Pagini de [cod]​

Viitorul fără parole. Metodele prin care ne vom proteja datele în anii care vin

de Răzvan Băltărețu     HotNews.ro
Joi, 5 august 2021, 10:13 Pagini de [cod]


Viitorul fără parole
Foto: Freepik
Pentru o bună parte din istoria tehnologiei, parola a fost suficient de bună, cât să nu ne facem griji că cineva ne-ar putea vedea documentele, fișierele, pozele mai mult sau mai puțin intime. De aproape un deceniu parolele și-au dovedit ineficiența. Viitorul către care mergem arată cu totul diferit, iar schimbările se produc deja.

Sunt diverse clasamente care apar la final sau început de an. Unul dintre cele mai interesante e cel dedicat parolelor proaste care încă sunt folosite. Primul loc, pe 2020, e ocupat de „123456”. Se mai regăsesc în clasament și „qwerty”, „password” și chiar „picture1”. Dacă ai întreba pe cineva specializat în securitate cibernetică ce parolă ar fi bună, ți-ar spune că una cât mai lungă, cu cât mai multe elemente diferite între ele și, în același timp, una pe care s-o ții minte. Uneori e recomandat chiar să pui fraze întregi, cum ar fi versuri dintr-o melodie. Doar să ții minte melodia și bucata pe care ai setat-o ca parolă.

E posibil să setezi cele mai bune parole pe conturile tale. Atunci nu-ți mai rămâne decât să speri că platforma pentru care ai setat o parolă nu ajunge să le stocheze în plain text, cum a făcutFacebook în urmă cu câțiva ani. Dau exemplul rețelei sociale doar pentru că este atât de mare, cu atât de multe informații sensibile, încât un utilizator ar putea presupune că-i și pasă de securitatea datelor. În fine, problematica e alta: cât mai trăim cu parole? Din fericire, nu mult.

Viitorul e unul fără parole. Deja îl trăim, într-o anumită măsură. Iar companii ca Apple sau Google deja fac pași serioși în direcția asta. Apple, de exemplu, cu următoarele iOS și macOS, vrea să ducă autentificarea prin Face ID și Touch ID la următorul nivel. Astfel, diverse aplicații, site-uri și platforme de orice fel pot integra API-uri ca să recunoască această autentificare biometrică drept parolă. Cum ziceam în urmă cu câteva luni, corpul e o unealtă excelentă de-a securiza date.

Înainte de biometrie a fost stick-ul USB care să securizeze identitatea

Odată cu iPhone X Apple a făcut un pas util în direcția securității. Astfel, prin scanarea feței printr-un sistem de zeci de mii de puncte infraroșu și prin recunoașterea trăsăturilor a redat telefoanelor libertatea de-a fi accesate fără vreun cod. Dar, în același timp, datele de pe ele să fie securizate. Și pe măsură ce-a mizat pe securitate a venit cu altă idee: să poți accesa laptopul, de exemplu, fără să bagi parola, doar să ai aproape telefonul sau ceasul - pe care deja ești autentificat.

Înainte de acest moment eu am fost impresionat de altă idee: Yubikey. Stick-ul USB are un buton capacitiv care, odată apăsat, generează un șir de caractere care funcționează ca un one- time password. Cheia fizică are două moduri de funcționare: Yubico OTP sau OATH-HOTP. În modul standard acest hardware generează un șir de 44 de caractere: 12 de tip public ID, celelalte 32 bazate pe standardul AES de criptare. Și fiecare cheie Yubikey are o cheie simetrică unică AES.


Sursa foto: Unsplash


Cea mai utilă parte e că aceste chei pot fi folosite pe USB-A, USB-C, Lightning sau chiar NFC. Și folosesc mai multe standarde de autentificare, cum ar fi FIDO2, OpenPGP 3 sau U2F. Cel din urmă, de exemplu, poate fi utilizat pentru Facebook, Dropbox, conturi Epic Games, Okta sau chiar și conturi Microsoft. În acest domeniu este și Google, cu soluția Titan. Și, desigur, au fost integrate și cititoare de amprentă pe astfel de chei fizice, că niciodată nu poți fi suficient de securizat.

