Firma Google ogłosiła niedawno, że zamiast haseł przejdzie na system kluczy dostępu, co ułatwi użytkownikom dostęp do kont w różnych usługach firmy. Wywołało to debatę wśród ekspertów ds. cyberbezpieczeństwa. Niektórzy twierdzą, że będzie to rozwiązanie przyszłości, inni ostrzegają, że wiąże się to z pewnymi kolarzami i może stanowić wyzwanie.

• Przeczytaj także: Google, Amazon i Cloudflare zgłaszają największą w historii operację odmowy usługi

„Świat zmierza w kierunku ekosystemu pozbawionego haseł ze względu na coraz częstsze przypadki stosowania przez atakujących technik phishingu w celu kradzieży danych uwierzytelniających użytkowników. Gdyby nie było haseł, nie byłoby nic do złamania” – powiedział Harshil Doshi, Country Manager (Indie i SAARC) firmy Securonix zajmującej się bezpieczeństwem cybernetycznym linia biznesowa.

Świat zmierza w kierunku ekosystemu pozbawionego haseł ze względu na coraz częstsze przypadki stosowania przez atakujących technik phishingu w celu kradzieży danych uwierzytelniających użytkowników. „Klucze dostępu to jeden z takich kroków naprzód, w którym wykorzystujemy czujniki biometryczne dostępne obecnie w większości urządzeń lub frazę stanowiącą wyzwanie, która w unikalny sposób uwierzytelnia użytkownika” – powiedział.

Stwierdzając, że jest to pozytywny krok, stwierdził jednak, że wyzwaniem będzie interoperacyjność w różnych obudowach, usługach sieciowych i użytkownikach. Wymaga to standaryzacji uwierzytelniania bez hasła w usługach konsumenckich i między przedsiębiorstwami.

• Przeczytaj także: Indie wyłaniają się jako trzeci cel cyberataków kierowanych przez państwa narodowe

Ogłaszając w zeszłym miesiącu przejście na system kluczy dostępu, Google argumentował, że „klucze są bezpieczniejszą i łatwiejszą alternatywą dla haseł. Dzięki kluczom użytkownicy mogą logować się do aplikacji i stron internetowych za pomocą czujnika biometrycznego (takiego jak odcisk palca lub rozpoznawanie twarzy), kodu PIN lub wzoru, co uwalnia ich od konieczności zapamiętywania haseł i zarządzania nimi” – stwierdzono.

Klucz dostępu może w jednym kroku spełnić wymagania uwierzytelniania wielopoziomowego, zastępując zarówno hasło, jak i hasło jednorazowe (np. 6-cyfrowy kod SMS), aby zapewnić solidną ochronę przed atakami typu phishing i uniknąć problemów związanych z UX związanych z jednorazowymi hasłami wysyłanymi do wiadomości SMS lub aplikacji.

Kiran Vangaveti, założycielka i dyrektor generalna BluSapphire, uważa, że ​​używanie kluczy jest bezpieczną i skuteczną metodą logowania się do aplikacji. Łatwość użycia może przyspieszyć wdrożenie, zwłaszcza na poziomie przedsiębiorstwa.

„Jednak indywidualny wskaźnik adopcji może się różnić w zależności od dostępności urządzeń obsługujących hasło. Ogólnie rzecz biorąc, klucze stanowią przyszłość uwierzytelniania, odchodząc od tradycyjnego wykorzystania haseł” – powiedział.

Co to jest hasło?

Jak wiemy, hasła składają się z kombinacji słów, alfabetów, cyfr i znaków specjalnych, które mogą być trudne do zapamiętania. Hasła są przechowywane w docelowym systemie lub aplikacji i są stale sprawdzane przy każdym logowaniu, dzięki czemu przypominają tajemnicę poliszynela.

„Cyberatakujący doskonale zdają sobie z tego sprawę i często uciekają się do phishingu i podszywania się, aby uzyskać dostęp do Twojego hasła. Na poziomie przedsiębiorstwa powszechnie stosuje się ataki typu brute-force, które przy dzisiejszej mocy obliczeniowej mogą z łatwością złamać hasła i zapewnić nieautoryzowany dostęp” – powiedział.

• Przeczytaj także: Pożegnaj trudne hasła, po prostu użyj „hasła”, aby się zalogować

„Z drugiej strony hasła to pary kluczy kryptograficznych generowane przez Twoje urządzenie. Aplikacja, do której chcesz uzyskać dostęp, zawiera „publiczną” stronę klucza, podczas gdy Twoje urządzenie (takie jak laptop, telefon komórkowy lub urządzenie z kluczem dostępu) przechowuje klucz „prywatny” – wyjaśnia.

Podczas próby uzyskania dostępu do aplikacji wysyła ona zaszyfrowaną wiadomość przy użyciu klucza publicznego. Klucz prywatny przechowywany na Twoim urządzeniu może odszyfrować tę wiadomość, weryfikując w ten sposób Twoją tożsamość i zapewniając Ci dostęp. „Klucz prywatny zawsze pozostaje poufny i nigdy nie jest ujawniany, nawet aplikacji korzystającej z niego w celu uwierzytelnienia” – twierdzi.

„Obecny stan mocy obliczeniowej nie pozwala na łatwe złamanie prywatnej strony kryptografii. Dlatego hasła rzeczywiście zapewniają zwiększone bezpieczeństwo i łatwość użycia, dopóki obliczenia kwantowe nie staną się głównym nurtem, co może potencjalnie bez wysiłku złamać takie szyfrowanie. Jednak dzisiaj jesteśmy jeszcze daleko od tego punktu” – zauważa.

Nieporozumienie

Panuje powszechne przekonanie, że hasła, zwłaszcza dane biometryczne użytkownika, są gromadzone i przechowywane przez aplikację. „Jednak w rzeczywistości hasło jest przechowywane lokalnie na samym urządzeniu i nie jest gromadzone przez żadną aplikację. Dlatego korzystanie z uwierzytelniania opartego na kluczu jest bezpieczne i skuteczne” – mówi.

Chester Wiśniewski, dyrektor ds. technologii w firmie Sophos zajmującej się rozwiązaniami cyberbezpieczeństwa, powiedział, że ludziom się to spodoba, gdy się do tego przyzwyczają

„Kto chce pamiętać hasło? Jeśli mogę odblokować swój świat za pomocą twarzy, wydaje się to dobrą rzeczą. Myślę, że ludzie to przyjmą, ale uważam, że niezbędny jest pewien poziom zaufania” – uważa.

„Ponieważ Apple, Google i Microsoft będą przechowywać klucze umożliwiające działanie kluczy dostępu. A niektórzy ludzie, łącznie ze mną, bardzo nie lubią, gdy inni mają moje sekrety i niekoniecznie ufam Apple, Google czy Microsoftowi. Ale w przypadku tych osób nadal mogą używać fizycznego tokena” – zauważa.