Moartea parolei?
Reading Time: 6 minuteBill Gates prevestea in 2014 ca parolele traditionale vor disparea, fiindca nu pot proteja cu adevarat informatiile critice. Dupa mai mult de un deceniu, profetia lui nu s-a adeverit, dar au aparut noi tehnologii care pot in sfarsit schimba totul.
Ne pare rau, dar parola pe care ati introdus-o este gresita. Ca sa dovediti ca sunteti om si nu bot, va rugam sa introduceti textul din imaginea alaturata. Nu intelegeti ce scrie in imagine? Dati refresh la pagina. Tot nu merge? Ne pare rau, nu puteti accesa contul. Cine n-a trecut cel putin o data prin acest cosmar? Intr-o societate si economie care se bazeaza tot mai mult pe computere, internet si telefoane inteligente, trebuie sa tinem minte tot mai multe parole sau sa folosim aplicatii care le tin minte pentru noi si sa nu uitam parola „master”. Si una e sa nu poti intra in contul de Facebook, ca sa pui o poza din vacanta, si cu totul altceva sa nu poti accesta contul de mail pentru a trimite un mesaj de business urgent. Rezultatele? De frica sa nu uite parolele, oamenii aleg cuvinte sau combinatii prea simple pentru a oferi o protectie reala – 12345 ramane cea mai folosita parola de catre utilizatori, dupa cum arata bazele de date „sparte” de hackeri. Si cum sa nu le uitam, cand ni se cer combinatii de litere (normale si de tipar), cifre si alte simboluri, ba chiar unele servicii online obliga utilizatorii sa-si schimbe periodic parola?
Dar, daca e atat de incomoda, de ce parola nu a murit pana acum? Domnia sa absoluta in domeniul securitatii cibernetice a fost prelungita de faptul ca, pana de curand, lipseau tehnologiile suficient de simple si ieftine care sa o inlocuiasca. Parola este folosita din necesitate. Insa raspandirea smartphone-urilor si progresele tehnologiilor biometrice incep sa schimbe lucrurile, iar publicul vrea solutii mai sigure de acces, dupa ce o serie de atacuri reusite au dovedit slabiciunile evidente ale parolei. La finalul anului trecut a intrat in scena Alianta FIDO, care include nume mari precum Microsoft, Google, VISA, MasterCard, PayPal si nu numai, care a lansat un set de specificatii pentru un sistem care sa inlocuiasca definitiv parola asa cum o stim.
FIDO ofera utilizatorilor doua optiuni: o metoda de logare fara parole si una cu autentificare in doi pasi. In primul caz, la inregistrarea intr-un nou serviciu, aplicatie sau site care foloseste tehnologia FIDO, utilizatorul alege modalitatea de autentificare, care poate fi sub forma unui PIN sau a unui element biometric – amprenta, o fraza sau recunoasterea faciala. Autentificarea in doi pasi este si mai sigura si cei care au ales aceasta optiune in cazul Gmail, de exemplu, stiu acest lucru. Desigur, se bazeaza tot pe parola, dar cel care se logheaza are nevoie de inca un element, cum ar fi un cod primit prin SMS sau un stick USB special, pentru a-si dovedi identitatea. In ambele cazuri, informatiile de autentificare sunt stocate si criptate pe dispozitivul utilizatorului, nu pe servere.
Noutatea nu pare prea mare, avand in vedere ca smartphone-uri ca iPhone 6 sau Samsung Galaxy S5 ofera deja autentificarea pe baza de parola, numai ca FIDO nu se adreseaza direct utilizatorilor finali, ci reprezinta un sistem software care poate fi usor incorporat gratuit in aplicatii si site-uri pentru a le securiza. Amprenta e o solutie buna pentru un smartphone, dar o „cheie” USB e mult mai potrivita in cazul unui laptop. PayPal a introdus FIDO in aplicatia sa de Android pentru folosirea cu senzorul de amprente de pe Galaxy S5, iar Google permite folosirea de chei USB compatibile cu FIDO in autentificarea in doi pasi pe site-urile sale de pe PC-uri si laptopuri. Nok Nok Labs, care a elaborat tehnologia, are deja solutii disponibile pentru dezvoltatorii de aplicatii Android si iOS, ceea ce va ajuta la raspandirea FIDO. Desigur, asta nu inseamna ca FIDO va fi standardul castigator, desi este sprijinit de nume mari, mai ales ca de pe lista acestora lipseste un nume important – Apple, cunoscut pentru faptul ca prefera sa dezvolte tehnologii proprii. Un alt obstacol ar putea fi legat de reticenta companiilor de a-si regandi sistemul de autentificare pentru a se adapta la noua tehnologie.
Sistemele biometrice bazate pe amprente, recunoastere vocala sau faciala, scanarea irisului, ba chiar si pe ritmul cardiac, promit o securitate sporita, dar nu sunt lipsite de probleme. Sigur, se bazeaza pe caracteristici unice ale fiecarui om. Hackerii nu-ti pot ghici amprenta, iar tu nu o poti uita sau pierde. Un alt avantaj este ca amprenta, vocea sau alt indicator biometric pot fi folosite fara probleme pentru orice site sau serviciu, deci nu mai trebuie sa tineti minte zeci de parole. Cealalta fata a monedei este insa legata de flexibilitate si disparitia anonimitatii. In plus, autentificarea biometrica necesita hardware si software special. Tot mai multe smartphone-uri au senzori de amprente, dar va mai dura ani buni pana cand acestea vor ajunge la suficient de multi oameni. Va urma apoi batalia standardelor, pentru ca sistemele sa poata comunica eficient intre ele si sa te poti loga peste tot cu aceeasi metoda.
