Ασφάλεια διαδικτύου, Διαδίκτυο

Πότε έρχεται το τέλος των passwords?

Aπό τον Δημήτρη Τακετζή,

Σε τι μας χρειάζονται τα passwords (κωδικοί πρόσβασης)?

Η εισαγωγή του password είναι η πιο δημοφιλής μέθοδος αυθεντικοποίησης σήμερα, δηλαδή της διαδικασίας με την οποία επαληθεύουμε στον υπολογιστή μας την ταυτότητα μας. Αφού την επαληθεύσουμε, τότε το σύστημα μας δίνει πρόσβαση στους αντίστοιχους πόρους ή πληροφορίες τις οποίες έχουμε δικαίωμα να βλέπουμε, να επεξεργαζόμαστε και να αποθηκεύουμε.

Οι κωδικοί πρόσβασης θεωρούνται ως ένας αδύναμος κρίκος στην ασφάλεια λόγω του ότι συνήθως δεν είναι αρκετά ισχυροί, δεν αλλάζουν συχνά και επαναχρησιμοποιούνται σε πλήθος διαφορετικών υπηρεσιών.

Μία λύση που έχει προταθεί και είναι σε χρήση σήμερα είναι η τεχνολογία  zero login.

Wikimedia Commons

Τι είναι και που χρησιμοποιείται σήμερα η μέθοδος zero login?

Ενώ πολλοί είναι εξοικειωμένοι με μεθόδους αναγνώρισης δακτυλικών αποτυπωμάτων ή αναγνώρισης προσώπου, η μέθοδος zero login ελέγχει τα χαρακτηριστικά της συμπεριφοράς μας, όπως τα πρότυπα δακτυλογράφησης, την τοποθεσία και το επάγγελμα για την επαλήθευση της ταυτότητάς μας και την προστασία των προσωπικών πληροφοριών. Αυτή η νέα τεχνολογία θα επιτρέπει την σύνδεση στις εφαρμογές μας χωρίς να χρειάζεται κάποια ενέργεια.

Η μέθοδος zero login είναι ήδη σε δράση σήμερα. Εάν συνδέεστε στον λογαριασμό e-banking σας από μια νέα συσκευή, ίσως έχετε λάβει ένα μήνυμα ή μια κλήση από την τράπεζά σας ζητώντας να επαληθεύσετε το email ή τον αριθμό τηλεφώνου σας για να αποδείξετε ότι είστε πραγματικά εσείς.

Μεγάλες εταιρείες δοκιμάζουν σήμερα χαρακτηριστικά συμπεριφοράς (behaviorial characteristics), όπως την πίεση που εφαρμόζει ένας χρήστης με τα δάχτυλα του όταν χρησιμοποιεί το τηλέφωνό του ή την ταχύτητα πληκτρολόγησης ως τρόπους για την επαλήθευση της ταυτότητας. Τέτοια μοτίβα συμπεριφοράς είναι εξαιρετικά δύσκολα για έναν κακόβουλο να μαντέψει ή να αναπαράγει και κανένα δεν χρησιμοποιεί τους κωδικούς πρόσβασης.

Κάποια σύγχρονα τηλέφωνα επιτρέπουν στον χρήστη να αλλάξει την πίεση του κεντρικού κουμπιού (home button), κάτι που είναι δύσκολο για έναν εισβολέα να ξεγελάσει.

Στην μέθοδο zero login οι κωδικοί πρόσβασης θα είναι το τελικό επίπεδο ασφάλειας και μόνο αν αποτύχουν οι άλλοι τρόποι, τότε ζητείται κωδικός πρόσβασης.

Insight for professionals

Υπάρχουν αρνητικά στην μέθοδο zero login?

Ενώ η μέθοδος zero login παρουσιάζει πολλά πλεονεκτήματα, έχει και αριθμό δυνητικών περιορισμών.

Εάν το τηλέφωνό σας συλλέγει όλες αυτές τις πληροφορίες σχετικά με εσάς, πώς αυτό προστατεύεται και που αυτές αποστέλλονται; Εάν επιτρέπετε στη συσκευή σας να εκτελεί λογισμικό που συλλέγει πληροφορίες με βάση τις αλληλεπιδράσεις του χρήστη με το τηλέφωνο, που καταλήγουν όλες αυτές οι πληροφορίες; Η απάντηση είναι ότι παραμένουν στην συσκευή όμως κανείς δεν μπορεί να αποκλείσει ότι δεν θα μεταφορτωθούν στο υπολογιστικό νέφος (cloud) κάποιας εταιρείας.

