Εν μέσω όλο και συχνότερων παραβιάσεων δεδομένων σε εταιρείες, έχει προκύψει η συζήτηση σχετικά με το αν οι κωδικοί πρόσβασης πρέπει να εξελιχθούν ή να εξαφανιστούν εντελώς, ώστε να επιτευχθεί μεγαλύτερη ασφάλεια σε οργανισμούς και επιχειρήσεις.
Οι εργαζόμενοι σε επιχειρήσεις είναι συχνά υποχρεωμένοι να θυμούνται πολλαπλούς κωδικούς πρόσβασης, τόσο για τις εφαρμογές που χρειάζονται στη δουλειά τους (π.χ. εταιρικών e-mail και εφαρμογών της επιχείρησης), όσο και για υπηρεσίες στην προσωπική τους ζωή που έχουν πρόσβαση από την εργασία (π.χ. ηλεκτρονικές τραπεζικές συναλλαγές και προσωπικά e-mail).
Καθώς οι εταιρείες και οι χρήστες επικεντρώνονται όλο και περισσότερο στην ασφάλεια του Διαδικτύου – με τις συνεχείς ειδήσεις για παραβιάσεις δεδομένων στα πρωτοσέλιδα των εφημερίδων – υπάρχει μια συζήτηση σχετικά με το πώς μπορεί να ενισχυθούν οι κωδικοί πρόσβασης, ή αν πρέπει να καταργηθούν εντελώς.
Η ασφάλεια των κωδικών πρόσβασης είναι συνήθως βασικό στοιχείο και μερικές φορές η πρώτη γραμμή άμυνας για τις επιχειρήσεις. Οι κυβερνητικοί και άλλοι οργανισμοί προωθούν πρωτοβουλίες ώστε να πείσουν τους χρήστες να χρησιμοποιούν ισχυρότερες μεθόδους ελέγχου ταυτότητας, όπως ένα δακτυλικό αποτύπωμα ή έναν κωδικό ασφαλείας μιας χρήσης για τους online λογαριασμούς. H εν λόγω τεχνολογία ελέγχου ταυτότητας, μαζί με τον έλεγχο δύο παραγόντων, θα μπορούσε να είχε αποτρέψει τις περισσότερες από τις πρόσφατες επιτυχημένες παραβιάσεις δεδομένων.
Η ανάγκη για ισχυρότερους κωδικούς πρόσβασης
Για τους χρήστες των οποίων οι λογαριασμοί έχουν εκτεθεί ή κλαπεί, η αλλαγή των κωδικών πρόσβασης είναι πρωταρχικής σημασίας. Τον περασμένο μήνα, η Yahoo ανέφερε μια παραβίαση δεδομένων από το 2014, που επηρέασε τουλάχιστον 500 εκατομμύρια λογαριασμούς χρηστών. Εκτέθηκαν τα ονόματα χρηστών, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου, οι αριθμοί τηλεφώνου, οι ημερομηνίες γεννήσεως και άλλες πληροφορίες.
Ωστόσο, σύμφωνα με έκθεση της εφημερίδας New York Times, η διευθύνων σύμβουλος της Yahoo Marissa Mayer απέρριψε το πιο βασικό μέτρο ασφαλείας απ’ όλα: Την αυτόματη επαναφορά όλων των κωδικών πρόσβασης των χρηστών, κάτι που οι ειδικοί σε θέματα ασφάλειας θεωρούν απαραίτητο μετά από μια παραβίαση. Οι Times αναφέρουν ότι οι κλεμμένοι κωδικοί πρόσβασης ήταν κρυπτογραφημένοι και ότι η Yahoo κατέληξε πως ο κίνδυνος κατάχρησης ήταν χαμηλός, οπότε απλά ενημέρωσε για την παραβίαση τους χρήστες και τους ενθάρρυνε να αλλάξουν με δική τους πρωτοβουλία τον προσωπικό τους κωδικό πρόσβασης.
Όμως, οι περισσότεροι άνθρωποι δεν αλλάζουν τους κωδικούς τους για λόγους ασφαλείας. Η εταιρεία ερευνών αγοράς Lab42, σε συνεργασία με την LastPass, πραγματοποίησε μια έρευνα ανάμεσα σε 2.000 ενήλικες από τις ΗΠΑ, τη Γερμανία, τη Γαλλία, τη Νέα Ζηλανδία, την Αυστραλία και το Ηνωμένο Βασίλειο, σχετικά με τις συνήθειες τους με τους κωδικούς πρόσβασης. Το 91% των ερωτηθέντων γνωρίζουν ότι είναι επικίνδυνη η επαναχρησιμοποίηση των κωδικών πρόσβασης, αλλά το 61% το κάνει έτσι κι αλλιώς. Οι περισσότεροι χρήστες αλλάζουν τους κωδικούς πρόσβασης επειδή τους έχουν ξεχάσει, αλλά μόνο το 29% το κάνουν για λόγους ασφαλείας.
