Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

Passwordless, czyli przyszłość to logowanie bez haseł

Passwordless, czyli przyszłość to logowanie bez haseł

Zdarza się, że, o ile system tego od nas nie zażąda, latami nie zmieniamy hasła do skrzynki mailowej. Beztrosko używamy tej samej kombinacji znaków, logując się do wielu różnych usług. Nie mogąc odnaleźć skomplikowanej sekwencji liter, cyfr i symboli w otchłani przepełnionej pamięci, po prostu resetujemy hasło.

Logowanie wymagane

Komunikatory, aplikacje firmowe w chmurze, urządzenia IoT, sieci WiFi i w zasadzie większość cyfrowych usług wymaga od nas zalogowania się na konto użytkownika. W efekcie, przeciętna osoba posługuje się hasłami, które można liczyć w dziesiątkach, a może nawet setkach. Choć na rynku istnieją rozwiązania pozwalające uwolnić nas od obowiązku zapamiętywania niezliczonej ilości haseł (choćby KeePass), których na co dzień używamy, wciąż powielamy stare błędy.

Jaki jest tego efekt? Zbyt słabe lub wykradzione przez cyberprzestępców hasła znajdują się na szczycie listy przyczyn wycieków danych i ataków hakerskich. Według zeszłorocznego raportu Data Breach Investigations przygotowanego przez firmę Verizon, aż 61% naruszeń danych powstaje z użyciem nieautoryzowanych dostępów. Sam pomysł używania haseł, czyli poufnych ciągów znaków weryfikujących tożsamość jest prawdopodobnie tak stary, jak ludzki język. Jak wiemy z pism Swetoniusza i innych rzymskich autorów, hasłami posługiwano się zarówno na polach bitewnych, jak i w korespondencji do przyjaciół (vide Juliusz Cezar i jego szyfr cezariański).

Pierwsze hasło zabezpieczające dostęp do komputera ustawił prawdopodobnie Fernando J. Corbató z Massachusetts Institute of Technology w połowie lat 60. XX wieku. Użył go, by uniemożliwić niepowołanym dostęp do plików w systemie komputerowym CTSS (Compatible Time-Sharing System). Z powodu błędu bezpieczeństwa w oprogramowaniu, był to też prawdopodobnie pierwszy system, z którego wykradziono hasła użytkowników.

Choć współczesne rozwiązania stosowane do uwierzytelniania dostępu korzystają ze znacznie bardziej zaawansowanej kryptografii, trudno zignorować password fatigue. Stres i frustracja wywołane przez konieczność zapamiętywania coraz to nowych haseł to zjawisko zidentyfikowane i opisane w Macmillan Dictionary już przed kilkunastoma laty. Mniej więcej w tym samym czasie specjaliści cyberbezpieczeństwa zaczęli wieszczyć “śmierć hasła”. Popularność urządzeń mobilnych, powszechność pracy zdalnej i rosnąca akceptacja dla identyfikacji biometrycznej to kolejne czynniki, otwierające nowe możliwości weryfikacji użytkowników.

Jakie metody daje nam współczesna technologia?

Zacznijmy od wspomnianej identyfikacji biometrycznej. To metoda bazująca na rozpoznawaniu użytkownika na podstawie cech fizycznych bądź behawioralnych, unikalnych dla każdej osoby. Najczęściej są to linie papilarne, a ich porównywanie stosowano w technikach śledczych już na przełomie XIX i XX wieku.

Pierwsze urządzenia mobilne, które wykorzystywały tę technikę identyfikacji właścicieli, pojawiły się na rynku w 2013 roku dzięki modułowi Touch ID firmy Apple. W 2017 roku ta sama marka uczyniła kolejny krok milowy w dziedzinie rozwiązań bezhasłowych, wprowadzając do swoich urządzeń technikę rozpoznawania twarzy Face ID.

Inne technologie używane do potwierdzania tożsamości użytkowników rozpoznają mowę, skanują siatkówkę oka, a nawet układ żył na dłoniach z wykorzystaniem światła zbliżonego do podczerwonego. Jak w przypadku pozostałych faktorów biometrycznych, żyły tworzą u każdej osoby unikalny wzór, który jest dodatkowo znacznie trudniejszy do sfalsyfikowania. Amerykańska firma Global ID w 2019 opatentowała technologię biometryczną, która umożliwia skanowanie żył w 3D.

Technologia biometryczna

Wśród zalet czytników naczyń krwionośnych wymienia się fakt, że umożliwiają potwierdzenie tożsamości użytkownika bez konieczności bezpośredniego kontaktu z urządzeniem w czasie poniżej dwóch sekund. Rozwiązania tego rodzaju mają także zastosowanie w szpitalach, umożliwiając identyfikację pacjentów, z którymi komunikacja z różnych względów jest utrudniona lub niemożliwa. Potencjalnie tego typu czytniki mogłyby badać również oznaki życia użytkowników — przewodnictwo elektryczne, mruganie czy puls.

Kolejnym przykładem rozwiązań biometrycznych jest uwierzytelnianie behawioralne. Po stylu wysyłania sygnałów rozpoznawali się już operatorzy i operatorki telegrafów pod koniec XIX wieku. Współcześnie wykorzystuje się sztuczną inteligencję do analizowania, jak użytkownik wchodzi w interakcję z urządzeniem. Dla każdej osoby unikalna jest bowiem dynamika pisania na klawiaturze, sposób poruszania myszką czy trzymania telefonu. Niewątpliwą zaletą czynników behawioralnych jest pasywna natura – nie wymagają dodatkowego zaangażowania użytkowników, dostarczając precyzyjnych informacji do potwierdzania tożsamości. Wykorzystuje się je szczególnie w branżach wymagających szczególnego bezpieczeństwa, jak bankowość i finanse.

