Niektórzy ludzie nie mogą przestać mówić o śmierci hasła. Hasła są stare, niezabezpieczone i łatwo je ujawnić. Wkrótce wszyscy będziemy używać danych biometrycznych, sprzętowych kluczy bezpieczeństwa i innych futurystycznych rozwiązań - prawda? Cóż, nie tak szybko.
Rozmawialiśmy z 1Password’s szef ochrony, Jeffery Goldberg, który powiedział, że jest „ostrożnie optymistą, że tym razem możemy zauważyć wgniecenie w problemie z hasłem”.
To optymistyczne ujęcie - i jest to dalekie od śmierci haseł.
Dlaczego ludzie chcą zabijać hasło
Omawiając cel firmy, jakim jest „ Budowanie świata bez haseł, ”W maju 2018 r. Zespół ds. Bezpieczeństwa firmy Microsoft napisał:
„Nikt nie lubi haseł. Są niewygodne, niepewne i drogie. W rzeczywistości nie lubimy ich tak bardzo, że byliśmy zajęci pracą, próbując stworzyć świat bez nich - świat bez haseł ”.
Hasła stały się z czasem coraz bardziej irytujące i wszyscy zdaliśmy sobie sprawę z ryzyka związanego z ich ponownym użyciem. Jeśli używasz tego samego hasła w wielu witrynach i nastąpi wyciek hasła, możesz użyć swojego hasła, aby uzyskać dostęp do swojego konta w innej witrynie. Musisz więc wybrać silne, unikalne hasło dla każdej usługi, z której korzystasz. Dawno minęły czasy ponownego używania krótkiego, prostego hasła na kilku stronach internetowych.
W przypadku większości osób, które nie mają nadludzkich wspomnień, niemożliwe jest zapamiętanie silnego, unikalnego hasła do każdego konta internetowego. Dlatego zalecamy menedżerów haseł —Pamięta wszystkie te silne, niepowtarzalne hasła. Musisz tylko zapamiętać swoje hasło główne, które jest znacznie łatwiejsze niż zapamiętanie 100 i znacznie bezpieczniejsze niż ponowne użycie tego samego.
Jednak nawet z menedżerem haseł nie jest to całkowicie bezpieczne. Ktoś z keylogger w systemie może przechwycić Twoje hasło i zalogować się jako Ty. Dlatego usługi zapewniają dodatkowe bezpieczeństwo. Często wpisujemy hasło, a następnie musimy uwierzytelniać się ponownie za pomocą kodu lub klucza.
Czy jest lepszy sposób?
Co może zastąpić hasło?
Goldberg powiedział, że w ciągu ostatnich dwudziestu lat widział „schemat po schemacie”, który proponował zabijanie haseł - z których wiele nie wyciągnęło wniosków z tego, co zawiodło w przeszłości. Ale nowsze mogą mieć większe szanse powodzenia dzięki postępom, takim jak mocniejsze urządzenia lokalne.
Biometria może zastąpić hasło. Możesz użyć Touch lub Face ID (biometria), aby zalogować się do swojego iPhone'a zamiast wpisywać kod PIN. Telefony z Androidem mają również funkcje logowania za pomocą linii papilarnych i twarzy.
Możesz także teraz utwórz konta Microsoft „bez hasła” zalogować się do systemu Windows. Twoja nazwa użytkownika to Twój numer telefonu, a wpisane „hasło” to kod wysłany na Twój numer telefonu w wiadomości SMS.
Możesz również użyć pliku fizyczny klucz bezpieczeństwa zamiast hasła do uwierzytelniania kont online. Trzymasz klucz przy sobie (możesz go nawet trzymać w pęku kluczy) i używać go przez USB, NFC lub Bluetooth, gdy nadejdzie pora logowania.
Telefony mogą również zastępować hasła. Google pozwala teraz urządzeniom z Androidem działać jako klawisze FIDO2 . Podczas logowania się w witrynie internetowej na laptopie może być również konieczne uwierzytelnienie za pomocą odcisku palca na telefonie.
Wiele firm stara się zmniejszyć zależność od haseł, oferując dostawcom „jednokrotnego logowania”. Dzieje się tak, gdy logujesz się do Facebooka, Google itp., A następnie używasz tego konta do logowania się do innych usług - żadne dodatkowe hasła nie są potrzebne.
„Zastąpienia” haseł nie zastępują haseł
Jest tu jednak duży problem. Technologie reklamowane jako „zamienniki” haseł w rzeczywistości nie są zamiennikami - przynajmniej jeszcze nie teraz.
