Sunt diverse clasamente care apar la final sau început de an. Unul dintre cele mai interesante e cel dedicat parolelor proaste care încă sunt folosite. Primul loc, pe 2020, e ocupat de „123456”. Se mai regăsesc în clasament și „qwerty”, „password” și chiar „picture1”. Dacă ai întreba pe cineva specializat în securitate cibernetică ce parolă ar fi bună, ți-ar spune că una cât mai lungă, cu cât mai multe elemente diferite între ele și, în același timp, una pe care s-o ții minte. Uneori e recomandat chiar să pui fraze întregi, cum ar fi versuri dintr-o melodie. Doar să ții minte melodia și bucata pe care ai setat-o ca parolă.
E posibil să setezi cele mai bune parole pe conturile tale. Atunci nu-ți mai rămâne decât să speri că platforma pentru care ai setat o parolă nu ajunge să le stocheze în plain text, cum a făcutFacebook în urmă cu câțiva ani. Dau exemplul rețelei sociale doar pentru că este atât de mare, cu atât de multe informații sensibile, încât un utilizator ar putea presupune că-i și pasă de securitatea datelor. În fine, problematica e alta: cât mai trăim cu parole? Din fericire, nu mult.
Viitorul e unul fără parole. Deja îl trăim, într-o anumită măsură. Iar companii ca Apple sau Google deja fac pași serioși în direcția asta. Apple, de exemplu, cu următoarele iOS și macOS, vrea să ducă autentificarea prin Face ID și Touch ID la următorul nivel. Astfel, diverse aplicații, site-uri și platforme de orice fel pot integra API-uri ca să recunoască această autentificare biometrică drept parolă. Cum ziceam în urmă cu câteva luni, corpul e o unealtă excelentă de-a securiza date.
Înainte de biometrie a fost stick-ul USB care să securizeze identitatea
Odată cu iPhone X Apple a făcut un pas util în direcția securității. Astfel, prin scanarea feței printr-un sistem de zeci de mii de puncte infraroșu și prin recunoașterea trăsăturilor a redat telefoanelor libertatea de-a fi accesate fără vreun cod. Dar, în același timp, datele de pe ele să fie securizate. Și pe măsură ce-a mizat pe securitate a venit cu altă idee: să poți accesa laptopul, de exemplu, fără să bagi parola, doar să ai aproape telefonul sau ceasul – pe care deja ești autentificat.
Înainte de acest moment eu am fost impresionat de altă idee: Yubikey. Stick-ul USB are un buton capacitiv care, odată apăsat, generează un șir de caractere care funcționează ca un one- time password. Cheia fizică are două moduri de funcționare: Yubico OTP sau OATH-HOTP. În modul standard acest hardware generează un șir de 44 de caractere: 12 de tip public ID, celelalte 32 bazate pe standardul AES de criptare. Și fiecare cheie Yubikey are o cheie simetrică unică AES.
Sursa foto: Unsplash
Cea mai utilă parte e că aceste chei pot fi folosite pe USB-A, USB-C, Lightning sau chiar NFC. Și folosesc mai multe standarde de autentificare, cum ar fi FIDO2, OpenPGP 3 sau U2F. Cel din urmă, de exemplu, poate fi utilizat pentru Facebook, Dropbox, conturi Epic Games, Okta sau chiar și conturi Microsoft. În acest domeniu este și Google, cu soluția Titan. Și, desigur, au fost integrate și cititoare de amprentă pe astfel de chei fizice, că niciodată nu poți fi suficient de securizat.
Ideea asta are cea mai mare tracțiune când vine vorba de autentificarea în doi pași. Din păcate, acum aceasta e bazată, când vine vorba de utilizatori obișnuiți, pe SMS. Iar SMS-ul are marele dezavantaj că poate fi interceptat de cineva care ar vrea să obțină acces la cont. Astfel, în loc de coduri primite pe SMS sau mail, există această cheie care confirmă că ești cine ești. Iar o cheie fizică are două avantaje importante: generează parole de confirmare mult mai dificil de ghicit și îngreunează enorm, dacă nu o face chiar imposibilă, sarcina de-a obține acces la cheia fizică.
