Šio mėnesio pradžioje Jungtinių Amerikos Valstijų saugumo specialistai pranešė, kad Rusijos programišiai yra sukaupę 1,2 milijardo vartotojų vardų ir prisijungimo slaptažodžių duomenų bazę, kurią pavyko sudaryti įsilaužus į 420 tūkst. interneto tinklalapių. Kita nemažiau įdomi šios vasaros naujiena – bene didžiausios ir populiariausios elektroninės parduotuvės pasaulyje „eBay“ pranešimas, adresuotas 145 milijonams vartotojų, su prašymu skubiai pasikeisti prisijungimo slaptažodžius.
Šio mėnesio pradžioje Jungtinių Amerikos Valstijų saugumo specialistai pranešė, kad Rusijos programišiai yra sukaupę 1,2 milijardo vartotojų vardų ir prisijungimo slaptažodžių duomenų bazę, kurią pavyko sudaryti įsilaužus į 420 tūkst. interneto tinklalapių. Kita nemažiau įdomi šios vasaros naujiena – bene didžiausios ir populiariausios elektroninės parduotuvės pasaulyje „eBay“ pranešimas, adresuotas 145 milijonams vartotojų, su prašymu skubiai pasikeisti prisijungimo slaptažodžius.
Dažniausiai bet koks tokio tipo slaptažodžių nutekėjimas programišiams neatveria tiesioginės prieigos prie slaptažodžių (išskyrus phising atakų metu gauti slaptažodžiai), kadangi ši informacija duomenų bazėse yra papildomai šifruojama. Vis dėlto naudojami šifravimo algoritmai dažniausiai būna pakankamai primityvūs, todėl pasisavintus slaptažodžius programišiai tikrai gali išsiaiškinti. Be to, su slaptažodžiais dažniausiai nutekinama ir kita vartotoją identifikuojanti informacija (vardas, elektroninis paštas ir pan.), todėl laikui bėgant surinkta informacija gali būti panaudota ne tik prieš konkretų tinklalapį, tačiau netgi prieš norimą asmenį. Tikriausiai to pakanka suvokti, kodėl įvairūs saugumo specialistai bei inžinieriai įprastinius ir kasdieninėje mūsų veikloje naudojamus slaptažodžius įvardija kaip ne pačią tinkamiausią priemonę identifikuojant asmenį. Didžiausia problema tampa ir tai, kad esame įpratę keletą mums priimtinų kombinacijų naudoti visur – pradedant socialiniais tinklais ir baigiant darbu. Dėl šios priežasties, kartais apie tai net nepagalvodami keliame pavojų ne tik savo, bet ir įmonės, kurioje dirbame informacijos saugumui.
Vieną slaptažodį keičia du slaptažodžiai
Šiuo metu bene veiksmingiausias būdas pastebimai padidinti prisijungimo slaptažodžio saugumą – patvirtinimo dviem veiksmais (angl. two-factor authentication) funkcijos naudojimas. Šią funkciją turi ir leidžia aktyvuoti daugumą gigantų, tokių kaip „Google“, Facebook“, „Dropbox“ ar „Microsoft“.
Nepatogumai šiuo atveju yra tokie, kad vartotojas šalia privalo turėti kitą elektroninį įrenginį, kuriame gali susigeneruoti ar gauti automatiškai sugeneruotą papildomą slaptažodį. Būtent panašus prisijungimo būdas yra naudojamas elektroninėse bankininkystės sistemose. Vis dėlto, kaip jau minėta, tokias sistemas turi tik didieji portalai. Tuo tarpu, mažesnieji apie tokių funkcijų diegimą kol kas aktyviai negalvoja dėl reikalaujamų papildomų investicijų.
Debesų kompiuterija – slaptažodžių alternatyvos „minčių generatorius“
Šiuo metu rinkoje vis didesnio populiarumo susilaukia ir debesų kompiuterijos principais veikiančios slaptažodžių saugyklos tokios, kaip „LastPass“ ar „1Password“. Čia skirtumas tas, kad slaptažodžiai yra saugomi nutolusiuose serveriuose naudojant kur kas pažangesnius ir dar programišių nenulaužiamus šifravimo algoritmus. Nepaisant to, vartotojui vienu didžiausiu nepatogumu tampa tai, kad visi jo slaptažodžiai vis tiek yra apsaugomi vienu pagrindiniu slaptažodžiu, kuris turi būti ilgas ir sudėtingas. Taigi nors ir atsiranda galimybė iš bet kurio įrenginio gauti lengvą prieigą prie visų savo naudojamų sistemų net nežinant konkretaus prisijungimo prie jų, poreikis atsiminti vieną ilgą slaptažodį atrodo ne kiekvienam patrauklus.
Bet kokiu atveju nėra to blogo, kas neišeitų į gerą, kadangi panašu jog debesų kompiuterijos principais paremtas slaptažodžių saugojimas paskatino tolimesnį progresą. Pavyzdžiui, „LastPass“ jau tekia alternatyvas, kurios leidžia vietoje pagrindinio slaptažodžio įvedimo naudoti specialius USB raktus. Analogiškus sprendimus bando ir „Google“ korporacija. Pasak „Google“, USB raktais paremtas autentifikavimasis – ateitis, kuri turi pakeisti dabartiniu standartu tapusį patvirtinimą dviem veiksmais.
Jau yra nuomonių, kad slaptažodžių pakaitalu ateityje gali tapti biometriniais principais veikiantis autentifikavimas. Tai atrodo gana realus sprendimas, atsižvelgiant į tai, kad net pirštų antspaudų skaitytuvai integruojami jau ne tik kompiuteriuose, bet ir išmaniuosiuose telefonuose. Be to, nepamirškime, kad sparčiai plinta ir įvairios žmogaus sveikatą bei elgseną stebinčios apyrankės. Būtent jos ateityje gali būti priemonė asmeniui gauti prieigą prie įvairių sistemų ir tinklalapių, pavyzdžiui, pagal realiu laiku sugeneruotos elektrokardiogramos parodymus.
Viskas nevyksta taip greitai, kaip norėtųsi
Reikia sutikti, kad kai kurios idėjos gali atrodyti kaip mokslinė fantastika, tačiau dauguma jų – jau dabar įgyvendinti arba realiai galintys egzistuoti sprendimai. Vis dėlto tokie sprendimai turi praeiti natūralią žmonių atranką, kadangi kiekvienam iš mūsų svarbu ne tik saugumas, bet ir naudojimo paprastumas. Nepaisant visko, ekspertai yra šimtu procentų įsitikinę, kad alternatyva slaptažodžiams jau būtina, todėl anksčiau ar vėliau masiškai priimtinas sprendimas vis tiek bus surastas. Bene geriausias palyginimas čia gali būti debesų kompiuterija. Žmonių poreikis saugoti ir kaupti duomenis egzistavo visuomet, tačiau prieigos būdai prie jų keitėsi nuolatos. Jeigu iš pradžių užteko lokalios informacijos prieigos, vėliau viskas išsikėlė į USB atmintines ir FTP serverius. Visgi augantis poreikis informaciją pasiekti bet kada, iš bet kur ir kuo paprasčiau skatino tobulėti toliau ir to pasekoje šiandien mes turime debesų kompiuteriją.