Dane biometryczne, takie jak Face lub Touch ID, nadal wymagają zarówno hasła, jak i hasła Apple ID na Twoim urządzeniu. Niektóre zadania wymagają również kodu PIN do celów szyfrowania w tle. Funkcje biometryczne w systemie Android i Windows Hello w systemie Windows 10 działają w ten sam sposób - w zasadzie jako funkcja wygodna. Logowanie się na urządzeniu jest łatwiejsze, ponieważ nie musisz za każdym razem wpisywać hasła, ale tak się nie dzieje zastąpić Twoje hasło.
Konto bez hasła, które wysyła do Ciebie kody telefoniczne, też nie jest świetne. Zamiast jednego hasła do Twojego konta, ta usługa generuje nowe za każdym razem, gdy próbujesz się zalogować i wysyła Ci je SMS-em. Jest to mniej bezpieczne niż tradycyjna metoda polegająca na podaniu pojedynczego hasła i kodu zabezpieczającego wysyłanego podczas logowania.
Niestety, w wielu sytuacjach hakerzy łatwo kradną numery telefonów, co sprawia, że jest to mniej bezpieczne. To świetna metoda docierania do ludzi w krajach, w których numery telefonów są wszechobecne, i zmniejsza tarcia związane z rejestracją konta, dlatego Amazon również to oferuje. Jednak zastępowanie haseł nie jest dobrym rozwiązaniem.
Większość usług, które przyjęły fizyczne klucze bezpieczeństwa, używa ich jako dodatkowa opcja uwierzytelniania . Nadal logujesz się za pomocą hasła, a następnie podajesz klucz bezpieczeństwa jako dodatkowe potwierdzenie wejścia. Możliwość użycia klucza bez hasła jest wciąż daleko.
W przypadku usług jednokrotnego logowania występuje również problem z prywatnością. Kiedy klikniesz „Zaloguj się przez Google” lub „Zaloguj się przez Facebooka”, operator usługi - Google lub Facebook - wie, do czego się logujesz.
Zawsze będą hasła (w tle)
Nawet jeśli marzenie Google o zamianie haseł na telefony się spełni, nie wyeliminuje to hasła. The Verge podsumował plany Google w ten sposób: „Jeśli jesteś już zalogowany na swoim telefonie, może to posłużyć do„ załadowania ”następnego urządzenia, na którym chcesz zalogować się na swoje konto Google.”
Możesz unikać używania hasła przez długi czas, ale nadal jest ono widoczne w tle. W końcu będziesz go potrzebować, jeśli zgubisz wszystkie swoje urządzenia.
Hasła są nadal rozpowszechnione. Są łatwe w konfiguracji i obsłudze. „Zastąpienia” hasła zapewniają większą wygodę lub dodatkowe bezpieczeństwo. Ale zawsze będziesz potrzebować sposobu na odzyskanie dostępu, jeśli zgubisz urządzenie i nie możesz korzystać z danych biometrycznych lub zabezpieczeń sprzętowych.
„Myślę, że zawsze będą istnieć skrajne przypadki wymagające haseł” - powiedział Matt Davey, dyrektor operacyjny 1Password. Na przykład Zaloguj się, używając konta Apple iOS 13 oferuje opcję logowania przez Internet, która używa hasła Apple ID, gdy logujesz się na urządzeniu innym niż Apple. Hasło działa wszędzie i jest uniwersalnym ustawieniem domyślnym, gdy wyszukane funkcje biometryczne lub sprzętowe zabezpieczenia nie są dostępne.
Jak powiedział Goldberg, „Hasła są po prostu naprawdę łatwe do zaimplementowania”. „Nadal są najłatwiejszą rzeczą w użyciu dla operatorów usług”.
Właśnie dlatego 1Password jest optymistyczny w kwestii przyszłości menedżerów haseł. Firma twierdzi, że widziała więcej nowych użytkowników, nawet gdy rośnie konkurencja, a firmy takie jak Apple, Google i Mozilla poważnie podchodzą do zarządzania hasłami.
Co przyniesie przyszłość?
Marzenie o zabiciu hasła jest bardzo odległe. Nawet jeśli proces przebiegnie pomyślnie, najlepszym scenariuszem jest powolne posuwanie się naprzód, z łatwiejszymi alternatywami dla haseł.
Któregoś dnia hasła mogą zostać na tyle zdegradowane, że staną się dawno zapomnianą metodą odzyskiwania konta. Ale prawdopodobnie będą istnieć jeszcze przez długi czas. Bitwa o wyrzucenie ich z codziennego użytku dla większości ludzi będzie długa i zacięta. Ale całkowite zabijanie haseł? Jeszcze trudniej to sobie wyobrazić.