Astfel, o cheie USB poate fi cuplată cu o aplicație de gestionat parole. Și, dintr-o dată, mai ții minte doar una-două parole, pe celelalte le ai salvate, și confirmi identitatea prin așa ceva. E și direcția în care se îndreaptă autentificarea prin telefon sau ceas, cum încearcă Apple să facă acum și cum, probabil, vor face tot mai multe companii care au și servicii online, și dispozitive hardware.
Când vine însă vorba de autentificarea în doi pași, are în sine o problemă: nu este simplă și rapidă. Adică nu consumă foarte mult timp, dar utilizatorii sunt, în general, comozi și dacă se poate fără ar prefera fără. Cheile fizice pentru autentificare scurtează, cumva, acest proces, doar că sunt fizice și ar însemna ca utilizatorul să le aibă la îndemână. E însă posibil ca eliminarea parolelor din fluxul obișnuit de accesare a dispozitivelor să vină fix de la companii, dar, în prezent, circa 70% dintre acestea încă se bazează pe autentificare prin parole.
În aceeași notă, o analiză Verizon din 2020 arăta că 80% dintre atacurile cibernetice sunt legate de parole. Pentru că și dacă nu sunt ținute în plain text pe server, parolele tot pe server sunt. Asta în timp ce atacurile de tip phishing sunt tot mai răspândite, la fel și cele de tip ransomware. Și aici se mai adaugă un procent interesant: utilizarea unor platforme terțe de tip multifactor authentication, care elimină nevoia de parole, pot reduce cu până la 99% atacurile cibernetice.
Ce înseamnă, de fapt, transformarea telefonului în parolă sau „renunțarea” la parole
Telefonul e, deja, cel mai folosit computer de către, de acum, miliarde de oameni. Și cele mai multe au cel puțin scanner de amprentă. De exemplu, Android are circa 72% cotă de piață, în timp ce iOS e la circa 27% cotă de piață. Și pentru fiecare în parte vorbim de cel puțin un miliard de utilizatori, de unde și ideea Apple de care ziceam la început: autentificarea prin iCloud. Astfel, iCloud devine un MFA. Noile iOS și macOS vor fi capabile să genereze coduri de autentificare, iar dacă site-ul oferă 2FA, atunci pot fi setate coduri de verificare în setările telefonului – fără să fie nevoie de o altă aplicație.
Cristian Dinu, antreprenor și CTO Hypersay, mi-a prezentat și un alt avantaj al folosirii biometriei – și, mai departe, integrarea telefoanelor în ecosistemul securității. „Amprentele și fața sunt, fără îndoială, mai sigure decât parolele, pentru că necesită ceva pe care numai utilizatorul îl are. Nu poți să pierzi sau să furi o amprentă, în timp ce parolele sunt refolosite, furate, iar, de multe ori, și ușor de ghicit. O cheie biometrică scapă de aceste probleme. Evident, atunci când este bine făcută”, a subliniat acesta.
Securitatea de acest tip, care ne duce către un viitor fără parole, nu ar putea fi însă făcută doar prin programare și prin utilizarea unui scanner. De exemplu, cele mai multe telefoane folosesc senzor optic pentru „citirea” amprentei. Asta înseamnă că interpretează o imagine 2D. Samsung și Qualcomm au experimentat cu senzori ultrasonici, care „citesc” amprente în format 3D. În cazul Face ID de pe iPhone marea noutate, care îi dă și eficiența, e maparea feței în zeci de mii de puncte. Astfel, tot la 3D ajungem.
Toate acestea nu ar fi însă neapărat utile fără un TPM (Trusted Processor Module). E vorba de o enclavă pe procesor care stochează datele care țin de biometrie. Astfel, amprenta și fața pe care nu le „pierzi” nu stau pe un server și nu există acces la ele. Sigur, în măsura în care producătorul echipamentului are cele mai bune intenții, dar asta e altă discuție. În acest sens Apple a dezvoltat și cipul denumit T2 care are doar rol în securizare, dar miza e să migreze către procesoare ARM și pe macOS (primele produse sunt deja pe piață), care au arhitectura built-in, așa că nu va mai fi nevoie de un cip secundar.
