Anketa kompanije Statista pokazuje da su u drugom kvartalu 2022. godine, korisnici interneta širom sveta bili žrtve u otprilike 52 miliona slučajeva zloupotrebe podataka. Za razliku od filmova, ozbiljna zloupotreba podataka se često dešava i najčešće uključuje softver ili komplet alata koji dozvoljava hakerima da razmisle o tipovima autorizacija koje će verovatno uroditi plodom.
Ali zašto se prekršaji na polju zaštite podataka dešavaju toliko često i toliko su ozbiljni?
Jedno od verovatnih objašnjenja jeste da su lozinke koje biraju korisnici podložne napadima i dozvoljavaju hakerima da prilično lako naruše našu privatnost i osetljive informacije.
Ipak, autentifikacija bez lozinki može da odigra glavnu ulogu u borbi sa cyber kriminalom pa hajde da se ozbiljno pozabavimo načinima na koje ova tehnologija može da unapredi bezbednost korisnika.
Šta je tehnologija bez lozinki?
Tehnologija bez lozinki (passwordless technology) ili autentifikacija bez lozinki opisuje grupu metoda za verifikaciju identiteta koju mnogi ljudi koriste da pristupe aplikaciji ili IT sistemu. Kao što samo ime kaže, tehnologija bez lozinki od korisnika ne traži da se oslanja na lozinke. Umesto toga, dozvoljava im da se oslone na druge dokaze o potvrdi identiteta kako bi pristupili lokalnim ili online uslugama.
Foto ilustracija: Freepik
Pa su tako, na primer, uobičajene metode autentifikacije bez lozinki sledeće:
- Usluga USB tokena
- Jednokratni mejl za verifikaciju
- Aplikacija za biometrijsku autentifikaciju
- HOTP i TOTP (jednokratna lozinka zasnovana na HMAC-u i jednokratna lozinka zasnovana na vremenskoj odrednici)
- Uporni kolačić
- Jednokratna lozinka u SMS poruci
Ali zašto bi tehnologija bez lozinki bila relevantna za korisnike?
Danas koristimo na desetine aplikacija i programa za posao i zabavu i, na osnovu istraživanja Statiste iz 2018. godine, 45% učesnika tvrde da koriste iste lozinke za neka online logovanja.
Izvor: Statista
Istraživanje kompanije Statista pokazuje da postoji nedvosmislena verovatnoća da će lični podaci nekih ljudi sigurno biti zloupotrebljeni zato što su doneli odluku da raznolikost svojih lozinki svedu na minimum. Ali ko može da ih krivi? Svi smo bili u situaciji kad nismo mogli da se setimo lozinke pa je onda najbezbolniji način da koristimo istu lozinku za sve naloge, zar ne?
Iako je to možda najjednostavniji metod, sigurno nije najbezbedniji. I to je jedan od primarnih razloga zbog kojih mnoge aplikacije ili IT sistemi traže od korisnika da kreiraju jake lozinke koje uključuju određene znakove i simbole.
E tad imamo drugi problem. Mogu li korisnici da zapamte sve one jake lozinke i, ako ne mogu, šta je optimalno rešenje? Tada upotreba tehnologije bez lozinki može biti korisna. Kada bi se korisnici oslanjali na druge vrste verifikacije identiteta bez kompromitovanja bezbednosti, manja je verovatnoća da će doći do zloupotrebe podataka.
Da li je autentifikacija bez lozinki budućnost?
Prema podacima HelpNetSecurity, 94% IT lidera osećaju zabrinutost kada je reč o lozinkama koje kreiraju korisnici. Nema sumnje da su lozinke u prošlosti bile najpopularniji metod za autentifikaciju ali je njihova priroda primarni uzrok zloupotrebe ličnih podataka i krađe identiteta.
Foto ilustracija: Freepik
Budućnost bez lozinki znači da će se zloupotrebe ličnih podataka i krađa identiteta na internetu mnogo manje dešavati pa će se i produktivnost i iskustvo korisnika i zaposlenih drastično popraviti. Umiruje činjenica da su se lideri u IT industriji širom sveta udružili snage za budućnost u kojoj su lozinke zamenjene jednostavnom i bezbednijom autentifikacijom.
Andre Durand, CEO kompanije Ping Identity objašnjava za HelpNetSecurity.
Upotrebom najsavremenijih metoda autentifikacije ljudi mogu unaprediti bezbednost naloga i produktivnost. Kada više ne bude bilo lozinki, korisnici više neće biti prisiljeni da prolaze kroz zamoran proces traženja komplikovanih kombinacija u skrivenom folderu i ručnom unošenju prave kombinacije za pristup svom nalogu. Što je još važnije, njihovi nalozi će biti bezbedniji kada metodi za jedinstvenu potvrdu identiteta obezbede bolju zaštitu.
Na primer, pomoću opcije prepoznavanje lica i otiska prsta korisnik otvara svoj nalog za par sekundi. Što je još važnije, imajući u vidu da su ove verifikacije autentične za svakog korisnika, mnogo je manja verovatnoća da će bezbednost naloga biti ugrožena.
Foto ilustracija: Freepik
Naravno, nijedna tehnologija nije savršena, a mnogi developeri znaju da hakeri mogu pronaći manjkavosti u ovom sistemu. Međutim, tehnologija bez lozinki je mnogo pouzdanija nego kombinacija standardnih podataka koji su potrebni za potvrdu identiteta korisnika.
Šta je tehnologija pristupnog ključa?
Laičkim jezikom rečeno, pristupni ključevi (passkeys) su digitalni tipovi autorizacija za aplikacije i korisničke naloge čiji je cilj da zamene staromodne lozinke. Drugim rečima, korisnici mogu da se oslone na pristupne ključeve da izvrše autentifikaciju bez unosa korisničkog imena, lozinke ili potvrde neke druge vrste.
