Днес чета статия, публикувана от Мат Хонан в Кабелен озаглавен „Убийте паролата: Защо низ от символи не може да ни защити повече“ (което в превод на нашия език е: „Убиване на паролата: Защо низ от символи вече не може да ни защити?“), спомних си разговор преди няколко дни с някои от членовете на тази общност, в който спомена колко малко е широко разпространено използването на четци на пръстови отпечатъци като механизъм за удостоверяване, особено в най-широко използваните мобилни устройства и предимствата, които тяхното използване би осигурило.
Въпросната статия представя скорошни примери за това как са били хакнати акаунтите на някои потребители (включително автора на статията), подчертавайки реалната неспособност на паролите и настоящите механизми за удостоверяване и проверка за защита на нашата информация и поверителност и той аргументира причините за това твърдение, всички те са много валидни и това може да бъде обобщено в четири големи групи:
1. - Повишен капацитет за обработка, който позволява хакове да бъдат хакнати чрез използването на груба сила и речници за пароли, налични в мрежата. Хайде, с капацитета на текущите процесори и графични процесори, използвайки широко достъпни хакерски програми с груба сила, с речници, които лесно можем да влезем в мрежата, въпрос на време е някой да успее да намери паролата на шифрован файл , дори когато се предполага, че е "безопасно", тъй като съдържа букви, цифри и други знаци, с влошаването, че тези възможности ще продължат да се увеличават в бъдеще.
2.- Повторна употреба на пароли от същия потребител. Какво сме правили? Използваме един и същ имейл акаунт, за да се удостоверяваме в различни услуги, дори използваме едно и също потребителско име и парола, когато се регистрираме на различни места в мрежата, в допълнение към „веригирането“ на нашите акаунти със същия „резервен“ имейл адрес, като по този начин че ако някой получи достъп до един от нашите акаунти, той на практика ще получи достъп до всички тях.
3.- Използване на pishing и зловреден софтуер за кражба на пароли. Тук това, което най-много влияе на здравия разум на потребителя, защото ако обикновено щракнете върху връзките колко поща получавате или колко страници посещавате, вие сте изложени да предоставите сами информацията, която по-късно ще бъде използвана срещу вас.
4.- Използване на „социално инженерство”. Тук има два широко използвани аспекта. От една страна, все повече и повече поставяме живота си в мрежата: Facebook, Linkedin, лични блогове и т.н. предоставим на всички подробни подробности за живота ни (където учим, кои са приятелите ни, името на нашия домашен любимец и т.н. и т.н.), които в повечето случаи са отговорите на въпросите за проверка на почти всички услуги в които регистрираме. От друга страна, способността на хакерите да използват инструменти за социално инженерство, за да взаимодействат с обслужването на клиенти, им позволява да постигнат с относителна лекота, като се възползват от информацията, която имат за нас, да убедят тези услуги, че те са истински потребител и да получат задържане на нашите сметки.
Е, с развитието на информационното общество е неоспорим фактът, че нашето присъствие в Интернет ще продължи да нараства, докато ние ще зависим в по-голяма степен от използването на онлайн услуги за нашето ежедневие, което добави към намерението да превърнем мобилните телефони в електронни портфейли за плащане, чрез използването на технологията NFC (Near Field Communication), са съставките за перфектна буря от гледна точка на сигурността, невъзможно да се избегне с единственото използване на пароли и механизми за проверка като сегашните .
Както при всички въпроси, в които е свързана сигурността, е необходимо да се установи компромис между силата на механизма за удостоверяване спрямо лекотата на използване и поверителността на въпросната услуга. За съжаление, досега лекотата на използване преобладаваше в ущърб на силата на механизмите за удостоверяване.
Изглежда има съвпадение в мнението, че решението на този проблем се състои в комбинация от пароли, анализ на моделите на използване и използване на биометрични устройства, за да се гарантира процес на удостоверяване, който улеснява живота на потребителите, с повече механизми за проверка. настоящите.
Вече някои доставчици на услуги в мрежата започнаха да използват модели на използване като допълнение към паролите, поради което, например, когато имаме достъп до акаунта си в Gmail от IP, различен от този, който обикновено правим, той ни изпраща на екран за проверка, за да се провери по друг метод (телефонно обаждане или текстово съобщение), че ние сме законният потребител на акаунта. По този аспект изглежда има консенсус, че е само въпрос на време повечето от доставчиците на услуги в мрежата да приемат подобни варианти.