Αντικατάσταση των κωδικών πρόσβασης με άλλες μεθόδους ελέγχου ταυτότητας
Πώς μπορεί να ενισχυθεί η μέθοδος των κωδικών πρόσβασης και του ελέγχου ταυτότητας; Μερικοί εμπειρογνώμονες ασφαλείας στον κυβερνοχώρο υποστηρίζουν ότι οι ερωτήσεις ασφαλείας που χρησιμοποιούνται συχνά για να βοηθήσουν τους χρήστες να επαναφέρουν τους κωδικούς πρόσβασης πρέπει να καταργηθούν.
Πράγματι, είναι πολύ επικίνδυνο μετά από μια σημαντική παραβίαση να βάλει κανείς τους χρήστες να απαντήσουν σε ερωτήσεις ασφαλείας για να αλλάξουν τον κωδικό τους και να αποκτήσουν ξανά πρόσβαση στο λογαριασμό τους. Έχει αποδειχτεί ότι οι ερωτήσεις ασφαλείας είναι βαθιά ανεπαρκής μηχανισμός έκτακτης ανάγκης για τους κωδικούς πρόσβασης.
Αυτή η πρακτική θα πρέπει να σταματήσει. Αν οι κωδικοί πρόσβασης είναι ευάλωτοι, γιατί θα πρέπει να βάζουμε τους χρήστες να αποκαλύψουν ακόμα περισσότερες προσωπικές πληροφορίες που μπορούν να κάνουν ακόμα ευκολότερη την απάντηση σε ερωτήσεις ασφαλείας, οδηγώντας έτσι σε περαιτέρω παραβιάσεις. Οι επιτιθέμενοι μπορούν εύκολα να ανακαλύψουν εύκολα στο διαδίκτυο και τα social media τις απαντήσεις που δίνουν οι περισσότεροι χρήστες σε ερωτήσεις ασφαλείας τύπου: όνομα πατρός, σκύλου, τοποθεσία γέννησης, κ.α.
Ορισμένες εταιρείες προσπαθούν να απομακρυνθούν εντελώς από τους κωδικούς πρόσβασης, χρησιμοποιώντας διαφορετικές και ισχυρότερες μορφές ελέγχου της ταυτότητας. Η Google για παράδειγμα, έχει αναπτύξει αυτό που αποκαλεί Trust API, αποσκοπώντας στην αντικατάσταση των κωδικών πρόσβασης από το συνδυασμό πολλαπλών ασθενέστερων δεικτών, που οδηγούν τελικά σε ένα «στερεό» πλαίσιο αποδεικτικών στοιχείων του «πως είστε αυτός που λέτε ότι είστε».
Μεταξύ των αποδεικτικών στοιχείων που η Google εξετάζει για το Trust API, θα μπορούσε να χρησιμοποιήσει κάποιους προφανείς βιομετρικούς δείκτες, όπως είναι το σχήμα του προσώπου σας και το μοτίβο της φωνής σας, καθώς και ορισμένους λιγότερο προφανείς: πώς κινείστε, πώς πληκτρολογείτε και πώς αγγίζετε την οθόνη. Με την υπηρεσία να τρέχει συνεχώς στο παρασκήνιο του τηλεφώνου, μπορεί να παρακολουθεί αν οι εν λόγω δείκτες ταιριάζουν με τον τρόπο που γνωρίζει ότι χρησιμοποιήσετε το τηλέφωνο σας.
Στο μεταξύ, η Microsoft θέλει να τελειώσει με τους κωδικούς πρόσβασης μέσω της τεχνολογίας Windows Hello, η οποία έχει σχεδιαστεί για να επιτρέπει στους χρήστες να ξεκλειδώνουν τις Windows 10 συσκευές μέσω βιομετρικών μεθόδων, όπως τα δακτυλικά αποτυπώματα ή σάρωση της ίριδας και η αναγνώριση του προσώπου.
Σε λίγα χρόνια, οι παραδοσιακοί κωδικοί πρόσβασης θα είναι ξεπερασμένη λύση ελέγχου ταυτότητας, καθώς απαιτούνται σύγχρονες υποδομές αναγνώρισης που υποστηρίζουν νεότερες και πιο ασφαλείς μεθόδους ελέγχου ταυτότητας, όπως τη χρήση βιομετρικών στοιχείων. Οι επιχειρήσεις που χρησιμοποιούν σήμερα προηγμένες μεθόδους ελέγχου ταυτότητας, βλέπουν ήδη το αυξημένο ενδιαφέρον και εμπλοκή των πελατών, που απολαμβάνουν ασφάλεια και μεγαλύτερη ευκολία σύνδεσης.