Crearea unei enclave securizate presupune dotarea procesorului cu un Boot ROM și un generator AES pentru securizarea datelor. Între această enclavă și procesorul propriu-zis nu există o conexiune, ci doar o validare a datelor și a cheii de criptare. Și stochează cheile private prin criptografie pe curbă eliptică pe 256 biți. În acest sens, Costin Raiu, directorul Global Research & Analysis Team în cadrul Kaspersky, a explicat că dacă cineva îți vede parola, o poate folosi de oriunde să-ți acceseze contul. „Dar chiar dacă cineva îți sparge acest cip care stochează datele biometrice e foarte greu să reconstituie de-acolo datele necesare accesării, cum ar fi reconstruirea amprentei. Da, poți avea datele care autentifică amprenta, dar datele respective nu sunt suficiente pentru a folosi amprenta pentru autentificare în altă parte. Singura cale ar fi să acceseze fizic dispozitivul, dar această cale e foarte complicată”, a detaliat acesta.
În cazul implementării, deja vorbim de o uniformizare în ceea ce privește adopția de către platforme. Astfel, odată disponibilă infrastructura, autentificarea biometrică devine o interfață de programare (API) la fel ca celelalte. Următorul pas, deja făcut de cele mai mari servicii, e integrarea capabilităților. Dacă e pe telefon, pentru programare, poate fi folosită o bibliotecă comună iOS și Android, cum ar fi Expo cu modulul de LocalAuthentication, iar strict pe iOS există LocalAuthentication de la Apple (care-i la fel și pentru macOS) sau Biometrics pentru Android. În cazul Windows resursele țin de UWP Security. În ultimii ani, Hello din Windows s-a dovedit o soluție bună pentru a spori securitatea pe un sistem tradițional predispus atacurilor.
Mai nou, și producătorii de hardware adoptă cititoarele de amprente. În fine, și browserele au căpătat și ele capabilități de a folosi identificare biometrică, iar WebAuthn e un punct de pornire.
Nu în ultimul rând, și Okta a spus că are în vedere să elimine parolele. A creat deja FastPass care funcționează pe Windows, macOS, Android și iOS. Și momentul e important, pentru că e vorba de un jucător internațional în zona de securizare a aplicațiilor printr-o platformă unitară și încearcă astfel să fie middle man în organizații și să te autentifici cu cât mai puține parole. Eventual, doar una. Sau fără nevoia de-a apela la SMS.
„Autentificarea biometrică, în esență, ar rezolva această problemă a furtului sau pierderii de parole. Și poate fi un lucru foarte bun în momentul în care devine mai populară. Totul se îndreaptă însă acum în direcția asta – să le înlocuiești cu un PIN și acesta să fie cuplat cu un sistem biometric. Totodată, mai e și opțiunea de-a debloca cu alt dispozitiv, cum ar fi ceasul pentru laptop sau telefonul pentru laptop. „În acest sens poți spune că e un risc dacă cineva îți fură ambele dispozitive, că îl deblochează pe unul cu altul”, a adăugat Costin. „Dar, pe de altă parte, totul se rezumă la faptul că deși recomandarea e mereu de-a folosi parole lungi, diferite pe fiecare cont, realitatea e că majoritatea oamenilor folosesc aceeași parolă peste tot. Și în momentul în care cineva reușește să spargă unul dintre acele conturi sau să fure parole, are acces la alte conturi și aplicații. Astfel, atât autentificarea biometrică, dar și soluțiile de generat parole și stocat sunt superioare parolelor pe care un om le poate ține minte”, a mai spus acesta.
Fundația, dacă se poate spune așa, pentru un viitor fără parole – sau cu cât mai puține – e deja construită. Totuși, parolele nu vor dispărea peste noapte. Aproape tot ce-i digital în prezent se bazează pe ele, dar asta nu înseamnă că vor rămâne pe vecie. Cea mai mare provocare acum, dar și cel mai mare beneficiu de pe urma integrării unor altfel de sisteme, e eliminarea majorității parolelor.
Companii care oferă unele dintre cele mai populare servicii online sau computere pentru a le accesa, cum ar fi Apple, Google, Microsoft, Intel sau Amazon, bănci și servicii financiare, deja fac parte din alianța FIDO2 și încep să implementeze protocoale de migrare dinspre parole spre alte metode. Sigur, mai rămâne cea mai slabă verigă: utilizatorul. Dar tocmai pentru că există această verigă e importantă eliminarea parolelor care, în cele mai multe cazuri, nu sunt extraordinar de complexe.
