IT sigurnost: Zamor lozinkama otvara vrata pametnijoj sigurnosti
Drevna tehnologija lozinki jednom je nogom na silasku sa scene koju posljednjih godina “krase” sigurnosne rupe i umorna publika. U poplavi pomodnih termina poput “velikog otkaza” ili “malwarea kao usluge” bilo je samo pitanje vremena kada će se korisnici i struka morati pozabaviti i tzv. zamorom lozinkama
Piše: Mirza Bahić: E-mail: mirza.bahic@asadria.com
Zamor ili zasićenje lozinkama je fenomen koji opisuje frustraciju korisnika izazvanu potrebom za pamćenjem rastućeg broja lozinki za različite nivoe sigurnosti i aplikacija. Rješenje se traži u autentifikaciji bez lozinki, a godina pred nama je, čini se, vrijeme kada bi zamjenske tehnologije konačno mogle početi sazrijevati i u tehničkom i u implementacijskom smislu.
Frustracija hrani rizike
Prema istraživanju kompanije Deloitte za 2023, više od polovine svih zaposlenika (54%) čuva svoje poslovne lozinke na nesiguran način, odnosno na lako dostupnom papiru ili datoteci. Još veći broj njih (65%) kontinuirano koristi jednu te istu lozinku bez previše varijacija. Uz postojeće brige o sigurnosnim prijetnjama izvana, kompanije su iza leđa dobile vojsku frustriranih zaposlenika čije su lozinke ugrožene phishing napadima, aplikacijama za praćenje svega što korisnik unosi putem tastature ili softverskim napadima grube sile. Ovo je potvrđeno i Verizonovim izvještajem o slučajevima povrede podataka za 2022, u kojem je 67% napada na aplikacije izvedeno na bazi kompromitovanih lozinki. Sve u svemu, posljednje dvije godine bile su vrijeme kada su lozinke zaradile neslavnu titulu najslabije karike u lancu cyber sigurnosti, uz sve glasnije pozive da ih se proglasi “legacy” tehnologijom. Ovom pozivu je odgovorilo više kompanija čije tehnologije obećavaju slanje lozinki u muzej sigurnosti već u 2024.
Godina ulaska passkey ključeva u mainstream
Prvi korak napravljen je još sredinom 2023. godine, kada je Google bez fanfara uveo mogućnost prijave na svepopularni Gmail servis bez korištenja lozinki. Prije toga, s još manje pompe, isti princip je ponudio i Microsoft. U korijenu tehnologije koja treba istisnuti lozinke su tzv. passkey kriptografski ključevi koje kreira autentifikator u vidu pametnog telefona ili softvera za upravljanje lozinkama. Da bi se autentifikator ocijenio validnim, potrebna je verifikacija samog korisnika, npr. pomoću biometrijskog senzora sličnog sistemima koji se koriste za otključavanje telefona.
Tu važnu ulogu igra biometrija, odnosno opcija da se pristup ostvaruje prepoznavanjem lica ili skeniranjem otisaka prstiju, uz podršku alata kakvi su TouchID ili FaceID. Jedan kriptografski ključ je javni, a drugi privatni. Kada se prijavite pomoću lozinke, vaš autentifikator će generirati javni ključ za taj server, odnosno jedinstvenu informaciju koju bilježi sama aplikacija ili web-stranica. Istovremeno, privatni ključ se pohranjuje isključivo na korisnikovom uređaju. Nakon autentifikacije korisnika koji vrši prijavu, sistem kombinira obje informacije za kreiranje passkey ključa pomoću kojeg se odobrava pristup računu. Ovi ključevi se sinhroniziraju za više uređaja, što ih čini još praktičnijim za širu primjenu.
Šta želi FIDO?
