Alternatywy logowania hasłowego

Hasła są zabezpieczeniem, od którego odchodzi coraz więcej firm. Microsoft, którego twórca Bill Gates przewidywał bezhasłową przyszłość, wprowadził niedawno różnorodne alternatywy logowania hasłowego. W ślady największych gigantów branży IT pójdzie z pewnością wielu innych, chcąc zapewnić klientom najskuteczniejsze zabezpieczenia. W czasach, kiedy tak łatwo stać się ofiarą ataku hakerskiego, hasła przestają skutecznie spełniać swoją funkcję. Podczas badań przeprowadzonych w tym roku przez firmę GoodFirms okazało się, że 30% respondentów doświadczyło utraty danych z powodu stosowania słabych haseł. Ponadto, Polska została wytypowana jako jeden z regionów najbardziej narażonych na wycieki haseł.

Gdy jakieś rozwiązanie zawodzi, znalezienie dobrego zastępstwa to naturalna kolej rzeczy. Pomyślmy tylko – proste hasła łatwo zapamiętać, ale korzystając z nich, równie dobrze moglibyśmy dobrowolnie oddać hakerom dostęp do naszych kont i systemów. Natomiast długie, przypadkowe i silne hasła ciężko jest zapamiętać, przez co jedni polegają na menadżerach haseł, drudzy zapisują je na kartkach samoprzylepnych w biurze. Należy wychodzić takim problemom naprzeciw. Formy zabezpieczania dostępu powinny być intuicyjne i niewymagające od użytkowników wymyślan ia skomplikowanych kombinacji. Jakie mamy więc opcje?

Alternatywy logowania hasłowego – Hasła jednorazowe

Nie jest to całkowicie odmienna metoda, ponieważ nadal jej bazą są hasła, jednak w zdecydowanie bezpieczniejszej wersji. Ta opcja polega na tym samym, co drugi etap dwustopniowej weryfikacji. Przy każdym logowaniu na numer telefonu podany przy rejestracji zostaje wysyłany losowo generowany kod, który ma krótki czas ważności. Przypadkowość i ograniczenie czasowe hasła zapewnia większą ochronę w przypadku ataku. Dodatkowym atutem tej metody jest brak konieczności pamiętania hasła. Opinie specjalistów od cyberbezpieczeństwa są jednak podzielone. Głównym problemem pozostaje zależność od zewnętrznych urządzeń. Bezpieczeństwo jednorazowego hasła zależy w dużej mierze od bezpieczeństwa telefonu, na który zostaje wysyłane. W przypadku zainfekowania szkodliwym oprogramowaniem możliwe jest przechwycenie kodu i uzyskanie nieautoryzowanego dostępu do naszych danych.

Alternatywy logowania hasłowego – Kod QR

Logowanie za pomocą kodu QR również opiera się o weryfikację przez urządzenie zewnętrzne. System, do którego próbujemy uzyskać dostęp, generuje kod kompatybilny z aplikacją zainstalowaną na telefonie. Po zeskanowaniu kodu QR telefonem logowanie następuje automatycznie. Wykorzystując system uwierzytelniania HMAC, aplikacja tworzy publiczny i prywatny klucz, wykorzystując master key oraz nazwę docelowej strony. Wysłany zostaje klucz publiczny (spełnia funkcję nazwy użytkownika) i kod QR zaszyfrowany kluczem prywatnym (spełnia funkcję hasła), dzięki którym strona ma możliwość identyfikacji logującego się użytkownika. Mimo że kody QR zmieniają się przy każdej sesji, nie jest to rozwiązanie pozbawione wad. Informacje nadal mogę być przechwycone np. podczas ataku typu MITM.

Alternatywy logowania hasłowego – Biometryczne metody identyfikacji

Skanowanie linii papilarnych jest najbardziej popularną metodą identyfikacji biometrycznej. Obecnie wykorzystuje się ją już w większości modeli smartfonów każdej znanej marki. Urządzenia takie jak telefony i tablety zapamiętują unikalny obraz linii papilarnych użytkownika w postaci obrazu 2D lub 3D. Przy każdym skanowaniu obraz porównywany jest do zapisanych danych w pamięci urządzenia.

Do mniej powszechnych rozwiązań biometrii należą: skaner tęczówki i siatkówki oka, czytnik geometrii dłoni, rozpoznawanie głosu, a nawet rytmu serca. Te technologie są jednak bardziej skomplikowane, kosztowne i wymagające dedykowanego oprogramowania.

Ogromnym zainteresowaniem cieszy się w ostatnich latach technologia rozpoznawania twarzy. Jej zwolennicy wskazują przede wszystkim na wygodę, szybkość i szerokie zastosowanie – nie tylko w celu zabezpieczania urządzeń osobistych, ale na skalę masową na lotniskach oraz w działaniach śledczych i poszukiwawczych policji. Nierzadko pojawiają się jednak głosy sceptyków, którzy obawiają się potencjalnych nadużyć i zagrożeń nimi spowodowanych. Choć biometria ściąga z nas obowiązek zapamiętywania haseł, kodów i PIN-ów, to należy pamiętać, że wykradzionych danych biometrycznych nie sposób zresetować. Posiadanie systemu skanowania twarzy budzi szereg wątpliwości już w przypadku smartfonów, które mogą zostać odblokowane bez naszej zgody, nawet kiedy mamy zamknięte oczy. Co więc można powiedzieć o implementacji tej metody w przestrzeni publicznej? Skanowanie twarzy odbywa się automatycznie, więc bez problemu może trafić do wielu baz danych o wątpliwej jakości systemach cyberbezpieczeństwa.

Mimo ogromnego postępu w technologiach cyberbezpieczeństwa idealnego rozwiązania po prostu nie ma. Każda ze wspomnianych metod posiada swoje wady i zalety. Największy potencjał ma obecnie biometria, lecz jej skuteczne wprowadzanie wymaga odpowiednich regulacji, dzięki którym faktycznie będziemy czuli się bezpiecznie.