Artykuły
Bill Gates przewidywał, że uwierzytelnianie za pomocą hasła będzie niebawem pieśnią przeszłości. Mówił to w 2004 roku, a więc od tej wypowiedzi upłynęło już trochę czasu. Jak na razie, wizja Gatesa jeszcze się nie spełniła, choć taka perspektywa coraz wyraźniej maluje się na horyzoncie. Jedną z propozycji jest biometria, ale to nie jedyne warte uwagi rozwiązanie.
Użytkownicy sieci i aplikacji mobilnych przywykli do haseł. Niektórzy wręcz za bardzo się do nich przyzwyczaili. Według BullGuarda aż 21 proc. internautów przez okres ponad 10 lat ani razu nie zmieniło swojego hasła. Inne dane, tym razem zebrane przez SailPoint, wskazują na to, że około 65 proc. użytkowników sieci używa tych samych ciągów liter i cyfr, w takiej samej kolejności, używa się na różnych platformach, zarówno prywatnych, jak i służbowych. Jeden na pięciu przekazuje natomiast swoje hasła innym osobom.
Trudno jednak oczekiwać zmian od samych użytkowników, bo dziś praktycznie większość usług online oczekuje od nich podania hasła. Dziennie takich operacji może być nawet kilkadziesiąt. W skali roku to nieprawdopodobna ilość i trudno zapamiętywać indywidualne dane uwierzytelniające do wszystkich możliwych portali, nie mówiąc już o ich regularnym “resetowaniu” i wprowadzaniu haseł od nowa. W grę wchodzi bowiem szybkość i wygoda obsługi.
Prowadzi to niestety do sytuacji, gdy coś pozornie bezpiecznego, jak znakowy kod dostępu, staje się furtką dla hakerów. Obecnie ich ataki są przeprowadzane na masową skalę, a cyberprzestępczość miała szansę rozwinąć się zwłaszcza w warunkach pandemii, gdy wiele przedsiębiorstw “przerzuciło się” na pracę zdalną. Nie wszystkie firmy miały zasoby na tyle wystarczające, by zadbać o kompleksową ochronę przed hakerami. A oni doskonale znajdowali luki w systemach ochrony. Punktem “wejścia” stały się dla nich między innymi niezabezpieczone przeglądarki internetowe i domowe sieci bezprzewodowe.
Projektanci zabezpieczeń radzili sobie z tym do tej pory w różny sposób, między innymi blokując użytkownikom możliwość ustawiania zbyt łatwych, mało skomplikowanych sekwencji znaków. Nie odniosło to jednak sukcesu na większą skalę. Z raportu Verizon wynika, że w 2020 roku ponad 80 proc. naruszeń związanych z hakowaniem dotyczyło wykorzystania utraconych lub skradzionych danych uwierzytelniających, czyli właśnie haseł.
Prognozy na przyszłość? Coraz rzadziej będziemy stosować tradycyjne hasła. Klasyczne wpisywanie znaków na klawiaturze zastąpią różnego typu zabezpieczenia bazujące na zapisie linii papilarnych, wyglądzie twarzy czy obrazie tęczówki oraz na indywidualnych profilach w urządzeniach osobistych. Nie jest to wyabstrahowana wizja, bo wcielają ją w życie najwięksi technologiczni giganci. Oczywiście nic nie dzieje się od razu, ale trend jest zauważalny. Ale również przed tą technologią pojawiają się liczne wyzwania.
Prawdziwą rewolucję przyniosło Apple ze swoimi czytnikami linii papilarnych, dla systemów iOS. Za trendem natychmiast podążyli kolejni producenci, na czele z Samsungiem. Dziś to rozwiązanie jest oczekiwanym standardem, a nie luksusem.
Biometryczna rewolucja poskutkowała kolejnymi innowacjami. Na przykład w smartfonie Samsung Galaxy S8 wbudowano skaner siatkówki, a w systemach operacyjnych komputerów jednym ze sposobów logowania jest rozpoznawanie twarzy (np. funkcja Hello w Windows 10).
Co będzie dalej? Możliwości są praktycznie nieskończone. Badacze z Uniwersytetu Berkeley zaprojektowali system autoryzacji za pomocą… fal mózgowych. Naukowcy wyszli z założenia, że sygnały elektryczne wytwarzane przez ludzki organizm stanowią bazę dla podejmowania decyzji o odblokowywaniu urządzenia lub chęci zalogowania się do konkretnej usługi.
