Pentru o bună parte din istoria tehnologiei, parola a fost suficient de bună, cât să nu ne facem griji că cineva ne-ar putea vedea documentele, fișierele, pozele mai mult sau mai puțin intime. De aproape un deceniu parolele și-au dovedit ineficiența. Viitorul către care mergem arată cu totul diferit, iar schimbările se produc deja, scrie hotnews.ro.
Sunt diverse clasamente care apar la final sau început de an. Unul dintre cele mai interesante e cel dedicat parolelor proaste care încă sunt folosite. Primul loc, pe 2020, e ocupat de „123456”. Se mai regăsesc în clasament și „qwerty”, „password” și chiar „picture1”. Dacă ai întreba pe cineva specializat în securitate cibernetică ce parolă ar fi bună, ți-ar spune că una cât mai lungă, cu cât mai multe elemente diferite între ele și, în același timp, una pe care s-o ții minte. Uneori e recomandat chiar să pui fraze întregi, cum ar fi versuri dintr-o melodie. Doar să ții minte melodia și bucata pe care ai setat-o ca parolă.
E posibil să setezi cele mai bune parole pe conturile tale. Atunci nu-ți mai rămâne decât să speri că platforma pentru care ai setat o parolă nu ajunge să le stocheze în plain text, cum a făcutFacebook în urmă cu câțiva ani. Dau exemplul rețelei sociale doar pentru că este atât de mare, cu atât de multe informații sensibile, încât un utilizator ar putea presupune că-i și pasă de securitatea datelor. În fine, problematica e alta: cât mai trăim cu parole? Din fericire, nu mult.
Viitorul e unul fără parole. Deja îl trăim, într-o anumită măsură. Iar companii ca Apple sau Google deja fac pași serioși în direcția asta. Apple, de exemplu, cu următoarele iOS și macOS, vrea să ducă autentificarea prin Face ID și Touch ID la următorul nivel. Astfel, diverse aplicații, site-uri și platforme de orice fel pot integra API-uri ca să recunoască această autentificare biometrică drept parolă. Cum ziceam în urmă cu câteva luni, corpul e o unealtă excelentă de-a securiza date.
Înainte de biometrie a fost stick-ul USB care să securizeze identitatea
Odată cu iPhone X Apple a făcut un pas util în direcția securității. Astfel, prin scanarea feței printr-un sistem de zeci de mii de puncte infraroșu și prin recunoașterea trăsăturilor a redat telefoanelor libertatea de-a fi accesate fără vreun cod. Dar, în același timp, datele de pe ele să fie securizate. Și pe măsură ce-a mizat pe securitate a venit cu altă idee: să poți accesa laptopul, de exemplu, fără să bagi parola, doar să ai aproape telefonul sau ceasul – pe care deja ești autentificat.
Înainte de acest moment eu am fost impresionat de altă idee: Yubikey. Stick-ul USB are un buton capacitiv care, odată apăsat, generează un șir de caractere care funcționează ca un one- time password. Cheia fizică are două moduri de funcționare: Yubico OTP sau OATH-HOTP. În modul standard acest hardware generează un șir de 44 de caractere: 12 de tip public ID, celelalte 32 bazate pe standardul AES de criptare. Și fiecare cheie Yubikey are o cheie simetrică unică AES.
Cea mai utilă parte e că aceste chei pot fi folosite pe USB-A, USB-C, Lightning sau chiar NFC. Și folosesc mai multe standarde de autentificare, cum ar fi FIDO2, OpenPGP 3 sau U2F. Cel din urmă, de exemplu, poate fi utilizat pentru Facebook, Dropbox, conturi Epic Games, Okta sau chiar și conturi Microsoft. În acest domeniu este și Google, cu soluția Titan. Și, desigur, au fost integrate și cititoare de amprentă pe astfel de chei fizice, că niciodată nu poți fi suficient de securizat.
Ideea asta are cea mai mare tracțiune când vine vorba de autentificarea în doi pași. Din păcate, acum aceasta e bazată, când vine vorba de utilizatori obișnuiți, pe SMS. Iar SMS-ul are marele dezavantaj că poate fi interceptat de cineva care ar vrea să obțină acces la cont. Astfel, în loc de coduri primite pe SMS sau mail, există această cheie care confirmă că ești cine ești. Iar o cheie fizică are două avantaje importante: generează parole de confirmare mult mai dificil de ghicit și îngreunează enorm, dacă nu o face chiar imposibilă, sarcina de-a obține acces la cheia fizică.
Astfel, o cheie USB poate fi cuplată cu o aplicație de gestionat parole. Și, dintr-o dată, mai ții minte doar una-două parole, pe celelalte le ai salvate, și confirmi identitatea prin așa ceva. E și direcția în care se îndreaptă autentificarea prin telefon sau ceas, cum încearcă Apple să facă acum și cum, probabil, vor face tot mai multe companii care au și servicii online, și dispozitive hardware.
