Veliko prahu in črnila je pred kratkim dvignila študija raziskovalcev univerze v Pensilvaniji o praksah v tamkajšnjih zdravstvenih ustanovah. Varnostne strokovnjake je šokiralo, da si zdravstveno osebje skoraj v ničemer ne prizadeva za varnost podatkov o pacientih. Celo nasprotno, da bi bil dostop do zdravstvenih pripomočkov, zdravil in podatkov kar se da hiter in enostaven, so zaposleni v bolnišnicah gesla napisali kar na lističe in jih imeli v neposredni bližini tipkovnic in ključavnic. Tudi sicer številni zaposleni v podjetjih nasprotujejo varovanju dostopa in informacij z gesli. No, večina teh zaposlenih prav tako nasprotuje kakršnimkoli spremembam, ki pa so vendarle nujne.
Biometrija za boljšo varnostno uporabniško izkušnjo
V združenju FIDO, ki ima več kot 250 članov, predvsem velikih podjetij, pojasnjujejo, da uporabnikov ni mogoče prisiliti, da uporabljajo varnostne mehanizme, posebej ne na spletu. Cilj združenja je tako oblikovati avtentikacijske in druge varnostne rešitve, ki bodo nadvse enostavne za uporabo in jih bodo podjetja ter spletne strani pravzaprav želele implementirati.
Predlagajo nov standard identifikacije uporabnikov (User Authentication Standard), ki pred katerokoli transakcijo ali opravilom od uporabnika zahteva biometrični dokaz istovetnosti - bodisi prstni odtis, sliko ožilja, skeniranje očesa ali kaj podobnega. V nasprotju z uporabniškimi imeni in gesli so vsi podatki, ki jih rešitev potrebuje za avtentikacijo, že shranjeni v uporabnikovi napravi in je nikoli ne zapustijo. Napadalec bi se moral v tem primeru polastiti tako naprave kot tudi uporabnikove roke ali očesa, kar je veliko manj verjetno od kraje gesel. Z biometričnimi načini prijave bi takoj izločili tako rekoč vse grožnje z drugega konca sveta oziroma že iz sosednjega mesta. Odpadejo tudi škodljive kode, tehnike socialnega inženirstva, prevare in podobna zlonamerna dejanja.
Pogled v kamero enostavnejši od tipkanja zapletenih gesel
V času, ko zna vse več naprav prebrati uporabnikove prstne odtise ali sliko očesa, je uporaba biometričnih načinov prijave ali avtentikacije dostopa še kako smiselna. Dotik senzorja, pogled v kamero, ali nošenje zapestnice so namreč precej hitrejši in preprostejši od pomnjenja in vnašanja kompleksnega gesla ali od uporabe dvofaktorske avtentikacije, kjer na primer v spletni banki ob vsaki zahtevi dobimo še časovno omejeno začasno oziroma enkratno geslo.
Z biometrijo si bomo kupili več let miru - vsaj dokler napadalci ne najdejo načinov, kako ponarediti naše biometrične podatke. Starejše biometrične rešitve namreč že znajo pretentati - a bistveno težje kot naš glas ali prstni odtis je ponarediti hojo, ritem srca ali sliko ožilja.
Skoraj dve tretjini zlorab zaradi malomarnih uporabnikov
Ukinjanje gesel bi večina ljudi verjetno pozdravila. Tudi varnostni strokovnjaki so si vse bolj enotni, da so gesla precej slaba in preživeta oblika avtentikacije uporabnikov. Ti jih kljub jasnim navodilom niti ne znajo pravilno uporabljati, oziroma se vsem priporočilom, kot so uporaba dolgih, kompleksnih alfanumeričnih gesel in njihovo mesečno menjanje, preprosto odrečejo. Še več, ista gesla uporabljajo za več dostopov - do spletnih strani in forumov, spletne banke - in se nato čudijo, češ, kako je lahko nekdo zlorabil njihovo spletno identiteto.
Ameriški telekomunikacijski velikan Verizon redno objavlja varnostna poročila Data Breach Incident Report (DBIR). Zadnje ugotavlja, da se kar 63 odstotkov vseh zlorab podatkov uporabnikov zgodi zaradi ukradenih, šibkih ali pa celo (nespremenjenih) privzetih gesel.
Tudi kompleksna gesla se dajo ukrasti
Tudi kompleksna gesla niso neprebojna rešitev. Še vedno nam jih lahko kdo ukrade. Težava gesel je namreč v tem, da jih morata za njihovo delovanje poznati vsaj strežnik in uporabnik, torej imamo že vsaj dve ranljivi točki. V zadnjih mesecih smo bili priča številnim varnostnim katastrofam, kjer so hekerji podjetjem ukradli ogromno podatkov o uporabnikih - uporabnikom družabnega omrežja Twitter so jih odtujili 33 milijonov, LinkedInu 165 milijonov, Tumblerju 65 milijonov, spletiščem MySpace 360 milijonov, Badooju 127 milijonov in VK.com 171 milijonov.
Varnostni strokovnjaki ocenjujejo, da je v vsakem trenutku na spletu mogoče kupiti kar okoli milijardo uporabniških imen in gesel za različne spletne račune in storitve. Nepridipravi imajo torej na voljo na tisoče tisočev ključev do vaše ključavnice. Vas to ne skrbi? Kako bi le našli pravega? Preprosto - z avtomatizacijo in računalniškim programom lahko v nekaj sekundah preverijo več milijonov kombinacij gesel. Če ste med uporabniki, ki isto geslo uporabljajo za dostop do svoje mobilne naprave, pisarne, doma ali celo avtomobila, se zamislite, kaj vas lahko doleti že jutri. Hekerji ugotovljeno geslo zlahka preizkusijo tudi na vseh drugih spletnih domenah in storitvah.
