Damian
Sieradzon
Product Management
Department Manager,
MWT Solutions sp.
...
Temat: Czy hasła wkrótce staną się przeżytkiem?
Czy hasła wkrótce będą reliktem przeszłości? Czy już teraz stają się przeżytkiem? Możliwe, że jest to dzisiaj jeden z najbardziej czołowych tematów dyskusji w mediach technicznych.Portal Forbes.com opublikował artykuł o prawdopodobnym publicznym uruchomieniu U2F (Universal Second Factor) – nowej formy uwierzytelniania stworzonej przez Google w połączeniu z Yubico. Poprzez U2F, Google chcą „pomóc popchnąć sieć w kierunku łatwiejszego i bezpieczniejszego uwierzytelniania, gdzie użytkownicy będą posiadać pojedyncze, łatwe w użyciu, zabezpieczone urządzenie uwierzytelniające, zbudowane w oparciu o otwarte standardy, które będzie działać w całej sieci”. Doniesienia mediów opartych na tym artykule od razu napędzają burzliwe spekulacje, że tradycyjne hasła wkrótce wyjdą z użycia.
U2F tworzy spore zamieszanie, podobnie jak było rok wcześniej w przypadku burzy po sesji „Hasła są martwe” na konferencji RSA w San Francisco. W międzyczasie, podczas poprzedniego lata, ruch Petycja Przeciw Hasłom zyskał powszechne zainteresowanie mediów globalnych. Zapoczątkowana przez grupę firm sprzedających technologie bezhasłowe petycja została użyta do „zebrania wszystkich sfrustrowanych zapomnianymi hasłami i upewnienia się, że odpowiedzialne organizacje o nich usłyszą”.
Oczywiście ludzie spekulują o wymarciu haseł od prawie dekady. Szef Microsoftu Bill Gates w 2004 prorokował śmierć haseł, zrobił to również później w 2006, kiedy powiedział, że koniec haseł jest w zasięgu wzroku. Gates nie jest w tej kwestii odosobniony. Wielu innych analityków przepowiadało zniknięcie haseł. Jednak hasła wciąż są wiodącą metodą uwierzytelniania.
Pretensje do haseł
Wraz z rozprzestrzenianiem aplikacji internetowych, wiele haseł zajmuje każdy aspekt naszego życia. Zapamiętanie dziesiątek haseł jest niemożliwe. Przechowywanie ich tylko stwarza problemy. A zarządzanie nimi jest jeszcze gorsze.
Głośne kradzieże tożsamości w Internecie tylko prowadzą nas w kierunku pozbycia się haseł. Te naruszenia bezpieczeństwa tworzą również dyskusje na temat zastąpienia haseł i stawiają pytanie za milion dolarów: czy mamy gotową alternatywę na wypadek końca ery haseł?
Obfitość rozwiązań, ale brak złotego środka
Alternatywnie do haseł mamy rozwiązania takie jak uwierzytelnianie biometryczne, tęczówki oka, twarzy, wiele multi-elementowych uwierzytelnień, a nawet uwierzytelnianie poprzez przedmioty takie jak zegarki, biżuteria, elektroniczne tatuaże itd. Ale wszystkie te rozwiązania są dyskusyjne.
Kilka miesięcy temu Apple uruchomił Touch ID, czyli czytnik linii papilarnych wbudowany w iPhone’a 5S. Touch ID pozwala użytkownikom na dostęp do ich telefonów za pomocą palca, „bez potrzeby zapamiętywania sekwencji znaków lub liczb”. Uruchomienie tej technologii również uruchomiło medialne doniesienia na temat zniknięcia haseł.
Co ciekawe, niektóre z tych alternatywnych metod uwierzytelniania zostało scrackowanych zanim weszły do powszechnego użytku. Kilka lat temu grupa badaczy zhakowała system uwierzytelniania poprzez rozpoznanie twarzy za pomocą zdjęć użytkowników wyświetlonych na telefonie.
Cały czas trwają badania nad lepszą alternatywą
Jednakże, żadne z tych alternatywnych podejść nie było opłacalne z wielu powodów. Hasła są bardzo łatwe do stworzenia i absolutnie bezpłatne. Alternatywy są w większości przypadków drogie, trudne w integracji z istniejącymi środowiskami, trudne w użyciu oraz potrzebują dodatkowych urządzeń.
Hasła zostają, chroń je
Na tą chwilę w zasięgu wzroku nie ma rozwiązania zdolnego do zastąpienia tradycyjnych haseł. Kiedy pojawi się następna generacja technologii zastępującej hasła, minie trochę czasu zanim stanie się powszechnie akceptowana i używana. Wszystko wskazuje na to, że hasła jeszcze przez jakiś czas będą wśród nas.
Hasła są powszechnie postrzegane jako niebezpieczne. Jednak zamiast używać tej argumentacji powinniśmy spojrzeć na rzeczywisty aktualny problem. Tym problemem jest słabe zarządzanie hasłami a nie hasła jako same w sobie.
Niezdolność do zapamiętania silnych haseł skłania użytkowników do używania prostych haseł. Przechowują hasła w plikach tekstowych, notatkach, dzielą uwierzytelnienia między współpracowników oraz ujawniają dane logowania w mailach lub podczas rozmów. Rzeczywista kontrola dostępu nie istnieje i hasła do wrażliwych zasobów i aplikacji pozostają niezmienione od nie wiadomo jakiego czasu. Takie złe praktyki zarządzania hasłami prowokują luki w bezpieczeństwie i stwarzają wiele innych problemów.
Użyj menedżera haseł
Podczas gdy trwają badania nad znalezieniem alternatywy dla haseł, rozsądnie byłoby wdrożyć menedżera haseł do zabezpieczenia naszych danych. Z menedżerem haseł możesz zabezpieczyć wszystkie swoje hasła w centralnym repozytorium, użyć silnych, niepowtarzalnych haseł bez martwienia się o zapamiętanie ich, zautomatyzować i wyegzekwować najlepsze praktyki zarządzania hasłami, wdrożyć kontrolę dostępu do zasobów i aplikacji oraz śledzić wprowadzane zmiany i działania, itp.
Jeśli zastanawiasz się, którego menedżera haseł warto użyć, sprawdź ManageEngine Password Manager Pro - http://mwtsolutions.pl/content/view/153/83/lang,pl/
Chcesz wiedzieć więcej na temat ochrony i zarządzania hasłami? Zapraszam do dyskusji.
Zapraszam również na dedykowane bezpłatne seminaria - kontakt damian.sieradzon@mwts.pl