Silniejsza niż najlepsze hasła: jeszcze parę lat temu nie ufaliśmy biometryce, ale rozwój tej technologii nie przestaje nas zaskakiwać.
Jako że w ten sposób chronimy własne dane, dobrze wiedzieć, jakie są najnowsze osiągnięcia w tej dziedzinie.
Zainteresowani tematem wiedzą, że biometryka poczyniła w ostatnim czasie spore postępy. Kilka lat temu jeszcze nie mieściło nam się w głowie, że może zastąpić koncepcję silnych haseł. Tymczasem widać ewidentny zwrot w tym właśnie kierunku.
Jeszcze nie wszystkie platformy konsumenckie wykorzystują metody biometryczne w celu zabezpieczenia dostępu, ale na wszelki wypadek już dziś przyjrzymy się najważniejszym zmianom.
Silne hasła to już przeżytek
Nawet w roku 2017 kryptolodzy uprzedzali, że nie do końca da się powstrzymać proceder łamania haseł, nawet jeśli wybieramy trudne do złamania kombinacje symboli.
Najnowsza lista wytycznych, opublikowana przez NIST w listopadzie 2024 roku, nie zawiera już wskazań, by używać mieszanki dużych i małych liter, znaków specjalnych i cyfr. Tym razem eksperci skupili się na innych kryteriach bezpieczeństwa:
- Sprawdzenie złamanych haseł: Trzeba upewnić się, że konkretne hasła nie zostały złamane podczas ewentualnych naruszeń danych w przeszłości.
- Minimalna długość: Co najmniej 8 znaków, choć zaleca się aż 15.
- Dłuższe hasła: Specjaliści sugerują hasła o długości nawet 64 znaków.
- Wszystkie znaki dozwolone: Dobrze jest wykorzystywać wszystkie znaki ASCII, by hasło było bardziej złożone.
- Unicode nie gryzie: Warto uwzględniać znaki międzynarodowe i emotki, co dodatkowo zwiększa możliwości w zakresie tworzenia bezpiecznych haseł.
- Brak wymuszonej złożoności: Unikaj obowiązkowych znaków specjalnych. Lepiej wykombinuj dłuższe hasło.
- Koniec z okresowym resetem hasła: Hasła resetuj tylko wtedy, gdy masz powody podejrzewać, że doszło do naruszenia. Zmiana co 3 miesiące to przewidywalny wzorzec, a takich chcemy unikać.
- Zapomnij o podpowiedziach: Unikaj wskazówek i pytań pomocniczych, bo mogą posłużyć nie tylko Tobie.
- Sprawdzaj całe hasła: Podczas weryfikacji należy uwzględnić cale hasło. Niestety, niektóre aplikacje z powodów technicznych sprawdzają tylko 8 znaków, ucinając Twoje bezpieczne hasło.
Już wcześniej wiedzieliśmy, że nawet najsilniejsze hasła na nic się nie zdadzą, jeśli zostawimy je w przestrzeni, do której haker uzyska dostęp. Większość z nas słyszała o czymś takim jak keylogger i wie, że to skuteczna metoda obejścia nawet najbardziej skomplikowanych haseł. Dodajmy dla porządku, że nie jedyna.
Czy zatem metody biometryczne to odpowiedź na nasze obawy? Zanim do tego dotrzemy, przedstawimy jeszcze jeden, prostszy i dość powszechny sposób na ochronę danych.
Uwierzytelnienie wieloskładnikowe zastępuje system haseł
W ciągu ostatnich dwóch lat byliśmy świadkami ogromnego rozpowszechnienia systemów uwierzytelniania wieloskładnikowego (MFA) – aplikacje do zarządzania hasłami są z tego znane. Prawdopodobnie korzystasz również z tej usługi w swojej bankowości internetowej. Rozpowszechniły ją duże firmy, takie jak Google i Apple, więc MFA szybko stało się standardem.
Uwierzytelnianie wieloskładnikowe to trzecia zasada obok idei haseł, które są kluczami prywatnymi, i biometrii, opartej na unikalnych danych biologicznych. Dodatkowo, MFA wykorzystuje też dodatkowe urządzenie jako weryfikator.
Gdy posiadanie smartfonów stało się powszechne, firmy zdały sobie sprawę, że mogą wprowadzić innowacje w zakresie bezpieczeństwa haseł, umożliwiając posiadaczom smartfonów korzystanie z dodatkowych urządzeń do weryfikacji. Jeśli siedzisz przy komputerze i masz w kieszeni telefon, niczego więcej Ci do szczęścia nie potrzeba!
Zasada działania jest w tym przypadku prosta — wysyłasz żądanie dostępu, a system wysyła Ci na telefon kod, który musisz wpisać na komputerze. I tyle.
