отправки форма с правильным целым числом, полученная в текстовом сообщении, полностью аутентифицирована. Эта форма двухэтапной аутентификации гарантирует, что пользователи не только что-то знают (правильное имя пользователя и пароль), но и что-то имеют (случайное число, полученное в реальном времени через текстовое сообщение), повышая безопасность вашего приложения.

Убедитесь, что вы заранее полностью проинформировали пользователя о том, что его оператор мобильной связи может взимать с него плату за получение текстового сообщения.

5


Лучше всего использовать стандартные методы, упомянутые в ответе Ohnana, вдоль strong Двухфакторная аутентификация с использованием U2F.

YubiKey NEO от Yubico позволяет безопасную двухфакторную аутентификацию по TLS-каналу, даже по NFC, если я правильно помню спецификацию. Вы используете аппаратный модуль безопасности, поэтому это, в сочетании с надежным неудобным паролем, будет очень надежным способом проверки того, что пользователь является тем, кем они себя называют.

Еще более безумным было бы написать драйвер смарт-карты GPG для Android, который использовал бы апплет OpenPGP в упомянутом YubiKey NEO для одноразового вызова, инициируемого сервером/телефоном, когда пользователь введите ключ на свою смарт-карту, чтобы расшифровать, подписать и вернуть запрос с сервера/телефона. Однако вам понадобится USB-ключ, поскольку для GPG протокола NFC нет, если я правильно помню.

Нет предела. Убедитесь, что телефон зашифрован с помощью надежной неудобной парольной фразы, и отключите его, если более 5 неудачных попыток входа в систему.


Вы можете использовать некоторые форма связи ближнего радиуса действия.

Например, напишите несколько тегов, которые разблокируют телефон при прикосновении к задней части.

Еще одна хорошая вещь, которую стоит проверить, — это Юбики: https://www.yubico.com/products/yubikey-hardware/yubikey-2/


Вы также должны учитывать конкретный смартфон (iOS, Android, Windows и т. д.), поскольку разные телефоны различаются по способу работы и функциям, которые они предоставляют..

Apple открыла доступ к Touch ID в iOS 8. Итак, для устройств Apple вы можете потребовать от пользователя войти в систему в первый раз, используя свой пароль. После входа сервер может предоставить уникальный ключ для этого устройства. Сохраните этот ключ в цепочке для ключей и разрешите последующие входы в систему для разблокировки через Touch ID API.

Вы добавляете пару возможных проблем безопасности, о которых я знаю.

  1. Вы храните на устройстве то, что по сути является эквивалентом пароля. Несмотря на то, что он зашифрован, он по-прежнему хранится локально и может быть расшифрован. Здесь вы можете смягчить некоторые проблемы, потребовав пароль для некоторых операций. Обязательно при смене пароля; но могут быть и другие случаи.

  2. Touch ID можно взломать, получив отпечатки пальцев владельца с самого устройства.

Несмотря на это, вы поощряете пользователей использовать более надежные пароли. И это должно обеспечить лучшую безопасность в целом.

2


Предпосылка этого Вопрос немного ошибочен, потому что подразумевает, что существует универсальный ответ. Это не так. Аутентификация должна соответствовать требованиям приложения и пользователя. Некоторые приложения/устройства нуждаются в большей защите, чем другие. Точно так же некоторым пользователям требуется больше защиты, чем другим.

Я думаю, что лучший подход — разрешить ряд вариантов и позволить пользователю выбирать тот вариант, который они предпочитают. Недостаток этого подхода в том, что некоторые люди просто выберут самый простой и удобный метод. Однако решение этой проблемы на самом деле связано с повышением осведомленности пользователей. Принудительное решение по линии «Мы знаем лучше всех» вряд ли получит большую поддержку и расстроит некоторых пользователей, которые могут правильно оценить свою подверженность риску и просто найдут навязанное решение неудобным или несовместимым с их требованиями.

Для целей аутентификации на обычном устройстве, таком как телефон, вам, вероятно, потребуется охватить три основных подхода, то есть что-то, что пользователь знает (например, пароль), что-то, что у пользователя есть (например, токен, возможно аппаратное обеспечение, сгенерированное с помощью электронного ключа или кода SMS и т. д.), и что-то, что пользователь является биометрическим — отпечаток пальца, голосовой отпечаток и т. д. Тем не менее, ключ будет в том, чтобы позволить пользователю выбрать, хочет ли он просто пароль/пин-код или комбинацию. Моей 15-летней дочери, вероятно, понадобится только булавка, но это нормально, поскольку все, для чего она действительно использует свой телефон, — это facebook. С другой стороны, я работаю в сфере безопасности, имею доступ к конфиденциальным данным и хочу большей защиты, поэтому я могу использовать биометрические данные, пароль и токен.