Când vine însă vorba de autentificarea în doi pași, are în sine o problemă: nu este simplă și rapidă. Adică nu consumă foarte mult timp, dar utilizatorii sunt, în general, comozi și dacă se poate fără ar prefera fără. Cheile fizice pentru autentificare scurtează, cumva, acest proces, doar că sunt fizice și ar însemna ca utilizatorul să le aibă la îndemână. E însă posibil ca eliminarea parolelor din fluxul obișnuit de accesare a dispozitivelor să vină fix de la companii, dar, în prezent, circa 70% dintre acestea încă se bazează pe autentificare prin parole.
În aceeași notă, o analiză Verizon din 2020 arăta că 80% dintre atacurile cibernetice sunt legate de parole. Pentru că și dacă nu sunt ținute în plain text pe server, parolele tot pe server sunt. Asta în timp ce atacurile de tip phishing sunt tot mai răspândite, la fel și cele de tip ransomware. Și aici se mai adaugă un procent interesant: utilizarea unor platforme terțe de tip multifactor authentication, care elimină nevoia de parole, pot reduce cu până la 99% atacurile cibernetice.
Ce înseamnă, de fapt, transformarea telefonului în parolă sau „renunțarea” la parole
Telefonul e, deja, cel mai folosit computer de către, de acum, miliarde de oameni. Și cele mai multe au cel puțin scanner de amprentă. De exemplu, Android are circa 72% cotă de piață, în timp ce iOS e la circa 27% cotă de piață. Și pentru fiecare în parte vorbim de cel puțin un miliard de utilizatori, de unde și ideea Apple de care ziceam la început: autentificarea prin iCloud. Astfel, iCloud devine un MFA. Noile iOS și macOS vor fi capabile să genereze coduri de autentificare, iar dacă site-ul oferă 2FA, atunci pot fi setate coduri de verificare în setările telefonului – fără să fie nevoie de o altă aplicație.
Cristian Dinu, antreprenor și CTO Hypersay, mi-a prezentat și un alt avantaj al folosirii biometriei – și, mai departe, integrarea telefoanelor în ecosistemul securității. „Amprentele și fața sunt, fără îndoială, mai sigure decât parolele, pentru că necesită ceva pe care numai utilizatorul îl are. Nu poți să pierzi sau să furi o amprentă, în timp ce parolele sunt refolosite, furate, iar, de multe ori, și ușor de ghicit. O cheie biometrică scapă de aceste probleme. Evident, atunci când este bine făcută”, a subliniat acesta.
Securitatea de acest tip, care ne duce către un viitor fără parole, nu ar putea fi însă făcută doar prin programare și prin utilizarea unui scanner. De exemplu, cele mai multe telefoane folosesc senzor optic pentru „citirea” amprentei. Asta înseamnă că interpretează o imagine 2D. Samsung și Qualcomm au experimentat cu senzori ultrasonici, care „citesc” amprente în format 3D. În cazul Face ID de pe iPhone marea noutate, care îi dă și eficiența, e maparea feței în zeci de mii de puncte. Astfel, tot la 3D ajungem.
Toate acestea nu ar fi însă neapărat utile fără un TPM (Trusted Processor Module). E vorba de o enclavă pe procesor care stochează datele care țin de biometrie. Astfel, amprenta și fața pe care nu le „pierzi” nu stau pe un server și nu există acces la ele. Sigur, în măsura în care producătorul echipamentului are cele mai bune intenții, dar asta e altă discuție. În acest sens Apple a dezvoltat și cipul denumit T2 care are doar rol în securizare, dar miza e să migreze către procesoare ARM și pe macOS (primele produse sunt deja pe piață), care au arhitectura built-in, așa că nu va mai fi nevoie de un cip secundar.
Crearea unei enclave securizate presupune dotarea procesorului cu un Boot ROM și un generator AES pentru securizarea datelor. Între această enclavă și procesorul propriu-zis nu există o conexiune, ci doar o validare a datelor și a cheii de criptare. Și stochează cheile private prin criptografie pe curbă eliptică pe 256 biți. În acest sens, Costin Raiu, directorul Global Research & Analysis Team în cadrul Kaspersky, a explicat că dacă cineva îți vede parola, o poate folosi de oriunde să-ți acceseze contul. „Dar chiar dacă cineva îți sparge acest cip care stochează datele biometrice e foarte greu să reconstituie de-acolo datele necesare accesării, cum ar fi reconstruirea amprentei. Da, poți avea datele care autentifică amprenta, dar datele respective nu sunt suficiente pentru a folosi amprenta pentru autentificare în altă parte. Singura cale ar fi să acceseze fizic dispozitivul, dar această cale e foarte complicată”, a detaliat acesta.