„Nie ma nic do zapamiętania, nie trzeba podejmować żadnych działań” – napisał Raz Rafaeli w lutym ubiegłego roku, sugerując wartość powiadomień push i odnosząc się przy okazji do innych rodzajów MFA. „Ze względu na łatwość obsługi i doskonałe bezpieczeństwo systemu, większość dostawców technologii uwierzytelniania w ostatnich latach ulepszyła swoje rozwiązania, aby obsługiwać również metodę push”. Rafaeli wskazuje też, że NIST skłania się bardziej w stronę MFA niż biometryki.
Tego rodzaju uwierzytelnianie wieloskładnikowe zapewnia, że nikt nie może zalogować się zamiast użytkownika, chyba że ma w ręku jego fizyczny smartfon.
Z jednej strony MFA jest o wiele łatwiejsze do wdrożenia niż próba użycia odcisków palców lub innych informacji biometrycznych do odblokowania systemów. Z drugiej jednak wymaga wykonania szeregu czynności, co w porównaniu z przyłożeniem palca może się wydawać uciążliwe.
Obawy związane z biometryką i rozpoznawaniem twarzy
Uzyskiwanie dostępu do systemu za pomocą odciska palca niesie ze sobą pewne wyzwania natury praktycznej. Po pierwsze, każde zabezpieczane urządzenie musi w tym celu mieć zainstalowany specjalny czytnik linii papilarnych.
Istnieje jednak inna metoda biometryczna, która zdążyła się przyjąć w ostatnich latach. Mowa o rozpoznawaniu twarzy.
Technologia rozpoznawania twarzy odnotowała duże postępy i jest coraz bardziej precyzyjna, dzięki czemu może identyfikować osoby na podstawie cech twarzy z dużą dokładnością. Znajduje szerokie zastosowanie w bezpieczeństwie, na przykład na lotniskach do identyfikacji podróżnych. Sprawdza się też podczas odblokowywania smartfonów. Metoda wykorzystuje zaawansowane algorytmy uczenia maszynowego, analizując kluczowe punkty twarzy i porównując je z zapisanymi w bazie danych wzorcami, co pozwala na szybkie i skuteczne identyfikowanie tożsamości.
Zasadniczo rozpoznawanie twarzy przeraża niektórych ludzi – podważa ich idee opierania się uberinwigilacji i zachowania pewnej dozy prywatności. Innymi słowy: niektórzy uważają, że ten rodzaj biometryki to już o krok za daleko.
„W przeciwieństwie do wielu innych systemów biometrycznych” – piszą eksperci z ACLU – „rozpoznawanie twarzy może być wykorzystywane w połączeniu z publicznym monitoringiem. Mało tego, taka biometryka nie wymaga wiedzy, zgody ani udziału osoby, której dotyczy. Największym niebezpieczeństwem jest to, że zostanie wbudowana w publiczne systemy nadzoru, które z natury swej są bezosobowe”.
Choć platformy takie jak Facebook od dawna dysponują tą technologią, nie bez powodu korzystają z niej w sposób niesamowicie dyskretny.
Metody biometryczne: co przyniesie przyszłość?
Mało kto czuje się komfortowo z myślą, że komputery nas rozpoznają. Współczesny krajobraz cyfrowy to pole bitwy między pragnieniem zachowania prywatności a chęcią zapewnienia bezpieczeństwa. Niestety, te same metody, które mają nas chronić, mogą posłużyć do bezprawnej inwigilacji. Rozpoznawanie twarzy to zresztą dopiero początek.
Najnowsze metody biometryczne obejmują rozpoznawanie żył dłoni, które wykorzystuje unikalny układ naczyń krwionośnych do identyfikacji osoby. Biometria behawioralna analizuje indywidualne wzorce zachowań, takie jak sposób chodzenia czy pisania na klawiaturze, w celu uwierzytelnienia tożsamości. Dodatkowo, techniki rozpoznawania twarzy z wykorzystaniem kamer 3D i analizy termograficznej pozwalają na bardziej precyzyjną identyfikację, nawet w trudnych warunkach oświetleniowych.
Nie wiadomo jeszcze, czy zaawansowane metody biometryczne zastąpią popularne obecnie uwierzytelnianie wieloskładnikowe. Na razie więc pracowicie wpisujemy kody wysyłane na telefon, bo metoda ta gwarantuje najwyższy poziom zabezpieczeń bez komponentu inwigilacji. W końcu chcąc chronić dostępu do swoich danych, mamy na myśli również dane biologiczne.
Póki co jednak trzeba mieć oczy otwarte i bacznie obserwować, jak we współczesnym społeczeństwie kształtuje się równowaga między bezpieczeństwem a prywatnością.