Tradicionalne lozinke kao sredstvo zaštite podataka: izazovi, alternative i budućnost sigurnosnih protokola
Tradicionalna upotreba korisničkih imena i lozinki predstavljala je osnovu digitalnog identiteta i bezbednosti u proteklih pet decenija, ali sa rastućim brojem korisničkih naloga nastalo je mnogo problema: teškoće za korisnike da se sete većeg broja lozinki, troškovi korisničke podrške, i što je od najveće važnosti, bezbednosni rizici zbog otkrivenih poverljivih podataka. Novi problemi postaju važniji od koristi koju predstavljaju lozinke. Sada postoji još ubedljiviji argument za potpuno uklanjanje lozinki iz procesa autentifikacije.
Napredak u passwordless bezbednosnim standardima, povećana očekivanja kod korisničkog iskustva i rastući troškovi su transformisali uklanjanje lozinki iz hipotetičke ideje u stvarnu priliku. U ovom tekstu razmotrićemo argumente za uklanjanje lozinki iz procesa autentifikacije korisnika i zaposlenih, detaljno objasniti nove i nastajuće metode autentifikacije, i nadamo se, pomoći vam da svoje prisustvo na internetu učinite sigurnijim.
Šta znači passwordless?
Iz dugogodišnje prošlosti, vreme u kojem su lozinke bile u fokusu pažnje se smanjuje. Autentifikacija bez lozinke dobija na značaju, ne samo zbog izloženosti različitim napadima i nižeg nivoa bezbednosti povezanog sa lozinkama, već i zato što čine proces nepotrebno komplikovanim i teškim za korisnike. Niko ne želi da zapamti kombinaciju brojeva i slova. Multifaktorska autentifikacija (MFA) sa opcijom autentifikacije bez lozinke je mnogo prijatnija za korišćenje. Velikim organizacijama takođe omogućava uštedu od oko milion US dolara godišnje na intervencijama povezanim sa resetovanjem lozinki putem tehničke podrške.
Autentifikacija bez lozinke je mnogo bezbednija. Faktori autentifikacije kao što su aplikacija za autentifikaciju na mobilnom telefonu, hardverski token ili jednokratna lozinka (OTP), i biometrijski faktori poput otiska prsta ili skeniranja lica, zamenjuju statične lozinke i autentifikaciju zasnovana na znanju, čime se smanjuje rizik od otkrivanja ili presretanja lozinki. Implementacija višeslojnog pristupa autentifikaciji, koji uključuje bezbednost aplikacije, bezbednost uređaja i stalnu kontrolu s ciljem sprečavanja prevare, pruža dodatni sloj bezbednosti koji će sa sigurnošću povećati stepen zaštite.
Autentifikacija bez lozinke je moćno bezbedonosno rešenje koje može znatno smanjiti socijalni inženjering i prevare vezane za preuzimanje naloga, unaprediti korisničko iskustvo i pomoći u smanjenju troškova.
Osim toga, dvofaktorska autentifikacija, koja kombinuje nešto što korisnik poseduje (na primer, mobilni uređaj) sa nečim što korisnik jeste (na primer, otisak prsta ili prepoznavanje lica), može pružiti još viši nivo sigurnosti. Sve ovo znači manji rizik od kršenja zaštite (ličnih) podataka i uštede na račun troškova koji se koriste za upravljanje lozinkama, što čini autentifikaciju bez lozinke pametnim izborom za svaku organizaciju.
Izazovi passwordless autentifikacije
Autentifikacija bez lozinke (passwordless autentification) nije savršeno rešenje za sve bezbedonosne probleme; njena primena, međutim, ima pozitivan krajnji učinak na zaštitu logovanja, ali sa sobom nosi određene kompromise u vezi sa bezbednošću i korisničkom iskustvu. Ova promena može izazvati određeni otpor kod korisnika jer obično nisu svesni problema koji dolaze sa lozinkama.
Važno je informisati ih o tome i učiniti prelaz na passwordless tokove što je moguće jednostavnijim. Čak i tada bezbedonosni rizici još uvek postoje, pa je potrebno uspostaviti protokole za rešavanje ovih potencijalnih scenarija. Uzmimo kao primer „magične linkove” – ako napadač provali u korisnikov e-mail, on/a i dalje može autorizovati vaš nalog. Kako bi se obezbedila potvrda pravog korisnikovog identiteta, osoblje za podršku mora biti dostupno za ponovno dobijanje pristupa njihovom nalogu.
Implementacija sistema sa većom bezbednošću od tradicionalnog sistema zasnovanog na lozinki često je složenija i skuplja. Postoji mnogo koraka koji su potrebni za instalaciju, proveru i održavanje sistema, a dobijanje platforme treće strane može predstavljati finansijski trošak i dodatni izazov.