Daca cineva iti fura parola, o poti schimba din cateva clicuri. Daca cineva reuseste sa-ti imite semnatura biometrica (Tom Cruise in „Misiune imposibila” va spune ceva?), nu poti cere una noua.
Apoi, recunoasterea biometrica nu este perfecta. Daca la parola este clar cand ati gresit chiar si o litera, senzorii biometrici lucreaza cu anumite niveluri de toleranta, fiindca nu veti atinge senzorul, privi camera sau vorbi la microfon exact la fel de fiecare data. Vor exista mereu mici variatii. Daca toleranta e prea mica, autentificarea va fi respinsa de prea multe ori, daca e prea mare, va fi acceptata si in cazurile in care nu este reala. De aceea hackerii au pacalit senzorul de amprenta de la iPhone 5S in 48 de ore de la lansare.
Poate cea mai serioasa problema, la care multi nici nu se gandesc atunci cand promoveaza cu insistenta autentificarea biometrica, este faptul ca aceasta se bazeaza pe ceva ce nu poate fi schimbat. Daca cineva iti fura parola, o poti schimba din cateva clicuri. Daca cineva reuseste sa-ti imite semnatura biometrica (Tom Cruise in „Misiune imposibila” va spune ceva?), nu poti cere una noua. Autentificarea biometrica e aceeasi pe orice site, ceea ce suna minunat, pana cand te gandesti ca, astfel, iti verifici identitatea reala la fiecare login facut pe orice site si in orice aplicatie. Adio anonimitate. Va fi mai greu sa spui ca o postare mai putin fericita de pe Facebook a aparut fiindca cineva ti-a „spart” contul.
Revenind la autentificarea in doi pasi, exista voci care spun ca aceasta ar putea fi inlocuita cu un sistem prin care sa renuntam la primul pas, introducerea parolei, si accesul sa se faca doar pe baza unui cod generat automat primit la fiecare logare pe smartphone. Suna foarte bine, numai ca, de fapt, problema de securitate se muta de pe serverul site-ului sau serviciului respectiv pe telefonul utilizatorului. Sigur, smartphone-ul e mai greu de pierdut decat o parola, dar daca o patesti, vei pierde instant toate parolele de acces in acelasi timp. Sigur, ai putea bloca de la distanta telefonul, numai ca pe ce vei primi parola pentru a accesa acest serviciu?
Parolele sunt o pacoste, mai ales cand trebuie sa inventezi una noua pentru fiecare site (ceea ce ar si trebui sa faceti, nu folositi aceeasi parola peste tot!), dar ofera o oarecare intimitate si anonimitate care inca nu se regasesc la alte solutii. Asa puteti avea identitati separate online pe diverse site-uri. De aproape trei decenii, secretele (conturi bancare, fisiere cu date sensibile sau pur si simplu mailuri cu conversatii private) au fost aparate de parole, adica de ceva ce doar tu stiai. Apoi a aparut un al doilea nivel de securitate, cum ar fi tokenul primit de la banca, adica ceva ce doar tu aveai. Acum, sistemele biometrice vin cu al treilea nivel (scanarea amprentei, recunoasterea vocala etc.), adica apare ceva ce doar tu esti. Niciuna dintre aceste metode nu este (si nici nu poate fi) 100% sigura. Parolele pot fi furate, tokenurile se pot pierde, iar amprentele pot fi copiate, conteaza doar cat de mult este dispus un hacker sa investeasca pentru a obtine ceva.
Asa ca a aparut o noua metoda foarte interesanta de autentificare, bazata pe ceea ce doar tu poti face. Fiecare om tasteaza cu o anumita viteza, dezvoltand tipare unice, similare cu unicitatea semnaturii. Utilizatorii de smartphone il inclina intr-o anumita pozitie cand tasteaza, fac scroll sau se uita la ceva pe ecran si acum se poate ca aceste detalii sa poata fi masurate exact si, pe baza lor, sa se dezvolte algoritmi pentru autentificarea pe baza acestor factori. Oxford BioChronometrics este una dintre companiile care lucreaza in domeniu, reprezentantii acesteia afirmand ca producatorii de telefoane pot identifica un utilizator pe baza informatiilor furnizare de giroscopul din smartphone. Compania, desprinsa dintr-un incubator al celebrei universitati Oxford, transforma aceste actiuni unice in modele matematice pe care le denumeste Atribute Definite Natural, sau e-ADN, un set unic de caracteristici personal foarte greu de imitat. Asta nu inseamna, insa, ca atacurile sunt imposibile. Cel mai posibil scenariu ar fi asa-numita tehnica a „intermediarului”, prin care un hacker pacaleste utilizatorul ca se logheaza in site-ul bancii, de exemplu, cand de fapt el transmite datele de identificare pe care hackerul le va folosi pentru a fura banii din cont.
Securitatea este prin natura sa imperfecta. Castelele aveau pereti, santuri cu apa si soldati care le aparau. Inchisorile au si ele garduri, sisteme de alarma si gardieni, nu doar unul dintre aceste sisteme. La fel, amprentele sau mesajele trimise doar utilizatorului pot insoti parolele pentru a securiza sistemele informatice. Dar nu le vor inlocui total prea curand.
Urmăriți Revista Biz și pe Google News. Abonamente Revista Biz