Ideea asta are cea mai mare tracțiune când vine vorba de autentificarea în doi pași. Din păcate, acum aceasta e bazată, când vine vorba de utilizatori obișnuiți, pe SMS. Iar SMS-ul are marele dezavantaj că poate fi interceptat de cineva care ar vrea să obțină acces la cont. Astfel, în loc de coduri primite pe SMS sau mail, există această cheie care confirmă că ești cine ești. Iar o cheie fizică are două avantaje importante: generează parole de confirmare mult mai dificil de ghicit și îngreunează enorm, dacă nu o face chiar imposibilă, sarcina de-a obține acces la cheia fizică.

Astfel, o cheie USB poate fi cuplată cu o aplicație de gestionat parole. Și, dintr-o dată, mai ții minte doar una-două parole, pe celelalte le ai salvate, și confirmi identitatea prin așa ceva. E și direcția în care se îndreaptă autentificarea prin telefon sau ceas, cum încearcă Apple să facă acum și cum, probabil, vor face tot mai multe companii care au și servicii online, și dispozitive hardware.

Când vine însă vorba de autentificarea în doi pași, are în sine o problemă: nu este simplă și rapidă. Adică nu consumă foarte mult timp, dar utilizatorii sunt, în general, comozi și dacă se poate fără ar prefera fără. Cheile fizice pentru autentificare scurtează, cumva, acest proces, doar că sunt fizice și ar însemna ca utilizatorul să le aibă la îndemână. E însă posibil ca eliminarea parolelor din fluxul obișnuit de accesare a dispozitivelor să vină fix de la companii, dar, în prezent, circa 70% dintre acestea încă se bazează pe autentificare prin parole.

În aceeași notă, o analiză Verizon din 2020 arăta că 80% dintre atacurile cibernetice sunt legate de parole. Pentru că și dacă nu sunt ținute în plain text pe server, parolele tot pe server sunt. Asta în timp ce atacurile de tip phishing sunt tot mai răspândite, la fel și cele de tip ransomware. Și aici se mai adaugă un procent interesant: utilizarea unor platforme terțe de tip multifactor authentication, care elimină nevoia de parole, pot reduce cu până la 99% atacurile cibernetice.

Ce înseamnă, de fapt, transformarea telefonului în parolă sau „renunțarea” la parole

Telefonul e, deja, cel mai folosit computer de către, de acum, miliarde de oameni. Și cele mai multe au cel puțin scanner de amprentă. De exemplu, Android are circa 72% cotă de piață, în timp ce iOS e la circa 27% cotă de piață. Și pentru fiecare în parte vorbim de cel puțin un miliard de utilizatori, de unde și ideea Apple de care ziceam la început: autentificarea prin iCloud. Astfel, iCloud devine un MFA. Noile iOS și macOS vor fi capabile să genereze coduri de autentificare, iar dacă site-ul oferă 2FA, atunci pot fi setate coduri de verificare în setările telefonului - fără să fie nevoie de o altă aplicație.

Cristian Dinu, antreprenor și CTO Hypersay, mi-a prezentat și un alt avantaj al folosirii biometriei - și, mai departe, integrarea telefoanelor în ecosistemul securității. „Amprentele și fața sunt, fără îndoială, mai sigure decât parolele, pentru că necesită ceva pe care numai utilizatorul îl are. Nu poți să pierzi sau să furi o amprentă, în timp ce parolele sunt refolosite, furate, iar, de multe ori, și ușor de ghicit. O cheie biometrică scapă de aceste probleme. Evident, atunci când este bine făcută”, a subliniat acesta.