Uwierzytelnianie wieloskładnikowe

W uwierzytelnianiu wieloskładnikowym do potwierdzania tożsamości potrzebne są minimum dwa składniki, tzw. faktory. Jednym z nich najczęściej jest hasło, a zwiększeniu bezpieczeństwa służy konieczność podania dodatkowego faktora. Może nim być coś, co znajduje się w posiadaniu użytkownika, np. fizyczny token czy dostęp przez wcześniej zarejestrowane urządzenie. Wykorzystuje się również faktory związane z fizyczną obecnością użytkownika, jak wspomniane wcześniej czynniki biometryczne lub schematy behawioralne i gesty. Inne możliwe faktory to geolokalizacja, adres IP, potwierdzanie dostępu w dedykowanej aplikacji (push-up notification).

Także jeśli chodzi o uwierzytelnianie adaptacyjne, do potwierdzania tożsamości wykorzystuje się analizę zachowania użytkownika. Sztuczna inteligencja uczy się np. charakterystyki pisania na klawiaturze danej osoby i identyfikuje odstępstwa od ustalonej normy. W takiej sytuacji, w zależności od skali ryzyka, może zażądać dodatkowej weryfikacji lub całkowicie zablokować dostęp do logowania. Oczywiście, możemy mieć do czynienia również z rozwiązaniem Passwordless MFA, kiedy użytkownik uzyskuje dostęp do danego zasobu (usługi) dzięki weryfikacji tożsamości przy pomocy kombinacji faktorów, z których żaden nie jest hasłem (np. rozpoznawanie twarzy potwierdzane logowaniem w aplikacji na smartfonie).

Niepewna przyszłość haseł

Podstawowym powodem, dla którego zaczęto poszukiwać nowych rozwiązań mających całkowicie wyeliminować konieczność używania haseł, było zwiększenie bezpieczeństwa. Hasła są bowiem z wielu względów zabezpieczeniem najłatwiejszym do złamania przez hakerów i najczęstszym wektorem cyberataków.

Rozwiązania bezhasłowe, a szczególnie uwierzytelnianie biometryczne jest znacznie trudniejsze i droższe do złamania przez hakerów. Wymagałoby pokonania zabezpieczeń przez każdorazowe fizyczne sfałszowanie np. skanu odcisku palca na urządzeniu należącym do konkretnego użytkownika w realnym świecie. Absolutnie jest to jednak możliwe, jak udowodnił niemiecki haker znany jak Starbug, któremu “oszukanie” sensorów w iPhone 5S zajęło mniej niż 24h od premiery w 2013 roku.

Kolejną zaletą uwierzytelniania bezhasłowego jest łatwiejsza możliwość śledzenia użycia. Ponieważ uzyskanie dostępu jest powiązane z konkretnym urządzeniem lub obecnością użytkownika, nie jest możliwe ich masowe używanie, a zarządzanie dostępami jest szczelniejsze.

Redukcja kosztów

Nie bez znaczenia jest też redukcja kosztów dla działów IT. Wraz z rezygnacją z haseł, znika potrzeba tworzenia i aktualizacji dotyczących ich polityk, śledzenia wycieków, jak również resetowania zapomnianych haseł. Zwiększa się też wyraźnie komfort użytkowników. Z ich ramion znika ciężar dziesiątek i setek haseł, które do tej pory musieli przechowywać w pamięci, zapisywać w dedykowanych programach lub, co gorsza, na karteczkach przyklejanych do monitorów swoich komputerów. Rozwiązania uwierzytelniania bezhasłowego dają łatwą skalowalność i możliwość szybkiej weryfikacji.

Koszty implementacji

Do wad zdecydowanie należą koszty implementacji, choć długodystansowo używanie takich rozwiązań jest mniej kosztowne. Wprowadzenie jest związane z wydatkami na implementację systemów uwierzytelniania oraz hardware’u potrzebnego do jego identyfikacji (np. skanera tęczówki oka).

Samo wdrożenie również może być problematyczne. Rodzi się konieczność adaptacji użytkowników i teamów IT do nowego rozwiązania i zmiana wieloletnich przyzwyczajeń. W grę wchodzi też konieczność przełamania bariery psychologicznej, która pojawia się szczególnie w przypadku bardziej “inwazyjnych” technologii, jak skanery unikalnych wzorów naczyń krwionośnych użytkowników. Uciążliwy jest też pojedynczy punkt awarii, szczególnie w przypadku rozwiązań wykorzystujących powiadomienia push na smartfonie. Uzależnienie powodzenia weryfikacji tożsamości od dodatkowego urządzenia, które może się przecież zgubić, rozładować lub mieć nieaktualne oprogramowanie, stanowi ryzyko trudne do zignorowania.

Jaka czeka nas przyszłość uwierzytelniania?

Wygląda na to, że w najbliższym czasie będzie spełniał się sen o całkowitym uniezależnieniu się od haseł. Z rozwiązaniami wykorzystującymi biometrię, takimi jak Apple Face ID, Touch ID, Windows Hello czy Samsung Iris Scan – z pewnością będziemy mieć coraz mniej haseł do zapamiętania. Będą im towarzyszyć dodatkowe warstwy bezpieczeństwa, miejmy nadzieję z gatunku tych niewymagających akcji od użytkowników, jak uwierzytelnianie behawioralne i adaptacyjne. A wraz z nimi odpowiednie regulacje prawne, gwarantujące bezpieczeństwo i kontrolę użytkownikom nad unikalnymi danymi, których przecież nie da się zresetować czy zmie-nić.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa