Hasła - irytujące i wszechobecne

Żaden z tych pomysłów nie jest nierealny. Informatycy w Nowym Jorku uczą swoje iPady rozpoznawania właścicieli za dotknięciem palców, kiedy wykonują pieszczotliwy gest. Banki już używają oprogramowania, które rozpoznaje głos, jako uzupełnienie standardowego kodu PIN.

Po latach przewidywania ich upadku, naukowcy ds. bezpieczeństwa podwajają wysiłki w celu uzupełnienia, a pewnego dnia być może zastąpienia staromodnych haseł. - Jeśli zapytacie mnie, co jest dzisiaj największym kłopotem, powiem, że to 40 różnych haseł, które mam stworzyć i aktualizować - mówi Nasir Memon, profesor informatyki na Politechnice Nowojorskiej w Brooklynie, który kieruje projektem dotyczącym iPadów.

Wiele osób się z tym zgodzi. Hasło stało się ciężarem. Podstawowy klucz do wielu urządzeń i kont jest w coraz większym stopniu źródłem irytacji i niepewności.

Wydział badań Departamentu Obrony szuka sposobów wykorzystania wskazówek takich jak przyzwyczajenie osoby do pisania na komputerze w określony sposób, aby na stałe weryfikować w ten sposób jej tożsamość - w przypadku, powiedzmy, gdyby laptop żołnierza trafił w ręce wroga na polu bitwy.

Z bardziej zwyczajnych przykładów, Google zaczął niedawno przekonywać swoich użytkowników do wzięcia pod uwagę dwuetapowego systemu logowania, który łączy hasło z kodem wysyłanym na ich telefony. Najnowsze oprogramowanie Android Google może odblokować telefon, kiedy rozpozna twarz właściciela lub - co nie już tak bezpieczne - kiedy ktoś oszuka go trzymając przed sobą fotografię posiadacza aparatu.

Jednak pomimo najnowszych osiągnięć, głoszenie końca haseł, jak uczynił to w 2004 roku Bill Gates słynnym powiedzeniem "hasło umarło", może być przedwczesne.

- Spektakularnie błędne założenie, że hasła są martwe, jest szkodliwe, zniechęcając do badań nad poprawą losu blisko 2 miliardów ludzi, którzy ich używają - napisał ostatnio Cormac Herley, badacz z Microsoftu, firmy, którą założył Gates.

Herley sugeruje raczej, że deweloperzy próbują "lepiej obsługiwać użycie haseł" - na przykład pomagając ludziom chronić połączenia bezprzewodowe przed podsłuchem. - Hasła - kontynuuje Herley - okazały się godnym przeciwnikiem. Żadnemu z tych, którzy próbowali je zastąpić, to się nie udało.

Zastosowanie ekranu dotykowego ma sens, ponieważ każdy człowiek wykonuje ten sam gest unikalnie. Ich palce się różnią i poruszają się w różnym tempie, mają to, co Memon nazywa innym "stylem". Memon chce, by logowanie się było łatwe. Poza tym, jak mówi, niektórzy ludzie uważają, że biometryczne zabezpieczenia, takie jak skanowanie tęczówki, są przerażające.

W trakcie swoich badań odkrył, że najbardziej popularne gesty to te, które wydają się najbardziej intuicyjne. Jednym z nich było obrócenie obrazu zamka szyfrowego o 90 stopni w jednym kierunku. Innym było napisanie swojego imienia na ekranie. W zasadzie, gest może być używany do odblokowania urządzenia lub aplikacji na urządzeniu, które ze względów bezpieczeństwa zawiera wiele haseł. Pomimo ich odporności, hasła są za słabe, zwłaszcza dlatego, że ich użytkownicy mają ograniczoną pamięć i słabość do wyjawiania tajemnic.

Większość ludzi potrzebuje ich dziesiątki, a wybiera zazwyczaj hasła tak złożone, że musi je sobie zapisać, albo tak banalne, że można je łatwo odgadnąć. Ostatnio przestępcy stali się mistrzami w kradzieży haseł przez przemycanie na komputery złośliwego oprogramowania lub nakłanianie użytkowników do wpisywania się na nieodpowiednie strony.