Securitatea de acest tip, care ne duce către un viitor fără parole, nu ar putea fi însă făcută doar prin programare și prin utilizarea unui scanner. De exemplu, cele mai multe telefoane folosesc senzor optic pentru „citirea” amprentei. Asta înseamnă că interpretează o imagine 2D. Samsung și Qualcomm au experimentat cu senzori ultrasonici, care „citesc” amprente în format 3D. În cazul Face ID de pe iPhone marea noutate, care îi dă și eficiența, e maparea feței în zeci de mii de puncte. Astfel, tot la 3D ajungem.

Toate acestea nu ar fi însă neapărat utile fără un TPM (Trusted Processor Module). E vorba de o enclavă pe procesor care stochează datele care țin de biometrie. Astfel, amprenta și fața pe care nu le „pierzi” nu stau pe un server și nu există acces la ele. Sigur, în măsura în care producătorul echipamentului are cele mai bune intenții, dar asta e altă discuție. În acest sens Apple a dezvoltat și cipul denumit T2 care are doar rol în securizare, dar miza e să migreze către procesoare ARM și pe macOS (primele produse sunt deja pe piață), care au arhitectura built-in, așa că nu va mai fi nevoie de un cip secundar.

Crearea unei enclave securizate presupune dotarea procesorului cu un Boot ROM și un generator AES pentru securizarea datelor. Între această enclavă și procesorul propriu-zis nu există o conexiune, ci doar o validare a datelor și a cheii de criptare. Și stochează cheile private prin criptografie pe curbă eliptică pe 256 biți. În acest sens, Costin Raiu, directorul Global Research & Analysis Team în cadrul Kaspersky, a explicat că dacă cineva îți vede parola, o poate folosi de oriunde să-ți acceseze contul. „Dar chiar dacă cineva îți sparge acest cip care stochează datele biometrice e foarte greu să reconstituie de-acolo datele necesare accesării, cum ar fi reconstruirea amprentei. Da, poți avea datele care autentifică amprenta, dar datele respective nu sunt suficiente pentru a folosi amprenta pentru autentificare în altă parte. Singura cale ar fi să acceseze fizic dispozitivul, dar această cale e foarte complicată”, a detaliat acesta.





În cazul implementării, deja vorbim de o uniformizare în ceea ce privește adopția de către platforme. Astfel, odată disponibilă infrastructura, autentificarea biometrică devine o interfață de programare (API) la fel ca celelalte. Următorul pas, deja făcut de cele mai mari servicii, e integrarea capabilităților. Dacă e pe telefon, pentru programare, poate fi folosită o bibliotecă comună iOS și Android, cum ar fi Expo cu modulul de LocalAuthentication, iar strict pe iOS există LocalAuthentication de la Apple (care-i la fel și pentru macOS) sau Biometrics pentru Android. În cazul Windows resursele țin de UWP Security. În ultimii ani, Hello din Windows s-a dovedit o soluție bună pentru a spori securitatea pe un sistem tradițional predispus atacurilor.

Mai nou, și producătorii de hardware adoptă cititoarele de amprente. În fine, și browserele au căpătat și ele capabilități de a folosi identificare biometrică, iar WebAuthn e un punct de pornire.

Nu în ultimul rând, și Okta a spus că are în vedere să elimine parolele. A creat deja FastPass care funcționează pe Windows, macOS, Android și iOS. Și momentul e important, pentru că e vorba de un jucător internațional în zona de securizare a aplicațiilor printr-o platformă unitară și încearcă astfel să fie middle man în organizații și să te autentifici cu cât mai puține parole. Eventual, doar una. Sau fără nevoia de-a apela la SMS.

„Autentificarea biometrică, în esență, ar rezolva această problemă a furtului sau pierderii de parole. Și poate fi un lucru foarte bun în momentul în care devine mai populară. Totul se îndreaptă însă acum în direcția asta – să le înlocuiești cu un PIN și acesta să fie cuplat cu un sistem biometric. Totodată, mai e și opțiunea de-a debloca cu alt dispozitiv, cum ar fi ceasul pentru laptop sau telefonul pentru laptop. „În acest sens poți spune că e un risc dacă cineva îți fură ambele dispozitive, că îl deblochează pe unul cu altul”, a adăugat Costin. „Dar, pe de altă parte, totul se rezumă la faptul că deși recomandarea e mereu de-a folosi parole lungi, diferite pe fiecare cont, realitatea e că majoritatea oamenilor folosesc aceeași parolă peste tot. Și în momentul în care cineva reușește să spargă unul dintre acele conturi sau să fure parole, are acces la alte conturi și aplicații. Astfel, atât autentificarea biometrică, dar și soluțiile de generat parole și stocat sunt superioare parolelor pe care un om le poate ține minte”, a mai spus acesta.

Fundația, dacă se poate spune așa, pentru un viitor fără parole - sau cu cât mai puține - e deja construită. Totuși, parolele nu vor dispărea peste noapte. Aproape tot ce-i digital în prezent se bazează pe ele, dar asta nu înseamnă că vor rămâne pe vecie. Cea mai mare provocare acum, dar și cel mai mare beneficiu de pe urma integrării unor altfel de sisteme, e eliminarea majorității parolelor.

Companii care oferă unele dintre cele mai populare servicii online sau computere pentru a le accesa, cum ar fi Apple, Google, Microsoft, Intel sau Amazon, bănci și servicii financiare, deja fac parte din alianța FIDO2 și încep să implementeze protocoale de migrare dinspre parole spre alte metode. Sigur, mai rămâne cea mai slabă verigă: utilizatorul. Dar tocmai pentru că există această verigă e importantă eliminarea parolelor care, în cele mai multe cazuri, nu sunt extraordinar de complexe.




Citeste doar ceea ce merita. Urmareste-ne si pe Facebook si Instagram.














15784 vizualizari

  • +8 (14 voturi)    
    . (Joi, 5 august 2021, 10:28)

    alt.cineva [utilizator]

    Folosesc Yubikey de vreo 2 ani, si in multe firme a inceput sa fie standardul de facto pentru 2FA. In teorie e foarte sigur, si ma bucur ca au aparut multe alternative FIDO2.
    Solutiile de pe Apple in general nu-mi plac pentru ca te blocheaza in ecosystemul lor
    • +2 (10 voturi)    
      Numai ca (Joi, 5 august 2021, 11:58)

      PowerIon [utilizator] i-a raspuns lui alt.cineva

      la inceputul pandemiei, dupa dezinfectarea cu solutie de clor a ambalajelor pe carei puteai pune mana acasa, cititorul de amprente nu ma mai recunostea.
      • +3 (5 voturi)    
        stai asa Ioane.. (Joi, 5 august 2021, 14:32)

        alt.cineva [utilizator] i-a raspuns lui PowerIon

        Eu n-am pus clor pe nimic :) si sper ca nu au ascultat sfaturile care spuneau sa dezinfecteze cu clor, alcool era destul.
        Plus ca, Yubikey nu verifica amprenta, nici macar nu are cititor. E idea e ca tu poti dovedi ca il actionezi apasand pe buton, iar pe el e o cheie care e aproape imposibil de extras. In mod evident, Yubikey-ul se blocheaza si e protejat de o parola, deci si daca il fura cineva, fara parola e degeaba.
  • +7 (9 voturi)    
    Totusi (Joi, 5 august 2021, 11:03)

    gabrieel [utilizator]

