Fing­ur, auga eða rödd í stað lyk­il­orða

Búast má við að í náinni framtíð muni lykilorð á netinu víkja fyrir nýjum aðferðum til auðkenningar, s.s. skönnun á fingraförum eða augasteinum eða raddgreiningu. Ástæðan er sú að lykilorð veita ekki lengur þá vörn sem þau gerðu í árdaga internetsins.
25. apríl 2017 - Landsbankinn

Frá aldamótum hafa lykilorðin mætt margvíslegu mótlæti. Of mörg veik lykilorð eru í umferð auk þess sem fólk hefur ríka tilhneigingu til að samnýta þau á mörgum vefsíðum. Hakkarar hafa nú betri tæki en áður til að brjótast inn á læst vefsvæði með því að láta vélbúnað reikna út og prófa lykilorð. Þá verður að hafa í huga að lykilorð verja notanda aðeins meðan á innskráningu stendur. Eftir að inn á læsta svæðið er komið, veitir lykilorðið ekki vörn lengur. Lykilorðið veitir heldur ekki vörn þegar notandi er óinnskráður á læsta svæðið. Erfitt getur verið að muna löng og flókin lykilorð, sérstaklega þar sem alls ekki er mælt með því að samnýta lykilorð á mörgum ólíkum vefsvæðum.

Öryggiskerfi styðja við lykilorðin

Þeir sem reka læstar vefsíður leggja nú vaxandi áherslu á aðra þætti en eingöngu lykilorð, einkum á áhættumat sem byggir á hegðunarvenjum eða -mynstri notandans. Dæmi um slíkt áhættumat er ásláttareinkenni, þ.e. hversu hratt notendur rita á lyklaborðið, hvaða stöfum þeir hafa tilhneigingu til að hika á og hversu hratt þeir teygja eða færa fingur á milli stafa á lyklaborðinu.

Algeng birtingarmynd þessa er þegar verslunarvefur biður notandann að endurtaka lykilorðið eftir að inn á læsta svæðið er komið. Það gerist til dæmis þegar notandi uppfærir viðkvæmar upplýsingar eða staðfestir fjárhagslega aðgerð. Búið er að taka í notkun tækni sem greinir ásláttareinkennin áður en inn á læsta svæðið er komið, en á því augnabliki er notandinn auðvitað óþekktur. Þegar notandinn er búinn að slá inn lykilorðið kannar kerfið hvort ásláttareinkennin komi heim og saman við önnur auðkenni, s.s. lykilorð. Þetta er mögnuð tækni.

Fjölþátta öryggi: Eitthvað sem þú veist, hefur, gerir og ert.

Fjölþátta öryggi: Eitthvað sem þú veist, hefur, gerir og ert.

Úr eins þáttar öryggi í fjölþátta öryggi

Í stuttu máli má lýsa þróunarsögu lykilorða á eftirfarandi hátt:

  1. Í upphafi var svonefnt eins þáttar öryggi: Lykilorð.
  2. Síðan kom tveggja þátta öryggi: Lykilorð og auðkennislykill (eða ígildi hans).
  3. Þá kom þriggja þátta öryggi: Lykilorð, auðkennislykill og hegðun (þar á meðal aðstæður).

Þróuninni má einnig lýsa svo:

  1. Eitthvað sem notandinn veit (t.d. lykilorð).
  2. Eitthvað sem notandinn hefur (t.d. auðkennislykill, kort, SMS).
  3. Eitthvað sem notandinn gerir (t.d. mynsturgreining).

 Í reynd er þriggja þátta auðkenning ekki réttnefni og réttara að tala um fjölþátta auðkenningu (e. multilayer). Mynsturgreiningin er aðeins eitt dæmi um þetta þriðja lag og einskorðast einkum við umhverfisgreiningar (vafra, viðbætur, tæki, stýrikerfi, skjáupplausn, tímasetningu, staðsetningu o.fl.). Öryggisheimurinn hefur verið gagnrýndur fyrir að tefla fram lausnum sem eru ekki sérlega notendavænar. Fjölþátta auðkenningu er einmitt ætlað að setja þægindi notandans í öndvegi.

Raddgreining eða augnskönnun í farsíma

Hraðar tækniframfarir, ekki síst í gerð farsíma, valda því að brátt má búast við að notast verði við auðkenningu sem byggir á líftækni, t.d. fingrafaraskönnun, augnskönnun eða raddgreiningu. Notandi mun þá þurfa að staðfesta auðkenni sitt með því að bera fingur að skanna, setja myndavélina á símanum upp við auga eða með því að tala í raddgreiningarforrit.

