Lozinke će „umrijeti“, šta će ih zamijeniti?
S obzirom na to da su relikt prošlosti, lozinke kakve danas poznajemo i koristimo su se održale prilično dugo. Saosnivač Microsofta Bil Gejts prorekao im je neminovni kraj još 2004. godine, ali one su još s nama
Problem je velikim dijelom predstavljalo to što nismo imali odgovarajuću zamjenu, a što je vrlo nezgodno u vremenu u kojem se hakovanje iz hobija nekoliko desetina ljudi upućenih u tehnologiju pretvorilo u globalno relevantnu industriju i kriminalnu aktivnost koja prijeti svima.
Istraživanje koje je sproveo američki gigant Verizon pokazalo je da je četiri od pet svih hakerskih upada u računarske sisteme bilo izvedeno korišćenjem ukradenih lozinki ili zloupotrijebljenih podataka za pristupanje nalozima.
To ne predstavlja veliko iznenađenje, s obzirom na to da veliki broj ljudi još koristi izuzetno jednostavne lozinke poput 123456, ali čak ni ‘jake’ lozinke ne garantuju bezbjednost jer hakeri na raspolaganju imaju set sve sofisticiranijih alata, od socijalnog inženjeringa do zloćudnog softvera koji bilježi sve što kucate.
Lozinke su se uspjele da se održe najviše zato što smo se navikli na njih. Da bi bile uspješno zamijenjene, novo rješenje mora da bude ne samo bezbjednije već i da ponudi bolje korisničko iskustvo.
Za sada je poznato samo jedno rješenje koje zadovoljava oba uslova: to su sistemi za potvrđivanje identiteta putem poruka koje stižu na mobilni, obično u vidu aplikacija koje provjeru obavljaju automatski, bez prevelikog angažmana korisnika.
Kandidati za bolje korisničko iskustvo
Kao što je već spomenuto, svaki novi sistem koji cilja na zamjenu lozinki treba da bude jednostavniji za korišćenje i bezbjedniji. Među kandidatima je svakako biometrija (poput čitača otiska prsta ili rožnjače). Umjesto smišljanja, pamćenja i kucanja lozinke, dovoljno je da korisnik nasloni prst na smartfon kako bi mogao da ga koristi.
Ova metoda za sada, međutim, nije dovoljno precizna i bezbjedna. Lakše je zloupotrijebiti biometrijske podatke nego što se možda čini na prvi pogled, pa uglavnom služi kao sekundarni sistem provjere.
Drugi kandidat su tokeni. Ali, problem je što je potrebno nositi ih sa sobom i paziti da se ne izgube.
Šta je s SMS-ovima? Za ne bi mogla svaki put da se primi druga računarski generisana lozinka koju će korisnik ukucati? SMS poruke takođe nisu dovoljno bezbedne.
Kako do višeg nivoa bezbjednosti?
Lozinke su najproblematičnije po tome što predstavljaju kritičnu tačku sistema. Ako sajber kriminalci uspiju da ih zaobiđu, s njima pada i poslednja linija obrane.
Iz tog razloga neophodna je višeslojna zaštita i veći broj kanala za provjeru identiteta. Jedno od rješenja jeste provjera u dva koraka, uglavnom zasnovana na slanju koda SMS-om. Međutim, mana ovog pristupa je to što hakeri mogu da presretnu SMS poruke. Neophodno je, dakle, osmisliti bolje rešenje.
Iako na prvi pogled djeluje nelogično, pristupanje servisima jednom akcijom bez lozinki moglo bi da bude efikasnije od postojećih rješenja. Potvrda identiteta se vrši kada korisnik pritisne traženi taster na svom uređaju.
Kako funkcioniše ovaj sistem?
Prilikom pristupa zaštićenim materijalima, na uređaj se šalje poruka bezbjednom mrežom. U okviru tog modela je samo posjedovanje mobilnog telefona primarni način provjere identiteta, kojem može da se doda sekundarni u vidu lozinke, pokreta ili biometrije.
Takav pristup bi bio znatno jednostavniji od bilo kojeg rješenja koje se trenutno koristi. Ali, zauzvrat ne samo što bi trebalo više čuvati uređaj od krađe, već korisnici moraju da budu spremni da ga brzo zaključaju na daljinu u slučaju da bude ukraden ili izgubljen.
Među velikim kompanijama i pružaocima usluga koji su odlučili da koriste ovakav pristup je Microsoft, koji je uveo novi sistem Microsoft Authenticator.
Analitička kuća Gartner procjenje da će trend prihvatanja biti nastavljen i da će takav način provjere identiteta do 2020. godine koristiti 50 odsto kompanija koje danas za provjeru koriste mobilne telefone. Danas taj udio iznosi oko 10 odsto, piše Next Web.