    Ideile se refera la modul de lucru din zilele noastre, al hackerilor sau al celor care ataca online retele/dispozitive/etc. Sunt interesante si pot ajuta deja.
    Dar ce securitate poate avea cineva in caz de rapire sau atac fizic, atunci cand atacatorul poate scana fortat amprenta sau fata? Ma refer daca se merge in directia amprenta si/sau ifentificare faciala, sau alte metode de scan fizic si parola nu ar mai fi relevanta. O parola o poti uita in caz de stres... Faptul ca astazi sunt putine atacuri fizice, nu-nseamna ca in viitor cei care se ocupa cu asa ceva nu pot veni cu idei noi. Desigur, un atac fizic sau mai multe, nu poate/pot avea acelasi numar de tinte comparativ cu un atac online, dar este importanta cel putin si aceasta parte.
    Oamenii sunt comozi, da, dar devin speriati usor si daca un singur caz de atac fizic ajunge stire in media si haosul apare si el atunci.
  • +6 (10 voturi)    
    nu asa usor (Joi, 5 august 2021, 12:05)

    andimi [utilizator]

    personal nu cred ca parolele vor dispare asa usor. Cel putin nu la utilizatorii conservatori, cei peste o anumita varsta. Pai eu unul nici nu am priceput mare lucru din ce tehnologiile descrise aici si ce trebuie ele sa faca, asa ca raman la old fashion password. Cel putin pana nu se va introduce ceva la fel de simplu ca cititorul de amprenta de la telefon. Stiu, se vor gasi mari specialisti in tehnologie sa imi dea minus insa eu nu vad sa dispara clasica parola prea curand. Nu in urmatorii 20 de ani.
  • +7 (11 voturi)    
    Face ID??? (Joi, 5 august 2021, 20:07)

    Robin_W [utilizator]

    Azi noapte pe la ora 2:00 am decis sa imi activez functia de securitate faciala (Face ID).
    Astazi, pentru a convinge telefonul sa imi recunoasca identitatea faciala, a trebuit sa servesc 6 sticle de bere si 2Ltr de vin.

    Personal votez pentru aceasta metoda!
  • +2 (4 voturi)    
    Absolut (Joi, 5 august 2021, 21:42)

    Observatory [utilizator]

    tot ce este legat de SEcuritatea mea personală am aplicat Face id !
    Funcționează perfect și fără incidente …
    • -1 (1 vot)    
      La fel ca "Robin_W"? (Duminică, 8 august 2021, 21:57)

      LiviuX [utilizator] i-a raspuns lui Observatory

      Vai ce m-am putut distra, am ras cu pofta!
  • +3 (5 voturi)    
    Cine isi pune azi 123456 (Vineri, 6 august 2021, 7:09)

    gamma [utilizator]

    o sa dea maine click pe toate spamurile cu virusi , autentificat foarte securizat cu 2 amprente si fata. Iar atat timp cat exista constant vulnerabilitati de tipul zero zile ne jucam de-a securitatea , vedeti Pegasus .
    • -1 (1 vot)    
      Ha! Ha! Si daca ai parola sofisticata, cu ce ajuta (Duminică, 8 august 2021, 22:15)

      LiviuX [utilizator] i-a raspuns lui gamma

      daca dai click-uri pe site-uri ciudate? Parola iti protejeaza datele tale (eventual doar unele), nu te protejeaza impotriva propriilor actiuni.
  • -1 (1 vot)    
    Sunt sigur ca parolele nu vor dispare (Duminică, 8 august 2021, 22:10)

    LiviuX [utilizator]

    Dupa mine sunt totusi cele mai sigure pentru date de foarte mare importanta. Mai ales ca acum exista metode de criptare pe n-spe biti, ceea ce o face imposibil de spart in timp util. O amprenta digitala, de retina, faciala, asa cum au mai spus unii, daca e ceva foarte important, pot fi obtinute (s-a vazut si in filme, ti se poate taia degetul/degetele, scoate ochiul, exista masti foarte performante). Pe cand o parola sofisticata e teoretic imposibil de decriptat, cel putin in timp util.


Abonare la comentarii cu RSS

Top 10 articole cele mai ...



Hotnews
Agenţii de ştiri
Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.



powered by
developed by