Co roku na początku maja obchodzony jest tzw. Światowy Dzień Hasła. To jedno z wielu „świąt nietypowych” (podobnie jak choćby wrześniowy Światowy Dzień Programisty) i mających jako takie znaczenie co najwyżej dla osób związanych z sektorem IT, a którym towarzyszą na ogół okolicznościowe publikacje, komunikaty i raporty. W przeddzień lub w Dniu Hasła co roku dowiadujemy się – a raczej utwierdzamy w przekonaniu – że kwestie bezpieczeństwa dostępu do danych i usług są lekceważone. Zwłaszcza przez użytkowników indywidualnych.

Administratorzy firmowych zasobów IT mają obowiązek dbałości o bezpieczeństwo stacji roboczych i (na ogół) ściśle kontrolują dostęp i uprawnienia użytkowników. Dlatego na pracownikach wymuszane jest ponowne logowanie do systemu po kilkunastominutowej bezczynności oraz zmiana hasła dostępowego m.in. do systemu operacyjnego i poczty po upływie określonego czasu, na przykład co sześć miesięcy. W dodatku na takie, które nie było wcześniej w tym celu użyte – czyli nie znajduje się w bazie (historii) haseł użytkownika lub w wystarczającym stopniu różni się od haseł wcześniejszych. Reguły bezpieczeństwa nie przepuszczą też hasła bez małych i wielkich liter, cyfr i znaków specjalnych (a i tak, jak przekonują specjaliści z amerykańskiego Narodowego Instytutu Standaryzacji i Technologii, hasła są skuteczne tylko wtedy, gdy zawierają co najmniej 16 różnych znaków).

Zobacz również:

• Użytkownicy dalej konfigurują łatwe do odgadnięcia hasła
• IBM Security QRadar SIEM pomoże zarządzić globalną strukturą odpowiedzialną za bezpieczeństwo

Według analiz firmy Forrester Research takie podejście do firmowej polityki bezpieczeństwa jest obciążające i niewygodne zarówno dla administratorów, jak i „zwykłych” pracowników. Pierwsi muszą pilnować porządku, drugim ciągłe nakazy wpisywania hasła na ekranie blokady Windows przeszkadzają w pracy.

Bez admina ani rusz

Tyle że użytkownicy potrzebują administratorów (tym domowym też by się ktoś taki przydał). Bo według BullGuarda 21% internautów od ponad dziesięciu lat stosuje te same hasła. W dodatku te same wyrażenia używane są do logowania się do wielu usług, zarówno prywatnych, jak i służbowych. 65% uczestników ankiety przeprowadzonej przez firmę SailPoint przyznało, że używa jednego hasła do kilku usług, a jeden na pięciu przekazuje swoje hasła innym użytkownikom, np. współpracownikom.

Niektóre portale internetowe z logowaniem, np. utrzymywane przez instytucje finansowe, same sugerują użytkownikowi zmianę za długo używanego hasła, jednak w żaden sposób nie mogą tego od niego wyegzekwować. Niestety, w bezpłatnych usługach pocztowych czy wielu różnych serwisach umożliwiających logowanie o takich monitach można pomarzyć.

Bill Gates, współzałożyciel Microsoftu, przewidywał, że hasła w końcu odejdą w zapomnienie jako nieefektywna metoda zabezpieczania ważnych informacji. Było to w 2004 r. Problemem nie jest podatność haseł na złamanie jako ogólna właściwość tej metody ochrony dostępu. Problemem jest rosnąca liczba usług z autoryzowanym dostępem – sam naliczyłem u siebie ok. 40 różnych stron i portali wymagających logowania. Zgoda, istnieją menedżery haseł, wyspecjalizowane aplikacje do przechowywania bazy danych logowania i zarządzania nią. Są też przeglądarki internetowe, które – jak się wydaje – w coraz większym stopniu przejmują funkcje menedżerów, oferując zapamiętywanie loginów i haseł. Przezorny użytkownik ustawi sobie w takiej przeglądarce hasło główne – w przeciwnym razie zapisane hasła będą dostępne dla każdego, kto będzie miał styczność z komputerem i przeglądarką. A nieprzezorny?

Hasła to stosunkowo prosta metoda autoryzacji użytkownika ale niekoniecznie dla użytkowników mobilnych, bo wpisywanie ciągów znaków na niewielkich, wirtualnych klawiaturach smartfonów jest po prostu uciążliwe. Dlatego bardziej niż kiedykolwiek potrzebujemy nowocześniejszych form zabezpieczania dostępu do kont i usług. Takich, które będą chronić zasoby w sposób bardziej zautomatyzowany i intuicyjny. Aż chciałoby się sparafrazować Winstona Churchilla i jego bon mot o demokracji: „Hasła to najgorsza metoda autoryzacji użytkownika, ale lepszej na razie nie wynaleziono”.