Ono što bi passkey trebalo proširiti i do virtuelnih zidova koji opasavaju mrežne resurse i aplikacije jeste činjenica da se ne radi ni o kakvoj vlasnički zaštićenoj tehnologiji, nego o industrijskom standardu. Tu na scenu stupa FIDO alijansa, čiji su članovi tehnološki divovi poput spomenutog Googlea i Microsofta, uz neizbježni Apple. Iako postoji svijest da se tranzicija u eru autentifikacije bez lozinki neće odvijati brzo, FIDO je organizacija s jasnom agendom: aplikacije i ostali resursi na mreži neće biti sigurni sve dok se za pristup istima koriste lozinke. Bez obzira na “palijativne” mjere poput uvođenja višefaktorske autentifikacije, budućnost je, smatraju u FIDO-u, u cjelovitoj enkripciji sistema prijave, pri čemu će ulogu lozinki preuzeti personalizirani ključevi pohranjeni na pristupnom uređaju i neodvojivo vezani za hardver i samog korisnika.
Veća sigurnost uz poboljšano korisničko iskustvo
Pristupni ključevi imaju više prednosti nad lozinkama. Za početak, oni se ne mogu nasumično pogoditi ili podijeliti. Ovi ključevi su otporni i na pokušaje krađe identiteta jer su jedinstveni za web-lokacije za koje su kreirani. Istovremeno, i sam račun na koji se korisnik prijavljuje nikada ne mora pamtiti njegov privatni ključ, tj. ne mora pohraniti osjetljive informacije o tome da je zahtjev za prijavu došao od konkretne osobe. To tehnologiji pristupnih ključeva daje dodatnu prednost u odnosu na lozinke koje gube svoju sigurnost kada se podijele ili ukradu.
Ono što je najvažnije, u doba svakodnevnih povreda podataka, pristupni ključevi ne mogu biti ukradeni hakiranjem servera ili baze podataka kompanije. U konačnici, podaci izvučeni napadima bit će manje vrijedni za kriminalce jer, očito, nisu smatrani dovoljno značajnim da bi ih se zaštitilo pristupnim ključevima. Iz strogo sigurnosne perspektive, uklanjanje lozinki smanjuje i preopterećenje akreditivima za zaposlenike i korisnike.
Izazovi: stare navike i odsustvo standarda
No, zašto bi 2024. trebala biti godina tranzicije u smislu smanjenja sveprisutnosti lozinki? Za početak, sada se može reći da su konačno mapirane sve prepreke široj primjeni tehnologije ključeva, uz rast svijesti o finansijskim pogodnostima dokidanja lozinki. Dalje, oslobađanje bremena pamćenja i unosa različitih lozinki znači da će korisnici usluga kompanija imati kvalitetnije korisničko iskustvo.
Ipak, na putu široj primjeni ključeva stoje brojne prepreke. Prva je prosta sveprisutnost zastarjelih sistema. Mnoge kompanije i dalje se oslanjaju na staru tehnologiju i platforme koje nisu podesne za rad s tehnologijama autentifikacije bez lozinke. Iako se one mogu i modificirati, sam čin prilagodbe ovih sistema može biti skuplji od nabavke novih uređaja, odnosno i hardvera i softvera za njih.
Istovremeno, ni u 2024. ne postoji jedinstveno standardizirano rješenje za rad bez lozinki koje može raditi sa svim tipovima tehnološke infrastrukture, kombinacijama uređaja i scenarijima primjene. Zato bi primjena ovakvih rješenja tražila i pronalazak strateških partnera koji bi ostali uz organizaciju u svakoj fazi implementacije. Na kraju, uprkos pogodnostima za klijente koje nudi autentifikacija bez lozinki, organizacije moraju znati da će nemali broj korisnika ipak birati da ostane uz sistem koji poznaje, ma kako on bio nepraktičan. Tu će komunikacija o pogodnosti eliminacije lozinki iz sigurnosne jednačine biti ključna, kao i kod svake masovnije digitalne transformacije koja traži saradnju s korisnicima.
Uz prelazak na pristupne ključeve i decentralizirane identitete, nova era autentifikacije bi mogla lako imati 2024. kao svoju početnu godinu.