Koniec ery podawania haseł. Teraz komputery będą odczytywać je z... użytkowników

Haseł, kodów i wszelkiego rodzaju PIN-ów używamy codziennie. Przy ich pomocy logujemy się na konto pocztowe, Facebooka, fora, Allegro, a nawet wypłacamy pieniądze. Zwykły ciąg liter, znaków i cyfr chroni nasze dane, często prywatne oraz wypłaty, na które ciężko pracujemy każdego dnia. Czy to rzeczywiście najlepszy sposób na zabezpieczenie tak cennych rzeczy?

Weźmy na przykład kod PIN do karty kredytowej. Składa się z czterech cyfr. Możliwych kombinacji jest zaledwie 10 tysięcy, więc jego złamanie nie jest tak trudne, jakby mogło się wydawać. Na dodatek spora część osób ustawia dość oczywiste kombinacje, typu 1234, 1111, 0000 i tym podobne. Badania wskazują, że podanie jednej z wymienionych przed chwilą kombinacji daje aż 19 procent szans na powodzenie.

Nieco lepiej jest w przypadku serwisów internetowych. Google wprowadziło dwustopniową weryfikację, dzięki której nie zalogujemy się na innym komputerze lub urządzeniu bez odpowiedniego kodu. Facebook może poinformować nas SMS-em, że na nasze konto loguje się ktoś z nieautoryzowanego urządzenia no i też ma dwustopniową weryfikację. Podobnie Twitter (choć nie we wszystkich krajach) czy też Dropbox przez aplikację Google.

Poza tym, aby hasło było skuteczne, powinno być możliwie długie, skomplikowane, unikalne i najlepiej jeszcze często zmieniane. Tego typu procedura jest normalna w korporacjach, w których miałem okazję pracować, ale nie sprawdza się w przypadku zwykłych użytkowników. Zazwyczaj wszędzie mamy to samo hasło lub różnego jego kombinacje, w zależności od wymagań danego serwisu. Wystarczy, że ktoś wkradnie się na jedno konto i bez większego wysiłku uzyska dostęp do pozostałych. No i komu chce się co miesiąc zmieniać hasło?

Zresztą wszystkie te zabezpieczenia nie mają znaczenia w przypadku kradzieży smartfona. Sam mam na swoim urządzeniu zapisane w pamięci wszystkie hasła, dzięki którym nie muszę za każdy razem logować się do Gmaila, Twittera lub Facebooka. Klikam w odpowiednią aplikację i już jestem zalogowany. A jak chronimy inteligentne telefony? Często w ogóle. Czasami wystarczy przesunąć placem na kłódkę, aby odblokować smartfona, co nie jest żadnym zabezpieczeniem. Bardziej przezorni rysują na wyświetlaczu specjalny wzór. Ale przecież wystarczy nie przetrzeć ekranu i ze śladów po palcach da się go bez problemu odczytać. Czterocyfrowy kod PIN? To już ustaliliśmy – 10 tysięcy kombinacji to niedużo. To może w takim rozpoznawanie twarzy? Do tego wystarczy zdjęcie, np. z Facebooka, edytowane w zwykłym, systemowym Paintcie. W skrócie – są sposoby na zabezpieczenie telefonu, ale są one co najmniej średnio skuteczne.

Zauważyli to dwa wielcy, czyli Apple i Google. Firma z Cupertino wprowadziła w nowych iPhone’ach TouchID, czyli czytnik linii papilarnych. Przedstawiciele Apple obiecują, że szansa na odblokowanie telefonu przez nieautoryzowaną osobę wynosi 50 tysięcy do 1, czyli jest to znacznie trudniejsze niż w przypadku czterocyfrowego PIN-u. Jednak już mieliśmy okazję się przekonać, że nie jest to rozwiązanie idealne. Co więcej, specjaliści od bezpieczeństwa twierdzą, że czytniki linii papilarnych nie nadają się do chronienia kluczowych danych, a tych – szczególnie na smartfonach prezesów, członków zarządu czy nawet rzeczników prasowych – nie brakuje.

Google wpadło na jeszcze inny pomysł. Jak informuje Wall Street Journal - internetowy gigant zamierza stworzyć fizyczny klucz, tokena o nazwie YubiKey, dzięki któremu uzyskiwalibyśmy dostęp do własnego konta. Urządzenie miałoby działać zarówno w przypadku komputerów, ponieważ możliwe byłoby podłączenie go do portu USB, jak i telefonów komórkowych, bowiem wykorzystywałoby łączność NFC. W momencie logowania wystarczyłoby wtyknąć tokena do laptopa lub przyłożyć do smartfona.

Gadżet miałby trafić do Google Play już w przyszłym roku. Na razie producent – firma Yubico – sprzedaje go za 50 dolarów, ale jest spora szansa na to, że Google wynegocjowałoby zdecydowanie lepszą stawkę. Ale czy to bezpieczny sposób na zabezpieczenie naszych danych? Mam wątpliwości.

To nie jedyne pomysły, na zastąpienie tradycyjnych haseł, innym sposobem na logowanie. Firma Agnito SL z Madrytu pracuje nad oprogramowaniem do rozpoznawania głosu. W ten sposób logowanie odbywałoby się poprzez wypowiedzenie charakterystycznej frazy. Z kolei londyńska firma PixelPin chce zastąpić hasła zdjęciami. Ale nie chodzi tutaj o znane chociażby z Androida rozpoznawanie twarzy, ale klikanie na fragmenty fotografii, oczywiście w określonej wcześniej kolejności.

Jednak najciekawiej brzmi projekt Uniwersytetu Kalifornii, gdzie testowana jest możliwość uwierzytelniania poprzez… fale mózgowe. Już udało się opracować odpowiednie urządzenie i oprogramowanie, które wspólnie dają 99-procentową skuteczność. Po pierwsze, to wciąż za mało, aby mówić o prawdziwym zabezpieczeniu. Po drugie, raczej nie będziemy ze sobą nosić urządzenia, zakładanego na głowę, tylko po to, aby zalogować na Facebooka. Nie miałoby to najmniejszego sensu.

Warto też wspomnieć o polskiej inicjatywie o nazwie Rublon. Jest to aplikacja, która pozwala na zabezpieczenie dostępu do różnych kont, w tym bankowych, poprzez ustawienie zaufanych urządzeń. Dostęp, np. do Facebook, z innego sprzętu nie jest możliwy, bez zalogowania się najpierw do Rublona. Co ważne, polska firma w żaden sposób nie otrzymuje naszych haseł, nigdzie ich nie przechowuje, bo najzwyczajniej w świecie nie ma takiej możliwości.

Producenci sprzętu stoją przed nie lada wyzwaniem. Muszą wymyślić skuteczny sposób na ochronę naszych danych. Apple poszło w czytnik linii papilarnych. Według plotek, inne firmy też planują tego typu rozwiązania. Google daje nam dwustopniową weryfikację, a do tego chce jeszcze dołożyć szyfrowanego tokena. A co będzie później? Może sprzęt, który będzie skanował rozmieszczenie żył w naszym ciele, w końcu te też są podobno dość charakterystyczne. A może te fale mózgowe?

Zdjęcie "Security concept: Lock on digital screen, contrast, 3d render" pochodzi z serwisu Shutterstock