Biometria i analiza behawioralna

A może jednak wynaleziono? Od czasu, gdy Apple wprowadziło w urządzeniach mobilnych z systemem iOS czytniki linii papilarnych, umożliwiając w ten sposób odblokowywanie urządzeń odciskiem palca, podobne rozwiązania wykorzystujące biometrię są już codziennością. Na przykład w smartfonie Galaxy S8 wbudowano skaner siatkówki, którego można użyć do odblokowania urządzenia oraz w systemach dwustopniowej weryfikacji, oferowanych przez niektóre serwisy online. Obecna w systemie Windows 10 funkcja Hello umożliwia logowanie na bazie systemu rozpoznawania twarzy lub skanowania linii papilarnych. Microsoft złożył też wniosek patentowy dotyczący technologii autoryzacji w urządzeniach z dotykowymi ekranami, przewidującej zastosowanie rysika obsługującego zestaw gestów.

Naukowcy z Uniwersytetu Berkeley opracowywali natomiast system autoryzacji za pomocą fal mózgowych. U podstaw technologii leży zjawisko generowania przez mózg unikatowych sygnałów elektrycznych, związane z procesami myślowymi – wystarczy więc pomyśleć o konkretnym przedmiocie, aby odblokować urządzenie lub zalogować się do usługi. Odczyt tych sygnałów byłby możliwy za pomocą stosownego urządzenia, np. słuchawek dousznych (mało prawdopodobne, by ktokolwiek chciał nosić na głowie skaner fal mózgowych wyglądem przypominający słuchawki z pałąkiem).

Z kolei Analitycy Forrestera w opracowaniu „The Top Security Technology Trends To Watch, 2017” wskazują na potencjał technologii autoryzacyjnych opartych na analizie behawioralnej. Oznacza to analizę zachowania użytkownika, obejmującą kliknięcia, historię i kolejność odwiedzanych witryn, lokalizację urządzeń, ruchy wykonywane myszą itp. Na podstawie tych atrybutów mogłyby powstawać profile użytkowników, a nowe technologie identyfikacji wykrywałyby anomalie niezgodne z zapisanym wzorcem zachowania. Te same założenia legły u podstaw Google’owego projektu Abacus. To system, który ma identyfikować użytkowników, opierając się na tym, w jaki sposób posługują się swoim urządzeniami mobilnymi, przewijają ekran itp.

Emotikony zamiast cyfr

Nie każda nowo opracowana alternatywa dla haseł ma szanse powodzenia. Dowodzi tego historia projektu Mozilla Persona, czyli zdecentralizowanego systemu autoryzacji, opartego na protokole BrowserID. Serwisy obsługujące ten mechanizm miały wymagać od użytkownika jednokrotnego podania danych weryfikacyjnych, np. e-maila. Po jego potwierdzeniu wystarczało kliknąć przycisk logowania przez BrowserID znajdujący się na danej stronie, bez konieczności tworzenia hasła ani oczekiwania na wiadomości z linkami potwierdzającymi rejestrację. System był rozwijany w latach 2011–2016. Powodem zarzucenia projektu był brak zainteresowania ze strony potencjalnych partnerów Mozilli.

Wydaje się, że aby podbić serca użytkowników, należy iść z duchem czasów. Może tam, gdzie nie udało się Mozilli, uda się… emotikonom? Zespół badaczy Politechniki Berlińskiej, Uniwersytetu w Ulm i Uniwersytetu Michigan zaprezentował niedawno założenia systemu Emoji Auth, metody autoryzacji w smartfonach z systemem Android, korzystającej z emotikonek, czyli prostych obrazków twarzy wyrażających różne emocje. Wcześniej, już w 2015 r. firma Intelligent Environments wdrożyła rozwiązanie Emoji Passcode, umożliwiające autoryzację na stronie internetowej banku z użyciem emotikon, zamiast kodów PIN czy haseł. Aby się zalogować, należało zamiast czterech cyfr wskazać cztery ikonki.

System emotikonowy jest bezpieczniejszy od tradycyjnej autoryzacji PIN-em czy hasłem, bo jest łatwiejszy do zapamiętania przez użytkownika, a jednocześnie trudniejszy do złamania dla cyberprzestępcy. Unika się podawania stosunkowo łatwych do ustalenia ciągów cyfr, takich jak rok urodzenia lub dzień i miesiąc urodzin. To zarazem podążanie za współczesnymi trendami. Dla młodych ludzi, dla których graficzny język emocji, wyrażany emotikonami w komunikatorach internetowych, wydaje się bardziej naturalny niż tradycyjny język pisany.