Nowe rozwiązania mają szansę wyprzeć to, co wydawało się remedium na “niebezpieczne” hasła, mianowicie uwierzytelnianie dwuetapowe z wykorzystaniem SMS. Również to rozwiązanie odejdzie do lamusa i dobitnie pokazuje to raport Cisco Duo Trusted Access 2000, z którego jasno wynika, że wiadomości tekstowe mogą być przechwytywane i nie dostarczane pod wskazany numer telefonu. Co więcej, w okresie od 2019 do 2020 roku polityka zakazująca SMS-ów jako metody uwierzytelniania wzrosła aż o 85 procent.
Biometria to dziś technologia gwarantująca najwyższe bezpieczeństwo przetwarzania danych.
Mówi o tym inż. Agata Giełczyk z Uniwersytetu Technologiczno-Przyrodniczego w Bydgoszczy, która zajmuje się nią w swoich analizach naukowych: Najnowsze badania pokazują, że to właśnie taki sposób weryfikacji użytkowników gwarantuje najwyższe bezpieczeństwo. W taki sposób tłumaczy jej działanie: Proces ten polega na uzyskaniu kilku informacji od użytkownika (np. odcisk palca, karta i hasło) i dopiero w przypadku, gdy wszystkie elementy się zgadzają, użytkownik otrzymuje pozytywną autoryzację.
Z biometrii korzysta się w różnych obszarach i dla różnych celów. Świetnym przykładem jest otwieranie i zamykanie drzwi samochodu poprzez przyłożenie palca do czytnika rozpoznającego linie papilarne właściciela. Bez noszenia ze sobą kluczyków lub pilotów, które także można zhakować. Innym zastosowaniem jest tzw. biometryczny paszport, jaki już dziś znajduje zastosowanie na Lotnisku Chopina w Warszawie i współdziała z bramkami automatycznej kontroli paszportowej ABC (Automated Border Control).
Opisywana technologia coraz częściej wdrażana jest w przedsiębiorstwach. Zgodnie ze wspomnianym wyżej raportem 2020 Cisco Duo Trusted Access, dziś aż 80 proc. służbowych urządzeń, co przyniosło wzrost o 12 proc. w perspektywie ostatnich pięciu lat.
Jak wspomnieliśmy, firmy coraz częściej będą dążyć do pracy zdalnej lub przynajmniej do hybrydowych sposobów zatrudnienia. A to generuje nowe potrzeby, które zazębiają się w punkcie dotyczącym bezpieczeństwa. Również cyberbezpieczeństwa.
Idą za tym konkretne liczby. Raport CISCO 2020 wskazuje na fakt, że średnia liczba codziennych uwierzytelnień w aplikacjach w chmurze wzrosła o 40 proc. w stosunku do roku poprzedniego, o ponad 60 proc. wzrosła tendencja do codziennego uwierzytelniania spoza biur stacjonarnych przy użyciu technologii VPN i RDP, natomiast samo wykorzystanie aplikacji dostępu zdalnego w przedsiębiorstwach wzrosło o 32,2 proc.
Nic więc dziwnego, że dostawcy usług intensywnie pracują nad tworzeniem i wsparciem rozwiązań uwierzytelniających, które nie będą opierać się na haśle. Na chwilę obecną jednym z bardziej skutecznych sposobów zwiększania bezpieczeństwa danych o firmie i pracownikach jest wdrażanie polityki Zero Trust. Opiera się ona na założeniu, że żaden użytkownik nie ma dostępu do zasobów w sieci, o ile wcześniej nie potwierdzi swojej tożsamości.
W jaki sposób odbywa się weryfikacja? Do wyboru są właśnie opisywane metody biometryczne, ale także wciąż stosowane jeszcze w wielu przedsiębiorstwach uwierzytelnianie dwuskładnikowe. W Zero Trust korzysta się też coraz częściej ze specjalnego sposobu szyfrowania informacji, opartego na automatycznym oznaczaniu zaufanych urządzeń. Sztuczna inteligencja jest w stanie automatycznie je kategoryzować, udzielając odpowiednich uprawnień. Sprzyja to wygodzie i efektywności pracy.