Firmy takie jak Facebook i Twitter próbowały reagować na frustracje związane z hasłami, umożliwiając ich użytkownikom używanie nazw i haseł, by otwierać drzwi do milionów stron internetowych. Jest to wygoda, która niesie za sobą oczywiste ryzyko. Złodziej z dostępem do nazwy użytkownika i hasła może mieć dostęp do wielu kont.

Rachna Dhamija, informatyk z Kalifornii i od niedawna przedsiębiorca, stara się zwalczać te słabości, rozbijając hasło. Najpierw użytkownik loguje się do usługi, którą zbudował Dhamija, UsableLogin i zakłada konto przy pomocy własnego, częściowego hasła.

Usługa sprawdza, czy użytkownik posługuje się autoryzowanym urządzeniem i pobiera trzeci kawałek zabezpieczenia z chmury, tworząc unikalne hasło dla każdej witryny, na której użytkownik chce się zalogować, na przykład do Facebooka. Innymi słowy, jedna z części hasła spoczywa u użytkownika, kolejna jest przechowywana w jego urządzeniu, a trzeci element jest przechowywany w trybie online.

- Ryzyko się rozkłada. Hasło nie jest przechowywane w całej swej postaci w żadnym miejscu -powiedział Dhamija, którego usługa została niedawno przejęta przez Webroot Software z siedzibą w Broomfield, Kolorado.

Ale nawet jeśli użytkownik posiada zezwolenie na początku sesji, co się stanie, jeśli ktoś uzyska dostęp do jego komputera godzinę później? DARPA, wydział badań technologicznych Departamentu Obrony, zaprosił specjalistów od zabezpieczeń do opracowania sposobów weryfikacji użytkownika w każdej chwili, w oparciu o sposób, w jaki osoba korzysta z urządzenia - "na przykład, w jaki sposób użytkownik obsługuje mysz i jak posługuje się językiem pisanym w e-mailu lub dokumencie" - wyjaśnia na swojej stronie internetowej.

Każda z tych technik opiera się na założeniu, że samo hasło nie jest wystarczającym sposobem weryfikacji tożsamości użytkownika. Pomyśl o nich jak o fortyfikacji: wzmocnionym haśle.

Wiele firm korzysta z karty elektronicznej lub klucza sprzętowego - który można podłączyć do komputera i który działa jako drugi etap weryfikacji, aby umożliwić dostęp do sieci wewnętrznej. Dzisiaj alternatywą do tego zaczyna być biometria - unikalne cechy fizyczne jednostki.

Co najmniej pół tuzina banków w USA prosi klientów o potwierdzenie swojej tożsamości poprzez wyrecytowania dwusekundowej frazy do komputera za pośrednictwem telefonu, jako dodatek do kodu PIN. Może to być coś tak prostego, jak "w moim banku" i milion klientów może wypowiadać to samo zdanie i nadal brzmieć niepowtarzalnie - twierdzą przedstawiciele firmy Nuance Communications, firmy z siedzibą w Burlington, Massachusetts, która tworzy tę technologię.

Kiedy telefony komórkowe stają się nieodłącznym atrybutem ludzi na całym świecie, także i one zaczynają służyć jako instrumenty do weryfikacji tożsamości. Google wprowadziło dwuetapowy proces logowania w 2011 roku. Wysyła na komórkę użytkownika sześciocyfrowy kod do aplikacji, który należy wprowadzić wraz z hasłem podczas logowania się na konto Google na komputerze lub tablecie. Kod może być również przesłany w postaci wiadomości tekstowej dla tych, którzy nie mają smartfonów, lub przekazany w trakcie rozmowy telefonicznej.

Dodatkowy krok nie jest obowiązkowy, firma nie wyjawiła też, jak powszechnie został przyjęty. Ale ponieważ jest tak łatwo ukraść czy odgadnąć hasło, Google uważa, że coraz ważniejsze jest, by tożsamość użytkownika została zweryfikowana także poprzez inny kanał - w tym przypadku telefon komórkowy.

- Myślę, że wkrótce ludzie zaczną używać urządzeń mobilnych jako swoich wszechobecnych identyfikatorów - mówi Brendon Wilson, badacz bezpieczeństwa w firmie Symantec. - Hasło już nie będzie ostatecznym wyznacznikiem tego, czy ty to ty.

Somini Sengupta

2011 New York Times News Service

Tłumaczenie: AM

Śródtytuły autorstwa INTERIA.PL