Для конкретных приложений подход должен быть аналогичным, но его можно упростить. Приложение имеет более определенный профиль использования. Это означает, что вы можете более точно оценить риски безопасности.. Если в приложении мало конфиденциальных данных и мало «пользы» для неавторизованных лиц, может быть достаточно простого PIN-кода или пароля. По мере увеличения рисков вам необходимо расширить диапазон доступных методов аутентификации. В некоторых случаях, когда конфиденциальность данных превышает определенный порог, вы можете установить минимальный стандарт.

Еще одна вещь, которую следует учитывать, — это обучение пользователей и доступные решения, которые могут немного упростить эту работу. Например, может быть целесообразно поощрять использование приложения для управления паролями. Это может уменьшить влияние/неудобство ввода длинных/сложных паролей на небольшом экране мобильного устройства. У вас может быть приложение для управления паролями, в которое вы входите один раз в начале сеанса, и с этого момента всякий раз, когда вы переходите на сайт/приложение, для которого требуется пароль, менеджер паролей заполняет данные для вас. Некоторые из лучших даже поддерживают двухфакторные и биометрические системы. Очевидно, здесь нет серебряной пули, но они могут устранить некоторые неудобства, связанные с аутентификацией, лишь с небольшим увеличением риска, который вполне может быть компенсирован использованием более случайных и надежных паролей и т. Д.



Определение аутентификации

В вычислениях , аутентификация — это процесс проверки личности человека или устройства. Типичный пример — ввод имени пользователя и пароля при входе на веб-сайт. Ввод правильной информации для входа позволяет веб-сайту узнать 1) кто вы и 2) что на самом деле вы заходите на веб-сайт.

Хотя комбинация имени пользователя и пароля является распространенным способом аутентификации вашей личности, существует множество других типов аутентификации. Например, вы можете использовать четырех- или шестизначный пароль для разблокировки телефона. Для входа на портативный или рабочий компьютер может потребоваться единый пароль. Каждый раз, когда вы проверяете или отправляете электронную почту, почтовый сервер проверяет вашу личность, сопоставляя ваш адрес электронной почты с правильным паролем. Эта информация часто сохраняется в вашем веб-браузере или почтовой программе, поэтому вам не нужно вводить ее каждый раз.

Биометрия также может использоваться для аутентификации. Например, многие смартфоны имеют датчик отпечатков пальцев, который позволяет разблокировать телефон простым касанием большого пальца или пальца. В некоторых учреждениях есть сканеры сетчатки глаза, которые требуют сканирования глаз, чтобы позволить уполномоченным лицам получить доступ к защищенным зонам. Face ID от Apple (представленный в iPhone X) аутентифицирует пользователей с помощью распознавания лиц.

Двухфакторная аутентификация

Аутентификация — это часть повседневной жизни в эпоху цифровых технологий. Хотя это помогает сохранить конфиденциальность вашей личной информации, это не является надежным. Например, если кто-то знает ваш адрес электронной почты, он или она может получить доступ к вашей учетной записи, просто угадав ваш пароль.. Вот почему важно использовать необычные пароли, которые трудно угадать, особенно для учетных записей электронной почты. Также рекомендуется использовать двухфакторную аутентификацию, когда она доступна, поскольку это обеспечивает дополнительную проверку безопасности при доступе к вашей учетной записи.

Для двухфакторной аутентификации (также «2FA») обычно требуется правильная логин плюс еще одна проверка. Например, если вы включите 2FA для своего банковского счета в Интернете, вам может потребоваться ввести временный код, отправленный на ваш телефон или адрес электронной почты, чтобы завершить процесс входа в систему. Это гарантирует, что только вы (или кто-то, имеющий доступ к вашему телефону или учетной записи электронной почты) можете получить доступ к вашей учетной записи, даже после ввода правильной информации для входа.

ПРИМЕЧАНИЕ. Во многих случаях вы можете установить флажок «Запомнить меня» при входе на защищенный веб-сайт. При этом на вашем устройстве (компьютере, телефоне, планшете и т. Д.) Будет сохранен файл cookie, который указывает, что устройство является доверенным или ранее аутентифицированным для этого веб-сайта. Файл cookie может удерживать вас в системе в течение нескольких сеансов браузера или может предотвратить необходимость в двухфакторной аутентификации при использовании этого устройства в будущем.

Оцените статью
clickpad.ru
Добавить комментарий