Því er hægt að bæta við fjórða punktinum:

4. Eitthvað sem notandinn er (t.d. fingraför, augnsteinar og rödd)

Í vaxandi mæli er síðastnefndu þáttunum spyrt saman: Eitthvað sem notandinn gerir – og eitthvað sem hann er. Í stað þess að tala um fjögurra þátta auðkenningu, fimm þátta og þannig koll af kolli, er talað um fjölþátta auðkenningu. Hún er í dag eitt sterkasta vopnið í þágu netöryggis – og erfiðasta viðfangsefni hakkara.

Þú gætir einnig haft áhuga á
Netöryggi
13. jan. 2023

Varist svik í gegnum samfélagsmiðla – aldrei framsenda SMS-kóða

Við viljum vara viðskiptavini okkar við netsvikum, sérstaklega svikum sem fara fram í gegnum samfélagsmiðla og skilaboðaforrit, en mikið hefur borið á þeim undanfarið.
Öryggi í netverslun
4. nóv. 2022

14 góð ráð til að auka öryggi í netverslun

Verslun á netinu er ekki hættulaus, tölvuþrjótar leggja mikið á sig til að stela greiðsluupplýsingum eða svíkja fé út úr fólki með öðrum hætti. Hér fyrir neðan eru nokkur einföld ráð til að minnka hættuna á netsvikum.
Netöryggi
7. sept. 2022

Fræðsluefni um varnir gegn netsvikum

Við höfum tekið saman aðgengilegt fræðsluefni um hvernig hægt er að þekkja netsvik og verjast þeim.
8. júlí 2022

Mundu eftir netörygginu - líka þegar þú ert í fríi

Tilraunum til hvers kyns netsvika hefur fjölgað mikið og reynslan sýnir að þeim fjölgar á sumrin. Ástæðan er talin vera sú að netsvikarar vonast eftir því að þá sé fólk sé kærulausara og sé líklegra til að taka þátt í fölskum Facebook-leik, smella á hlekk í hugsunarleysi eða skoða ný „fjárfestingartækifæri“.
12. maí 2022

Ekki smella á hlekkinn – og ekki falla í gildruna

Notkun á tölvum og símum er stór hluti af okkar daglega lífi og því nauðsynlegt að vera meðvituð og upplýst um hætturnar sem leynast á netinu.
New temp image
8. mars 2022

Upptökur af fróðlegum fundi um netöryggismál

Landsbankinn stóð fyrir vel heppnuðum fundi um netöryggismál fimmtudaginn 3. mars 2022. Á fundinum var m.a. fjallað um hvernig skipulagðir glæpahópar beina spjótum sínum að einstaklingum og fyrirtækjum og hvernig verjast má atlögum þeirra.
2. mars 2022

Tinder-svindlarinn og hætturnar á netinu

Tilraunir til fjársvika á netinu aukast stöðugt og dæmi eru um að Íslendingar hafi tapað milljónum til svindlara á netinu. Oft er verið að spila með tilfinningar og góðmennsku fólks og mikilvægt að fólk þekki einkenni svikatilrauna, hvort sem þau beinast gegn þér eða þínum nánustu.
Netöryggi
4. nóv. 2021

Hvernig get ég varist kortasvikum?

Það er mjög mikilvægt að lesa vandlega öll skilaboð sem koma frá bankanum þínum, kortafyrirtækjum, þjónustuaðilum eða verslunum áður en þú gefur upp greiðsluupplýsingar eða samþykkir greiðslu. Með því að fara vandlega yfir skilaboðin getur þú dregið verulega úr hættunni á að verða þolandi kortasvika.
12. apríl 2021

Þekkt vörumerki notuð til að svíkja út peninga

Undanfarið hefur borið meira á tilraunum til svonefndra vörumerkjasvika sem ganga út á að villa um fyrir fólki með gylliboðum í nafni þekktra fyrirtækja og lokka það inn á vefsíður fjársvikara. Nýverið birtust færslur á Facebook með fölsuðum skjámyndum úr íslenskum bankaöppum, í einmitt þessum tilgangi.
8. okt. 2020

Fræðsla og umræða um netöryggi ber árangur

Þrátt fyrir að meira sé nú um tilraunir til hvers kyns netsvika falla færri í gildruna. Það sem af er árinu 2020 hefur fjársvikamálum á netinu, þar sem svikin takast og tjón verður, fækkað um helming miðað við sama tíma árið 2019. Við teljum að þróunin sé að mestu leyti fræðslu og umræðu um netöryggi að þakka en kórónuveirufaraldurinn hefur líka sín áhrif.
Vefkökur

Með því að smella á “Leyfa allar” samþykkir þú notkun á vefkökum til þess að auka virkni vefsins, greina vefnotkun og aðstoða við markaðssetningu.

Nánar um vefkökur