Δευτέρα 20 Ιανουαρίου 2014

Το τέλος των passwords


ΟΠΟΙΑ ΚΑΙ ΑΝ ΕΙΝΑΙ ΤΑ ΤΕΛΙΚΑ ΠΡΩΤΟΚΟΛΛΑ Η ΣΥΣΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ ΠΟΥ ΘΑ ΥΙΟΘΕΤΗΘΟΥΝ, ΟΛΑ ΘΑ ΕΧΟΥΝ ΕΝΑ ΚΟΙΝΟ ΧΑΡΑΚΤΗΡΙΣΤΙΚΟ: ΔΕΝ ΘΑ ΑΠΟΣΤΕΛΛΟΝΤΑΙ ΠΟΥΘΕΝΑ ΜΕΣΩ ΔΙΑΔΙΚΤΥΟΥ, ΑΛΛΑ ΘΑ ΕΛΕΓΧΟΝΤΑΙ ΤΟΠΙΚΑ. ΤΟ ΜΟΝΟ ΠΟΥ ΘΑ ΜΕΤΑΦΕΡΕΤΑΙ ΗΛΕΚΤΡΟΝΙΚΑ ΘΑ ΕΙΝΑΙ ΤΑ ΚΛΕΙΔΙΑ ΚΡΥΠΤΟΓΡΑΦΗΣΗΣ, ΠΟΥ ΔΕΝ ΜΠΟΡΟΥΝ ΝΑ ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΘΟΥΝ, ΩΣΤΕ ΝΑ ΚΛΑΠΕΙ Η ΤΑΥΤΟΤΗΤΑ ΤΟΥ ΧΡΗΣΤΗ
Η πληκτρολόγηση κωδικών πρόσβασης (passwords) σε συσκευές, όπως τα κινητά, τα tablets και τους ηλεκτρονικούς υπολογιστές, μπορεί σύντομα να σπαταλούν λιγότερο από το χρόνο μας, μειώνοντας ταυτόχρονα και την ανησυχία μας για παραβίαση των προσωπικών μας δεδομένων στις online υπηρεσίες.
Την περασμένη εβδομάδα, στη διεθνή έκθεση ηλεκτρονικών CES 2014 στο Λας Βέγκας των ΗΠΑ, πολλές εταιρείες παρουσίασαν τεχνολογίες που αποχαιρετούν τους κωδικούς πρόσβασης και καλωσορίζουν τις τεχνολογίες ταυτοποίησης μέσω δακτυλικών αποτυπωμάτων, της ίριδας του ματιού ή άλλων ευφάνταστων τρόπων. Κάποιες από αυτές τις τεχνολογίες θα είναι διαθέσιμες μέσα στο τρέχον έτος, ενώ άλλες πρόκειται να ενσωματωθούν σε υπολογιστές, tablets και τηλέφωνα του μέλλοντος.
Οι ειδικοί σε θέματα ασφαλείας στο Διαδίκτυο υποστηρίζουν εδώ και πολύ καιρό ότι οι κωδικοί πρόσβασης αδυνατούν να διαφυλάξουν τα προσωπικά μας δεδομένα. Ελλείψει, όμως, άλλων αποτελεσματικότερων εναλλακτικών, τα passwords ήρθαν και κυριάρχησαν στην ψηφιακή ζωή.
Κενά ασφαλείας
Δύο βασικά μειονεκτήματα που έχουν τα passwords είναι, αφ' ενός, ότι οι χρήστες δυσκολεύονται να τα θυμηθούν και συχνά αναγκάζονται να τα επαναχρησιμοποιούν σε διάφορους λογαριασμούς και συσκευές, και, αφ' ετέρου, οι εταιρείες τα αποθηκεύουν σε κεντρικές βάσεις δεδομένων, που συχνά στοχοποιούνται από εγκληματίες. Χαρακτηριστικό παράδειγμα αποτελεί η περίπτωση της Adobe, καθώς τον Οκτώβριο του 2013 χάκερ κατάφεραν να κλέψουν πάνω από 150 εκατ. usernames και passwords, ενώ παρόμοιες παραβιάσεις σημειώθηκαν και σε άλλες εταιρείες, όπως η Evernote και το LinkedIn.