Takie podejście ma wiele zalet i idealnie wpisuje się w założenia pracy zdalnej, bo o ile klasyczna polityka bezpieczeństwa opierała się na identyfikowaniu miejsca, z którego wysłano zapytanie do sieci, to o tyle w przypadku Zero Trust weryfikowanie odbywa się niezależnie od tego, skąd przyszła taka prośba. W końcu pracownicy mogą wykonywać swoje obowiązki z każdego zakątka, zatem żadna lokalizacja nie powinna być “podejrzana”. To, co powinno wzbudzać nieufność, to sama tożsamość użytkownika, która musi być sprawdzana jeszcze przed udzieleniem dostępu do aplikacji i sieci.
Wyjaśniliśmy już, dlaczego zmiana podejścia do uwierzytelniania jest przydatna w świecie biznesu. Ale przecież z sieci korzysta się nie tylko w firmie, lecz również, coraz częściej i na coraz większą skalę, w miejscu zamieszkania.
Dlatego właśnie APA ze swoim systemem Nazca, ukierunkowanym między innymi na inteligentne domy, prezentuje wysoce innowacyjne podejście do kwestii cyberbezpieczeństwa. Atak hakerski na przestrzeń, która powinna się kojarzyć domownikom z bezpieczeństwem, jest wysoce niepożądany. W Nazca taka ewentualność jest praktycznie niemożliwa, za sprawą integracji z narzędziem ELIoT Pro.
Nie bazuje on na takich standardowych zabezpieczeniach jak kody SMS, login czy hasło. Uwierzytelnienie odbywa się przy użyciu aplikacji mobilnej zainstalowanej na smartfonie użytkownika. Nie ma zatem informacji zewnętrznych, które można wykraść za pomocą takich “sztuczek” jak atak przechwytujący, atak phishingowy, MITM (man-in-the-middle) czy MITB (man-in-the-browser).
Jak to możliwe? ELIoT Pro wykorzystuje jednorazowy kod oparty o metodologię One-Time-Pad, natomiast urządzenia komunikują się między sobą za pośrednictwem dźwięku transmitowanego przez głośniki. Smartfon przechwytuje go i uwierzytelnia użytkownika. Jest to unikatowa w branży technologia opracowana przez specjalistów z Cyberus Labs. W procesie autoryzacji dźwięk jest emitowany albo przez witrynę WWW, albo przez aplikację wchodzącą w skład systemu Nazca.
Innowacyjnym rozwiązaniem w ELIoT Pro jest również technika ukrywania treści w komunikacji, znana jako steganografia. Opcjonalne są również zabezpieczenia biometryczne lub wprowadzenie dodatkowych czynników uwierzytelnienia.
Wszystko to sprawia, że ELIoT Pro staje się bezpieczną i nowatorską alternatywą dla popularnych tradycyjnych propozycji z zakresu cyberbezpieczeństwa systemów smart home. Jest ona zarazem elementem większego systemu zapewniania cyberbezpieczeństwa ELIoT, który otrzymał dofinansowanie z programu unijnego SME Instrument, premiującego innowacje.
Co ciekawe, sam system Nazca może polegać na zewnętrznych systemach uwierzytelniania użytkowników, np. LDAP, Active Directory czy Cyberus Labs. Dane użytkownika są bezpieczne od momentu wdrażania, bo w ramach tej procedury integratorzy APA dbają o to, by były one udostępniane w sposób kontrolowany jedynie w celach wymaganych dla działania technologii.
Biometria to technologia o dużym potencjale, ale nadużyciem byłoby mówienie, że jest to podstawowe i jedyne rozwiązanie na przyszłość. Nie jest ono bowiem pozbawione wad. Im bardziej będzie rozwinięte, tym więcej potencjalnych “furtek” dla cyberprzestępców.
Alternatywne opcje? Na przykład te oparte o zaufaną trzecią stronę. Już teraz eksploatowane i testowane są technologie Oauth oraz oparte na uwierzytelnianiu za pomocą Google i Facebooka. Na uwagę zasługuje również profil zaufany w polskim wydaniu, gdzie weryfikacja odbywa się w systemach bankowych, BLIK, projekty takie jak OpenID.
Biometria będzie z powodzeniem stosowana w poważnych zastosowaniach, a więc wszędzie tam, gdzie można zagwarantować na wysokim poziomie bezpieczeństwo samych informacji uwierzytelniających, czyli danych biometrycznych.
(oddanych głosów: 2 średnia: 5,00 z 5)
Loading...
