Никој не сака да памети бројни, долги и комплицирани лозинки. Но, ваквото нешто е задолжително доколку сакате да направите одредени напори за зачувување на приватноста и да заземете побезбеден став. Работите стануваат двојно очајни кога вашите паметно осмислени лозинки, кои со години сте ги внесувале само за да бидете побезбедни, станат откриени од хакери и злоупотребени за различни цели. Поради сево ова, едно прашање постојано се наметнува: До кога ќе мораме да користиме лозинки и како е можно сѐ уште да нема некое подобро и по револуционерно решение?
Има одредени позитивни поместувања во процесот на автентикација, како во ситуацијата со двонасочна автентикација или биометриско најавување. Но, и покрај сево ова, сепак се случуваат бројни безбедносни нарушувања, дури и без вмешување прсти од хакери. Не толку одамна, Обединетите Нации не сакајќи објавија лозинки на нивните вработени така што јавно ги споделија на Trello и во Google Docs. Додадете на вакви испади и активности на хакери, како неодамнешниот напад на Facebook, кој беше заснован на системи за автентикација со слаби лозинки, и ќе добиете милијарда од украдени лозинки. Ќе се изненадите колку луѓе им се радуваат на лозинките низ пазарите на мрачната мрежа.
Зошто и понатаму се користат лозинки?
Бројни експерти на полето објаснуваат дека за да стапи на сила некоја поефикасна метода, потребно е да се земат во предвид многу фактори. Треба да се размисли за бројните предности и недостатоци во поглед на безбедноста, употребата, достапноста, и, нормално, трошоците. Се објаснува дека многуте технологии сѐ уште не се овозможени во сите форми и не се целосно достапни до сите направи со интернет пристап. Принципот со внесување лозинка не само што е најевтина, туку и наједноставна форма за имплементација во сајтовите и апликациите. Сè што недостасува во равенката на ваквото размислување е да го вметнете и човечкиот фактор, односно верувањето дека вие и вашата компанија нема шанси да бидете хакнати и дека не им сте вие од интерес на нив.
„Немање желба и ресурси да се променат моментните решенија, го забавува прифаќањето на новите решенија за автентикација без лозинки“, вели Алекс Момот, извршниот директор на REMME, стартап кој развива систем за автентикација.
Земајќи го сево ова во предвид, се добива бледа слика за тоа зошто се работите такви какви се. Но, тоа не значи дека не треба да се преземаат дополнителни мерки за справување со застарениот начин на автентикација. Тука во игра доаѓа GDPR.
Колку е моќна регулативата за заштита на податоци?
Со цел да се искорени човечкиот фактор од равенката, на сила стапува регулативата за заштита на податоци (General Data Protection Regulation). Според регулативата, компаниите треба да се придржуваат од одредени правила за начинот на кој собираат и обезбедуваат податоците на корисниците, односно нивните вработени. За оние компании кои нема да се придружуваат до правилата на регулативата следат строги казни. Проблемот со оваа регулатива е тоа што таа може да се засилува само кај членките на Европска Унија. Добрата страна во сето ова е тоа што многу компании, кои не се припадници на ЕУ, соработуваат со регионот и сметаат дека ова е златниот стандард за безбедност.
„Во време кога сè повеќе и повеќе компании прифаќаат силни методи на автентикација, а сè повеќе и повеќе безбедносни проблеми се поради компромиси со лозинката, ќе биде исклучително тешко еден бизнис да се оправда пред GDPR регулаторот и да докаже дека автентикација со само лозинка е соодветна метода за безбедност. Наоѓање во таква ситуација само ја изложува компанијата на трошоци кои се значително повисоки од трошоците кои се потребни за правилна миграција од лесен на комплициран метод за автентикација.“, објаснува Брет Мекдовел, извршен директор на FIDO сојузот.
Од друга страна, регулации како Payment Sevices Directive 2, или PSD2 бараат двонасочната автентикација да е задолжителна. Паралелно со тоа, оваа регулатива за е-трговија и онлајн финансиски сервиси, строго охрабрува употреба на безбедносни карти, мобилни направи, и биометрисни скенери.
Националниот институт за стандарди и технологија (National Institute of Standards and Technology, анг), предлага автентикација каде „вашата модерна направа создава и користи криптографски приватни клучеви за најава и безбедно ги складира во вашата лична направа, на ист начин како поголемиот број паметни телефони безбедно ги складираат податоците за вашите отпечатоци“, вели Мекдовел и одлично нè доведува до следното важно прашање.
Што би можело да ја замени автентикацијата со лозинки?