Все още липсва, че използването на биометрични механизми или устройства като част от удостоверяването не е започнало да се прилага, има различни форми, от най-простите като разпознаване на гласов модел или разпознаване на лица (напълно изпълним от софтуер) и за които мобилните устройства вече имат необходимия хардуер (микрофони и камери), дори и най-сложните като четци на пръстови отпечатъци или скенери на ириса.
Въпреки че в този смисъл вече се предприемат някои стъпки, като например разпознаване на лица за отключване на мобилния телефон в някои телефони с Android или скорошната покупка от Apple на компанията AuthenTec, специализирана в тези проблеми, използването му не надхвърля анекдотичното и какво по-тревожно е, че интеграцията на тези форми на удостоверяване с услугите в мрежата все още не е започнала да се обсъжда.
Според мен разпознаването на лице или глас, въпреки че те са най-лесни за изпълнение и не изискват допълнителен хардуер, са най-малко сигурните методи, докато скенерите на ириса са напълно невъзможни за интегриране в мобилни устройства, които Най-добрият вариант са четците за пръстови отпечатъци, които поради намалените си размери и множеството „клавиши” биха били идеалното решение; Позволете ми да обясня: ако сме дрезгави поради грип или сме претърпели инцидент или имаме нараняване на лицето, гласът или разпознаването на лицето биха били сложни, докато с четец на пръстови отпечатъци можем да конфигурираме използването на няколко пръста, така че Инцидент в един не би ни попречил да получим достъп до нашите данни и услуги.
Понастоящем вече има някои преносими компютри, които интегрират четци на пръстови отпечатъци в тяхната конфигурация, без да се забелязва значително увеличение на цената на тези модели, което ни позволява да заключим, че тяхната цена не е значителна, въпреки факта, че използването им не е било удължен. От друга страна, за съжаление в момента има много малко мобилни устройства, които имат четци на пръстови отпечатъци и интегрирането им в тях не изглежда да е тенденция.
Някои мнения предполагат, че сме изправени пред класическата ситуация с пилета и яйца: четците не са интегрирани в устройствата, защото мрежовите услуги не ги използват като механизъм за удостоверяване, но от своя страна мрежовите услуги не ги използват като механизъм за удостоверяване поради малък брой устройства, които ги интегрират като стандарт. Изглежда това е гордиевият възел, който в момента никой не смее да отреже.
Отвъд този безизходица, в който се намираме, мисля, че има ситуация, която трябва да бъде решена за неговото прилагане и това е установяването на необходимите стандарти за използване на пръстови отпечатъци при удостоверяване, т.е. четецът на пръстови отпечатъци сканира изображение и от него трябва да се генерира един вид електронен подпис, който ще бъде изпратен до услугата като "парола" за удостоверяване, така че алгоритъмът за генериране на този подпис трябва да гарантира, че различните читатели генерират равни подписи на един и същ отпечатък, без да се накърнява сигурността и това не изглежда да е нещо просто.
Да, знам, че на този етап някои ще изложат това, което са видели във филм, където чрез вдигане на пръстов отпечатък, оставен върху чаша, успяват да го използват за достъп до инсталация, но това, освен грандиозното, което се получава на екрана, прави не мисля, че това се превръща в мода, за която трябва да се грижим в бъдеще; Освен ако някой от нас не е агент 007 или не разполага с кодовете за достъп до Fort Knox.
Както казва авторът на статията, която поражда тази публикация, първата стъпка в решаването на даден проблем е признаването на неговото съществуване, за да може след това да започне да предлага решения и точно за това става въпрос. Препоръчвам на всички, които могат да прочетат статията, към която се позовавам, тъй като тя е много илюстративна, както и приятна за четене (на която за съжаление тези, които не знаят английски, няма да могат да се насладят), с допълнителния стимул да съдържа някои бисери за това как хакерите са измамили „уважавани“ услуги, за да получат достъп.
Съгласни ли сте с моето мнение или сте от тези, които все още вярват, че паролите са ни достатъчни?