Και αμέσως μετά έρχεται το ερώτημα της ασφάλειας. Πόσο καλά προστατεύονται αυτές οι εξαιρετικά ευαίσθητες πληροφορίες που ουσιαστικά αντιπροσωπεύουν την οντότητα μας από κακόβουλους;

Υπάρχουν ακόμα πιο προηγμένοι τρόποι αυθεντικοποίησης;

Μια εξαιρετικά ενδιαφέρουσα έρευνα υλοποιεί την αυθεντικοποίηση δύο παραγόντων (Two factor authentication – 2FA) με έναν πρωτοποριακό τρόπο. Ερευνητές έχουν διεξάγει μελέτες για μία εναλλακτική βιομετρική μέθοδο αυθεντικοποίησης. Όταν ένα άτομο κοιτάζει μια φωτογραφία ή ακούει ένα κομμάτι μουσικής, ο εγκέφαλός του ανταποκρίνεται με τρόπους που μπορούν να μετρηθούν με ηλεκτρικούς αισθητήρες. Οι ερευνητές ανακαλύψαν ότι ο εγκέφαλος κάθε ατόμου ανταποκρίνεται διαφορετικά στα εξωτερικά ερεθίσματα, οπότε ακόμα και αν δύο άτομα κοιτάξουν την ίδια φωτογραφία, η εγκεφαλική τους δραστηριότητα είναι διαφορετική.

Αυτή η διαδικασία είναι αυτόματη και ασυνείδητη, οπότε ένα άτομο δεν μπορεί να ελέγξει τι συμβαίνει στον εγκέφαλο. Και κάθε φορά που κάποιος βλέπει μια συγκεκριμένη φωτογραφία, ο εγκέφαλός του αντιδρά με τον ίδιο τρόπο, και παράλληλα τελείως διαφορετικά από όλους τους υπόλοιπους ανθρώπους.

Με αυτόν τον τρόπο παρουσιάζεται μία ευκαιρία για την δημιουργία ενός τρόπου αυθεντικοποίησης που συνδυάζει δύο μοναδικά χαρακτηριστικά, δηλαδή τον συνδυασμό ενός φυσικού χαρακτηριστικού που είναι η βιολογική δομή του εγκεφάλου και της ακούσιας μνήμης που καθορίζει τον τρόπο με τον οποίο ανταποκρίνεται σε ένα συγκεκριμένο ερέθισμα.

Με αυτόν τον τρόπο καταφέρνουμε να ξεπεράσουμε ένα από τα σημαντικότερα μειονεκτήματα. Δηλαδή της κλοπή των ευαίσθητων αυτών βιομετρικών πληροφοριών από κακόβουλους που αποθηκεύονται στις βάσεις δεδομένων των εταιρειών. Στην περίπτωση λοιπόν που κάποιος κακόβουλος αποκτήσει πρόσβαση στα βιομετρικά δεδομένα των εγκεφάλων των χρηστών, δεν θα μπορέσει να τα χρησιμοποιήσει διότι για να αυθεντικοποιηθεί πρέπει να μπορέσει και να αναπαράγει το μοναδικό αποτέλεσμα που προκύπτει από το εξωτερικό ερέθισμα που δέχεται και είναι αδύνατο να αναπαραχθεί μόνο από τα δεδομένα του εγκεφάλου.

Tech Crunch

Συμπέρασμα

Η χρονική στιγμή που στα σεμινάρια του CSII θα λέμε την φράση “Παλιά για να μπούμε σε ένα site χρειαζόμασταν username και password…!”. Η διαδικασία της αυθεντικοποίησης πρόκειται να επαναπροσδιοριστεί πολύ σύντομα. Η προσπάθεια να θυμηθούμε πολλούς σύνθετους κωδικούς πρόσβασης σύντομα θα αποτελεί απαρχαιωμένο τρόπο ή ως η τελευταία μέθοδος μετά την αποτυχία όλων των υπολοίπων. Οι έξυπνες συσκευές θα είναι σύντομα σε θέση να μας αναγνωρίσουν από τη στιγμή που θα τις πιάσουμε στα χέρια μας.

Η μέθοδος zero login είναι στην διαδικασία τελειοποίησης με σκοπό να λειτουργεί με ασφάλεια αλλά και για να καταπολεμηθούν οι περιορισμοί της. Η τεχνολογία είναι έξυπνη, αλλά πρέπει να δοθεί προτεραιότητα στην προστασία της ιδιωτικότητας και της συναίνεσης των πολιτών στην παροχή προσωπικών πληροφοριών, εάν θέλουμε να περάσουμε με επιτυχία στη νέα εποχή της αυθεντικοποίησης.

Παράλληλα, οι έρευνες προχωράν ένα βήμα παραπάνω και μας δείχνουν τον δρόμο που ακολουθεί η εξέλιξη αλλά και την ταχύτητα με την οποία συμβαίνουν οι αλλαγές σήμερα.