FIDO Authentication е технологија која од петни жили се труди да ја искорени потребата за автентикација со лозинки. Технологијата е заснована на бесплатни и отворени стандарди и се развива во партнерство со W3C (World Wide Web Consortium). Примарната цел е да создаде компатибилност помеѓу направите и сервисите и ќе овозможи на целата индустрија услови за лесна интеграција на технологијата во нивните продукти и платформи.
Во склоп на предлогот на NIST, FIDO ги заменува лозинките со јавна криптографија со клучеви. Наместо лозинки, корисниците се идентификуваат со парови од јавни и приватни клучеви. Па така, сè што е шифрирано со јавен клуч, може да биде дешифрирано со соодветен приватен клуч. PC Magazinе одлично ја објаснува целата работа и вели дека кога корисник ќе се најави на некој онлајн сервис кој поддржува FIDO автентикација, сервисот создава пар од клучеви и го складира јавниот клуч на неговите сервери. Приватниот клуч, меѓутоа, оној клуч кој е потребен за дешифрирање, се складира само на направата на корисникот. Кога ќе се логирате на саканиот сервис, апликацијата прикажува одреден криптографски предизвик кој е создаден од јавниот клуч, но ноже да биде решен само со приватниот клуч. За да се дојде до приватниот клуч, корисниците треба првин да извршат препознавање преку нивната направа, дали преку отпечаток, лице, или внесување PIN. Дури тогаш го отклучувате приватниот клуч и го решавате предизвикот.
Не звучи комплицирано, но e значително побавно од едноставно внесување лозинка, нели?
Предноста на овој модел е тоа што нуди неколку слојна автентикација, без да бара складирање и разменување лозинки. PCМ објаснуваат дека дури и да успеат хакерите во напад на серверите на провајдерот, тие ќе добијат пристап само до јавните клучеви, кои се бескорисни без нивните соодветни приватни клучеви. Тогаш хакерите ќе мора да ја украдат направата на корисникот, но, дури и тоа да се случи, има друга низа од предизвици, како отклучување на телефонот и поминување низ други процеси на автентикација за преземање на приватниот клуч. За корисникот, ова можеби се чини како побавен процес на автентикација, но се елиминира потребата од паметење и внесување долги, комплексни лозинки за секој акаунт. Како што прочитавме на почетокот, паметење лозинки е мачен, но крајно небезбеден процес.
Најголемиот предизвик на FIDO е добивање целосна поддршка од индустријата. И покрај ова, FIDO успеа да создаде сојуз со големите имиња како Google, Microsoft, Amazon, и Intel. Сојузот веќе работи на стандарди кои би можеле лесно да се имплементираат на најразлични видови направи и оперативни системи.
Неодамна, FIDO произлезе со интересно проширување. Наречено FIDO2, проширувањето воведува поддршка за автентикација на јавни клучеви преку прелистувачи и бројни апликации. Стандардот е поддржан од Windows 10, Google Play Services, како и кај прелистувачите Chrome, Firefox, и Edge. Наскоро се очекува, на листата од поддржани прелистувачи, да се најде и технологијата WebKit, односно прелистувачот на Apple – Safari.
„FIDO2 стандардот овозможува замена на автентикацијата со слаби лозинки со силна автентикација која е заснована на криптографија со јавни клучеви“, објаснува Еренсвард, сопственик на компанијата Yubico и клучен претставник од FIDO. Стандардот дозволува автентикација без лозинки во неколку форми, неисклучувајќи ги можностите за кои произлегуваат од USB и NFC предностите. Со ова се подобрува корисничкото искуство и драстично се подобрува безбедноста и продуктивноста“.
До кога ќе мораме да користиме лозинки?
Уште многу долго време. Момот, извршниот директор на REMME, објаснува дека имаме премногу софтвер и системи за кои не е секогаш можно да се лесно променат претходно воспоставените правила за автентикација. Други експерти веруваат дека лозинките ќе ја задржат клучната улога за идентификување корисници и дека приоритетот треба да биде на подобрување на искуството кое корисниците го имаат со лозинките. Палфај, пак, чија компанија го осмисли LastPass, објаснува дека паметење уникатни, комплексни лозинки за сета наша работа и лични акаунти е метод кој се коси со нашата природа и дека е подобро да се користат менаџери за лозинки каде се памети само една главна лозинка.
Но, Мекдовел мисли дека крајот на лозинките се гледа.
„Денеска, апликација по апликација, иднината без лозинки станува реалност. За неколку години, очекувам дека сервисите кои ќе бараат автентикација со лозинки да бидат ретки како што сега се ретки јавните телефонски кабини.“
[…] Никој не сака да памети бројни, долги и комплицирани лозинки. Но, ваквото нешто е задолжително доколку сакате да направите одредени напори за зачувување на приватноста и да заземете побезбеден став. На темата пишувавме подетално тука! […]