Veštačka inteligencija i zaštita
U martu 2023. godine, Microsoft je skrenuo pažnju na rizike napretka AI tehnologije predstavljajući svoj paket Security Copilot koji pomaže stručnjacima za bezbednost u zaštiti od nepravilnog korišćenja postojeće tehnologije. Ipak, Home Security Heroes nedavno je objavio izveštaj koji ukazuje na potencijalnu opasnost trenutne generacije AI tehnologije kada je u pitanju razbijanje lozinki. Koristeći PassGAN (password generative adversarial network), analizirali su preko 15.000.000 akreditiva iz Rockyou dataset-a, a rezultati su bili zaista zabrinjavajući: preko polovine uobičajenih lozinki je razbijeno za manje od jednog minuta, a gotovo sve su otključane u roku od mesec dana.
Iako se može činiti da postoje sigurni načini za stvaranje savršene lozinke, istina je da sa napretkom tehnologije sa veštačkom inteligencijom ili kvantnim računarstvom, lozinke koje koristimo sada mogu zastareti. Ipak, do tada možemo slediti neke vredne savete kako bismo bili sigurni da su naše lozinke deo 19% lozinki koje AI ne može razbiti čak ni u mesec dana. Neki od ovih saveta uključuju izbegavanje često korištenih lozinki poput 1234, 0000 ili reči „lozinka”, pošto je to jednako situaciji u kojoj ostavljate otvorena vrata. Takođe, možemo povećati složenost naših lozinki kako bi bilo teže veštačkoj inteligenciji da ih dešifruje.
Kada su u pitanju lozinke, važno je ostati kreativan i izbegavati generičke ili predvidljive kombinacije brojeva. Ciljajte na 15 znakova kao minimum, ali ako želite maksimalnu zaštitu, 18 znakova je broj znakova za koje PassGAN više ne može biti efikasan. To znači mešanje velikih i malih slova, brojeva i simbola.
Korišćenje menadžera lozinki za skladištenje i upravljanje različitim lozinkama na različitim nalozima može biti od velike pomoći. Onda budite sigurni da ih periodično menjate; kvartalni interval je dobar pokazatelj, jer računarska moć veštačke inteligencije eksponencijalno raste svake godine. Takođe, ne koristite istu lozinku za sve svoje naloge – važno je kreirati jedinstvene kombinacije za svaki nalog.
Ako tražite potvrdu da su vaše lozinke zaštićene u odnosu na veštačku inteligenciju, pogledajte zvaničnu stranicu Home Security Heroes koja ima čeker (checker) koji vam govori koliko dugo bi bilo potrebno svakom softveru veštačke inteligencije da razbije vašu lozinku.
Prihvatanje passwordless i višefaktorskih rešenja za poboljšanje sigurnosti i korisničkog iskustva
Passwordless autentifikacija je vrsta verifikacije identiteta korisnika koja ne zahteva tradicionalni unos lozinke. Uključuje generisanje jednokratne lozinke, slanje „magičnog” linka ili korišćenje biometrijskih podataka kao što su otisak prsta i prepoznavanje lica. Zahtevanjem više faktora za svaku prijavu, passwordless autentifikacija postaje multifaktorska autentifikacija (MFA).
Ovaj pristup poboljšava bezbednost uklanjanjem rizika od slabih lozinki i smanjuje administrativne opšte troškove automatizovanjem procesa prijave. Iako su troškovi razvoja možda veći na početku, passwordless autentifikacija to nadoknađuje pružajući bolju bezbednost i smanjujući greške korisnika. To ga čini ne samo budućnošću, već i trenutnim trendom u autentifikaciji, sa velikim tehnološkim kompanijama koje aktivno promovišu njenu upotrebu.
Važno je posmatrati passwordless autentifikaciju kao metod zaštite korisnika, slično kao mere poput zaštite od preuzimanja naloga i detekcije potencijalne prevare. U slučajevima kada su početne bezbedonosne mere „razbijene“ od strane napadača, korišćenje preciznog rešenja za prepoznavanje uređaja može tačno identifikovati zlonamerne pokušaje prijave i dodatno unaprediti sigurnost korisnika.
S obzirom na sve to, kombinacija različitih pristupa bezbednosti lozinke čini se neophodnom u doba veštačke inteligencije. Iako zaštita vašeg naloga ne može biti „nulta suma”, važno je koristiti različite metode prijave kako bi se sprečili bilo kakvi zlonamerni pokušaji upada u sistem. Sve u svemu, biti informisan i agilan kada su u pitanju vaše lozinke može garantovati uspeh na duge staze.