Ova tehnologija pokušava da zameni staromodne metode autentifikacije kao što su lozinke. Ipak, vredi napomenuti da pristupni ključevi rade samo ako im aplikacija ili website to dozvoljavaju.
Tako kada korisnici žele da se prijave za neku uslugu, njihov browser ili OS će im ponuditi dostupne opcije pristupnog ključa. Posle toga će sistem zahtevati od korisnika da otključa svoj uređaj kako bismo bili sigurni da samo pravi vlasnik iskoristi pristupni ključ. Pristupni ključ može imati oblik šablona, PIN ili biometrijski senzor (kao što je otisak prsta ili prepoznavanje lica).
Foto ilustracija: Freepik
Takođe, korisnik mora da se registruje na website-u ili na aplikaciji koja prihvata pristupne ključeve za njihovu upotrebu. Tako da kad sledeći put želite da pristupite ovoj usluzi, mogu da urade sledeće:
- Otvore aplikaciju
- Kliknu na „sign in“ dugme
- Izaberu svoj pristupni ključ
- Otključaju ekran uređaja kako biste završili logovanje
Jedna pozitivna strana kada je upotreba pristupnih ključeva u pitanju jeste to da oni ne funkcionišu samo na uređajima na kojima se skladište. Imajući to u vidu, korisnici mogu da kreiraju pristupne ključeve na mobilni, samo da bi ih koristili za logovanje na nalog sa kompjutera.
Ipak, dostupnost na različitim uređajima nije jedini pozitivan aspekat pristupnih ključeva. Neke druge prednosti uključuju sledeće:
- Zaštita protiv phishinga
- Smanjenje rizika od zloupotrebe podataka
- Smanjenje opasnosti od krađe identiteta
Pristupni ključ ili lozinka: Šta je bolje?
I lozinke i pristupni ključevi štite naloge korisnika od radoznalih očiju i neželjenih trećih strana. Ali po čemu se razlikuju i kako jedan metod može biti bolji nego drugi ako oba imaju istu namenu?
Kao što smo ranije rekli, lozinke mogu ozbiljno ugroziti ličnu bezbednost. Korisnik ih može reciklirati ili zaboraviti. Štaviše, može ih neko čak i ukrasti. Ipak, što je jača lozinka, jača je bezbednost naloga.
Foto ilustracija: Freepik
S druge strane, pristupni ključevi su najnoviji dodaci u cilju zaštite protiv zloupotrebe podataka koji znatno smanjuju šanse za cyber napad. Lakše ih je koristiti nego lozinke zato što korisnik ne treba da ih pamti. Umesto toga, jedino što im je potrebno za pristup nalogu jeste da potvrde identitet pomoću otiska prsta ili pomoću opcije prepoznavanja lica.
Mnogi tech giganti, uključujući Google, preporučuju prelazak na pristupne ključeve. Za razliku od lozinki, pristupni ključevi su uvek u vašem uređaju što ih čini jednim od najboljih načina zaštite protiv zloupotrebe podataka.
Neki korisnici mogu biti iznenađeni ako se biometrijska autentifikacija iznenada pojavi na website-u ili na aplikaciji i pomisle da šalje osetljive informacije na server. Kad imamo pristupne ključeve, neki website ili aplikacija nikad nemaju pristup biometrijskim informacijama. Biometrijski podaci nikad ne napuštaju lični uređaj korisnika,
Google Identity potvrđuje.
Kako hakeri dolaze do lozinki?
Hakeri (hackers) i skemeri (scammers) koriste različite tehnike kako bi se dokopali lozinki i ličnih informacija. Iako su neke metode više u upotrebi nego druge, sve su to oblici cyber kriminala koji vode do otkrivanja osetljivih informacija i, u nekim slučajevima, krađe identiteta.
- Phishing: Phishing je jedan od najčešćih načina koji omogućava trećoj strani da pristupi nalogu uz dozvolu korisnika. Najčešće ima oblik malicioznog linka ili lažne poruke kojom se ljudi žele navesti da otkriju osetljive informacije, uključujući brojeve kreditnih kartica ili lozinke.
- Password guessing (nagađanje lozinki): Iznenađuje činjenica da je nagađanje lozinki dokazano efikasan metod za hakere. Iako deluje neverovatno, ljudi često koriste svoje datume rođenja ili imena kućnih ljubimaca kao lozinke pa ih je lako „provaliti“.
- Password hash cracking (razbijanje šifrovanih lozinki): U većini sadašnjih operativnih sistema, lozinka koju unosi korisnik konvertuje se upotrebom tehnike šifrovanja (hash technique) u reprezentativnu šifru (hash ili cyper) lozinke. Takvi hashovi se čuvaju u bazama podataka koji koristi operativni sistem za potvrdu identiteta korisnika kada pristupaju uslugama ili aplikacijama. Vešt haker može da nađe način da „provali“ šifrovani algoritam ako uspe da povrati ovaj hash.
Korisnici treba da pređu na jedinstvene i bezbednije lozinke kako bi izbegli zloupotrebu podataka. Naravno, optimalno rešenje bio bi prelazak na autentifikaciju bez lozinki.
Pristupni ključevi su relativno nova tehnologija i biće potrebno da prođe neko vreme da se u potpunosti prilagode na ove mere bezbednosti. Ipak, kada ova korisna i bezbedna alternativa za standardne lozinke postane nešto sasvim normalno, broj zloupotreba podataka će se znatno smanjiti a internet će postati malo bezbednije mesto za sve nas.