Το YubiKey Neo της YubicoΤο YubiKey Neo της YubicoΜία από τις νέες τεχνολογίες που παρουσιάστηκαν στη CES 2014 και υπόσχονται να καταργήσουν τα passwords, είναι το YubiKey Neo της Yubico, μία συσκευή ταυτοποίησης που μοιάζει με USB. Το YubiKey Neo λειτουργεί με πρωτόκολλο U2F, το οποίο αναπτύσσει η Google, ενώ οι εργαζόμενοί της χρησιμοποιούν ήδη τη συσκευή για να έχουν πρόσβαση στα εσωτερικά συστήματα της εταιρείας.
Ο χρήστης εισάγει τη συσκευή Neo στη θύρα USB του ηλεκτρονικού του υπολογιστή ή την ακουμπάει πάνω στο κινητό του τηλέφωνο, όταν χρειαστεί να συνδεθεί σε μία εφαρμογή ή μία online υπηρεσία. Μία βοηθητική εφαρμογή στο κινητό ή ο περιηγητής Chrome στον υπολογιστή χρησιμοποιεί το τσιπ ασφαλείας που βρίσκεται μέσα στο Neo, για να ανταλλάξει κλειδιά κρυπτογράφησης με την υπηρεσία, καθώς ο χρήστης εισάγει ένα μικρό ΡΙΝ.
Παρ' όλο που η συγκεκριμένη συσκευή απαιτεί νέα συστήματα hardware και σύνδεσης, η Yubico, η Google και άλλοι συνεργάτες τους προσπαθούν να πείσουν τις εταιρείες και τους κατασκευαστές περιηγητών να υιοθετήσουν την τεχνολογία. Μεγάλες εταιρείες, όπως για παράδειγμα οι τράπεζες, θα μπορούσαν να υιοθετήσουν τη συγκεκριμένη τεχνολογία, καθώς φαίνεται να προσφέρει τη σωστή ισορροπία ανάμεσα στην υψηλή ασφάλεια και την ευκολία για τους πελάτες. Το YubiKey Neo αναμένεται να κυκλοφορήσει στην αγορά μέσα στη χρονιά, όταν θα έχει βελτιστοποιηθεί το πρωτόκολλο U2F, και η τιμή του υπολογίζεται στα 50 δολάρια.
Πέρα από τη Yubico όμως, υπήρξαν και άλλες εταιρείες στη CES που παρουσίασαν νέους τρόπους ταυτοποίησης του χρήστη, κυρίως με τη χρήση βιομετρικών δεδομένων.
Η τεχνολογία των δακτυλικών αποτυπωμάτων ως ταυτοποίηση των βιομετρικών χαρακτηριστικών είναι σχεδόν καινούργια, αλλά σύμφωνα με την εταιρεία Validity, που απέκτησε η Synaptics τον περασμένο Οκτώβριο, η τεχνολογία σάρωσης είναι αρκετά ώριμη, ώστε να μπορέσει να εδραιωθεί, και την αρχή φαίνεται πως έκανε η Apple με την ενσωμάτωση της ανάγνωσης δακτυλικών αποτυπωμάτων στο νέο iPhone 5S.
Η Synaptics κατασκευάζει ήδη συστήματα ανάγνωσης δακτυλικών αποτυπωμάτων, που έχουν ενσωματωθεί σε επαγγελματικά laptops και το smartphone HTC One Max, αλλά στη CES παρουσίασε πιο συμπιεσμένους αισθητήρες, οι οποίοι είναι ευκολότεροι στη χρήση. Οι συγκεκριμένοι αισθητήρες αναγνωρίζουν το αποτύπωμα με ένα ελαφρύ χτύπημα και μπορούν να ενσωματωθούν σε ένα κουμπί ή ακόμα και κάτω από το τζάμι ενός smartphone, ακριβώς δίπλα από την οθόνη.
