Že ob misli na gesla, se pogosto zdrznem – nova storitev, novo geslo. Tako nekako je. Seveda imamo v podjetju priporočeno aplikacijo za hrambo gesel, pa vseeno. Vedno in vedno dodatna gesla in dodatna gesla. Smrkec Zmrda, bi rekel: »Sovražim gesla!«
Vseeno je pač tako v digitalnem svetu – za dostope do storitev se je potrebno potrjevanje identitete. Najbolj razširjen način potrjevanja je pač par uporabniškega imena in pa gesla. Je tudi najbolj enostaven. V smislu potrebne podporne arhitekture – potrebuješ samo svoje možgane, da si podatke tudi zapomniš. Seveda je potrebno možgane dodatno trenirati – gesla morajo biti kompleksna, potrebno jih je menjavati.
Zakaj gesla?
Gesla predstavljajo del procesa autentikacije – proces potrjevanja tvoje istovetnosti. Največkrat v tem procesu potrebujemo bodisi nekaj kar vemo (na primer geslo) ali pa nekaj kar imamo (na primer koda, ki jo dobimo preko generatorja kode). Skoraj lahko uporabimo besedo tradicionalno, če rečemo, da se za potrjevanje identitete uporabljajo gesla. Zgodovinsko gledano je bila njihova uporaba enostavna za implementacijo. Z leti je bila uporaba gesel vedno bolj komplicirana – pojavile so se centralne zbirke gesel, uporabljati se je pričelo šifriranje gesel, redno menjavanje,… Skupno število gesel, ki jih posamezni uporablja preko življenjskega zaposlitvenega obdobja pri 40 letni delovni dobi in politiko menjave gesel na 2 meseca pomeni, da posameznih uporablja 240 gesel samo za prijavo v en službeni sistem.
Na drugi strani imamo napadalce, ki so postali vedno bolj izurjeni in vešči pridobivanja ali pa ugibanja gesel. Ravno zaradi tega se pojavlja vedno več pravil in zahtev glede kompleksnosti gesel (potrebna je določena minimalna dolžina, uporabljati je potrebno različna gesla za različne račune, geslo mora biti različno od zadnjih x gesel,…). Vse to so mehanizmi, ki preprečujejo hitro in enostavno ugibanje gesel. Problem pri upravljanju gesel pa ni samo v tem, da je potrebno generirati vedno bolj kompleksna gesla, ampak tudi v tem, da si je potrebno vedno bolj kompleksna gesla tudi zapomniti in da uporabljamo vedno več storitev, kjer je za prijavo potrebna uporaba gesla. Seveda si zadevo lahko olajšamo z uporabo aplikacij za uporabo in upravljanje gesel – a še vedno govorimo o geslih, samo način hrambe je iz možganov prestavljen v aplikacijo.
Prihodnost na tem področju sili ne tisti nekaj kar vsak posameznik je – torej v biometrične mehanizme potrjevanja identitete.
Biometrija
Podobno kot gesla, predstavlja biometrija mehanizem za potrjevanje identitete posameznika – metoda pove sistemu kdo smo. Zelo pogosto uporabljena metoda biometrije je na primer uporaba prstnega odtisa za prijavo v računalnik ali pa za prijavo v telefon. Biometričnih lastnosti, ki se lahko uporabijo za preverjanje in potrjevanje identitete je več – poleg prstnega odtisa se pogosto uporablja še prepoznava obraza, način hoje, glas, slika šarenice,…
Biometrija ima celoten nabor prednosti, ima pa tudi veliko pomanjkljivosti in groženj. Najbolj očitna pomanjkljivost je zagotovo to, da ko nekdo shrani tvoj digitalni zapis biometrične lastnosti, te lastnosti več ne moreš spremeniti, da bi razvrednotil ukraden zapis. S krajo zapisa biometrične identitete je bila ta ukradena za vedno.
Passkey
Predstavlja novo obliko potrjevanja identitete, ki vključuje dodatno napravo ali mehanizem. Med pionirji uporabe mehanizma so Microsoft, Apple in Google ter vedno več spletnih mest. Dokazovanje identitete se izvaja sočasno preko uporabe biometričnih podatkov in pa mobilne naprave. Namesto, da ustvarite geslo, izvedete registracijo mobilne naprave. Nato se v aplikacijo prijavljate preko identifikacije s pomočjo mobilne naprave z biometričnimi podatki, kot je prstni odtis ali pa prepoznava obraza, spletno mesto pa zaupa vaši mobilni napravi, ki izvede preverjanje oziroma potrjevanje identitete. Vsi biometrični podatki so shranjeni v mobilni napravi, ki izvaja potrjevanje identitete ostalim storitvam – aplikacijam v katere se želimo prijaviti. Sistem Passkey lahko deluje na način, da generira unikaten niz, ki se uporabi za dostop do aplikacije, osnovan pa je na biometričnih zapisih in podatkih.
Seveda nobena rešitev ni popolna, pri predlagani pa govorimo o rešitvi, ki je varnostno boljša, hkrati pa je enostavna za uporabo. S postopno širitvijo vpliva je možno, da bo ta tehnologija celo izpodrinila zelo vkoreninjeno uporabo gesel.
Mogoče bo katero kreativno in napredno podjetje pričelo z uporabo podobnih mehanizmov celo za dostope do bančnih sistemov…
…kdo ve…
