Zapowiedzi Microsoft i Apple dotyczące zastąpienia haseł innymi mechanizmami są szumne - ale czy wiarygodne?
Zapamiętywanie haseł to nie brak haseł w ogóle
Istnieje szereg zapowiedzi z gatunku science-fiction, które mają rzutować na przyszłość jakiej mamy szanse dożyć: plecaki odrzutowe, latające samochody, kolonia na Marsie. Ale jest też kilka pozornie bardziej osiągalnych celów, które jakoś zawsze są tuż tuż, na horyzoncie. I tak już całymi latami… Jedną z najbardziej kuszących jest koniec haseł. Dobrą wiadomością jest to, że infrastruktura — we wszystkich głównych systemach operacyjnych i przeglądarkach — w dużej mierze faktycznie obsługuje już logowanie bez hasła. Ale co z tego skoro nadal codziennie podłączamy nasze hasła do wielu witryn i usług i końca tej praktyki raczej nie widać.
Nie ma wątpliwości, że hasła to absolutny koszmar bezpieczeństwa. Tworzenie i zarządzanie nimi jest denerwujące, więc ludzie często używają ich ponownie lub wybierają łatwe do odgadnięcia loginy — lub jedno i drugie. Hakerzy chętnie z tego korzystają. Logowanie bez hasła to głównie autoryzacja za pomocą atrybutów wrodzonych i trudniejszych do kradzieży, takich jak dane biometryczne - nikt nie odgadnie twojego odcisku palca.
Prawdopodobnie używasz już niektórych wersji tego rozwiązania, gdy odblokowujesz telefon, powiedzmy, skanem twarzy lub palca, a nie kodem dostępu. Mechanizmy te działają lokalnie na Twoim telefonie i nie wymagają od firm przechowywania dużej ilości haseł użytkowników czy poufnych danych biometrycznych. W niektórych przypadkach można również używać samodzielnych tokenów fizycznych, aby logować się bezprzewodowo i bez hasła.
Mapa drogowa usunięcia haseł z naszego życia już jest gotowa?
Mark Risher, dyrektor ds. zarządzania produktami w Google dla platform tożsamości i bezpieczeństwa, mówi tak o biometrii:
Wszystkie elementy konstrukcyjne osiągnęły już taki poziom dojrzałości, że mogą przejść do masowego stosowania. Mają silne wsparcie dla platform, współpracują ze wszystkimi głównymi dostawcami a użytkownicy są z nimi coraz bardziej zaprzyjaźnieni. Wcześniej jako branża nie wiedzieliśmy nawet, jak pozbyć się haseł. Teraz zajmie to trochę czasu, ale wiemy, jak to zrobimy.
Pod koniec czerwca ogłoszenie Microsoftu dotyczące systemu Windows 11 zapowiadało m.in. głębszą modyfikację sposobu logowania (bez hasła), szczególnie w zakresie logowania się do urządzeń za pomocą danych biometrycznych lub kodu PIN. Podobnie Apple ogłosił kilka tygodni wcześniej, że jego nowe systemy operacyjne iOS 15 i macOS Monterey będą zawierały nową opcję o nazwie Passkeys in iCloud Keychain co ma być kolejnym krokiem w kierunku stosowania biometrii lub kodów PIN urządzeń do logowania się do większej liczby usług. W maju Google podsumował swoje wysiłki na rzecz promowania bezpiecznego zarządzania hasłami, jednocześnie starając się niejako odsunąć klientów od samych haseł.
Przyzwyczajenie drugą naturą człowieka
Pomimo tych i innych wysiłków branży, aby zaangażować zarówno programistów, jak i użytkowników, w świat bez haseł, pozostają dwa główne wyzwania. Jednym z nich jest to, że chociaż hasła są powszechnie krytykowane, są również po prostu nam znane i absurdalnie wszechobecne. Nie jest łatwo przełamać nawyki wypracowane przez dziesięciolecia.
To wyuczone zachowanie — pierwszą rzeczą, którą robisz, jest ustawienie hasła - mówi Andrew Shikiar, dyrektor wykonawczy FIDO Alliance (stowarzysze branżowe zajmujący się w szczególności bezpiecznym uwierzytelnianiem) – Więc problem polega na tym, że jesteśmy uzależnieni od naprawdę słabej technologii. To, co musimy zrobić, to przełamać tę zależność.FIDO twierdzi, że organizacje wdrażające swoje standardy logowania bez użycia hasła mają problemy z nakłonieniem użytkowników do faktycznego przyjęcia tej funkcji.
Druga przeszkoda jest jeszcze trudniejsza. Wiele metod logowania bez hasła działa tylko na nowszych urządzeniach i wymaga posiadania smartfona wraz z co najmniej jednym innym urządzeniem. W praktyce jest to dość wąski przypadek użycia technologii bo wiele osób na całym świecie współdzieli urządzenia z innymi osobami, nie może ich często aktualizować itp. Tak więc schematy autoryzacji „bezhasłowej” zmierzają w kierunku systemów, w których jedno urządzenie, które wcześniej uwierzytelniłeś, może namaścić nowe jako godne zaufania.
Nie zmienisz odcisku palca
Dane biometryczne są idealne do uwierzytelniania na wiele sposobów, ponieważ dosłownie oddają nasza unikalną, fizyczną obecność. Jednak korzystanie z danych biometrycznych rodzi istotne wątpliwości: co się stanie, jeśli dane dotyczące, powiedzmy, odcisków palców lub twarzy zostaną skradzione i mogą zostać zmanipulowane przez atakujących w celu podszycia się pod daną osobę. I chociaż możemy zmienić swoje hasło choćby dla kaprysu to nasza twarz, palec, głos, układ żył lub bicie serca są niezmienne.
Stworzenie ekosystemu bez haseł, który może zastąpić wszystkie funkcje haseł, zwłaszcza takiego, który nie pozostawia w tyle miliardów ludzi, którzy nie posiadają smartfona lub wielu urządzeń, wymaga czasu i jeszcze więcej eksperymentów. W świecie bez haseł trudniej jest udostępniać konta zaufanym osobom, a powiązanie wszystkiego z jednym urządzeniem, takim jak telefon, jeszcze bardziej zachęca hakerów do złamania zabezpieczeń tego urządzenia.
Wygląda więc na to, że z hasłami jeszcze „chwilę” pożyjemy.