Το βραχιόλι NymiΤο βραχιόλι NymiΟι συσκευές ταυτοποίησης μπορεί να οδηγήσουν όμως και σε νέες μορφές εξατομίκευσης, σύμφωνα με τον Andrew D'Souza, πρόεδρο της Bionym, που κατασκευάζει το βραχιόλι Nymi, το οποίο μπορεί να επαληθεύσει την ταυτότητα των χρηστών κινητών τηλεφώνων από το χτύπο της καρδιάς τους. Μάλιστα, όπως υποστηρίζει ο ίδιος, μέσα στη χρονιά η Bionym θα ανακοινώσει επισήμως τη συνεργασία της με εταιρείες πληρωμών, λιανικού εμπορίου, αλλά και διαδικτυακές εταιρείες που θα δίνουν τη δυνατότητα στους πελάτες τους να χρησιμοποιούν το Nymi αντί για κωδικούς πρόσβασης.
Ακόμη μία καινοτόμος τεχνολογία που παρουσιάστηκε στη CES, ήταν αυτή της σάρωσης του ματιού, που παρέχει πρόσβαση στον ηλεκτρονικό υπολογιστή και σε online λογαριασμούς. Πρόκειται για την τεχνολογία του Myris, μιας κυκλικής συσκευής στο μέγεθος ενός mouse, που συνδέεται στον υπολογιστή με καλώδιο USB.
Ο χρήστης του Myris το μόνο που χρειάζεται να κάνει είναι να κοιτάξει σε ένα μικρό καθρέφτη στο κάτω μέρος της συσκευής για 15 δευτερόλεπτα και μία υπέρυθρη βιντεοκάμερα ελέγχει 240 σημεία της ίριδας. Μόλις ανιχνεύσει την ατομική υπογραφή του χρήστη, ένα βοηθητικό λογισμικό εισάγει τους κωδικούς στις ιστοσελίδες ή ξεκλειδώνει τον υπολογιστή με λειτουργικά Windows, Mac ή Chrome.
Το Myris αναμένεται να κυκλοφορήσει στην αγορά μέσα στο πρώτο μισό του 2014, αλλά η μαμά-εταιρεία EyeLock δεν έχει ανακοινώσει ακόμα την τιμή του. Το μόνο που ανακοίνωσε είναι ότι μέχρι το τέλος του χρόνου θα έχει ενσωματώσει την τεχνολογία σε κάποια PC και tablets.
Εταιρεία-ομπρέλα
Η Synaptics, η Yubico και η EyeLock αναπτύσσουν τα συγκεκριμένα συστήματα κάτω από την ομπρέλα της FIDO Alliance, που διασφαλίζει ότι οι εν λόγω τεχνολογίες μπορούν να συνεργαστούν μεταξύ τους. Η FIDO υποστηρίζει μεγάλες εταιρείες, όπως η Google, η Microsoft, το PayPal, η Lenovo και η MasterCard, ενώ ενέκρινε και το πρωτόκολλο U2F της Google.
Πάντως, όποια και αν είναι τα τελικά πρωτόκολλα που θα υιοθετήσει η FIDO, όλα θα έχουν ένα κοινό χαρακτηριστικό: τα δακτυλικά αποτυπώματα του χρήστη ή το μοναδικό αναγνωριστικό οποιασδήποτε USB συσκευής δεν θα στέλνονται πουθενά στο Διαδίκτυο, αλλά θα ελέγχονται τοπικά. Το μόνο που θα μεταφέρεται μέσω Διαδικτύου θα είναι τα κλειδιά κρυπτογράφησης που δεν μπορούν να αποκρυπτογραφηθούν, για να κλαπεί η ταυτότητα του χρήστη.
Πηγή: ΜΙΤ Technology Review

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου