Εδώ και σχεδόν μια δεκαετία ακούμε υποσχέσεις για έναν κόσμο χωρίς κωδικούς πρόσβασης. Για μια καθημερινότητα στο διαδίκτυο που δεν θα τρέμουμε μην πέσουμε θύματα απάτης, όπως κάνουμε με ασφάλεια τις διάφορες δουλειές μας. Που -μεταξύ μας- περνούν πια όλες από τα smartphones ή τους υπολογιστές ή τα tablet ή τα smartwatch.
Δεν θέλω να αγχωθείς, αλλά όντως ήλθε η ώρα της αλλαγής. Προετοιμάσου να ξεφορτωθείς το βραχνά των passwords, αν έχεις συσκευές Apple από τον προσεχή Σεπτέμβρη και αν έχεις Android από το 2023.
ΠΩΣ ΛΕΙΤΟΥΡΓΟΥΝ ΟΙ ΚΩΔΙΚΟΙ ΠΡΟΣΒΑΣΗΣ
Μια από τις πιο διαδεδομένες φράσεις που υπάρχουν για τους κωδικούς πρόσβασης είναι ότι “είναι σαν τις οδοντόβουρτσες: διαλέγεις έναν καλό, δεν τον μοιράζεσαι με κανέναν και τον αλλάζεις τακτικά”.
Θες να ‘μπεις’ σε μια εφαρμογή ή σε ένα λογαριασμό, μέσω διαδικτύου. Γράφεις το όνομα χρήστη και από κάτω τον κωδικό πρόσβασης. Αυτός περνάει από κρυπτογραφική συνάρτηση κατακερματισμού (κρυπτογραφική λειτουργία Hash), είδος αλγόριθμου που εκτελείται σε δεδομένα όπως το password ή ένα μεμονωμένο αρχείο, για την παραγωγή τιμής που λέγεται checksum.
Η κύρια λειτουργία είναι η επαλήθευση της αυθεντικότητας ενός δεδομένου. Μετά αποθηκεύεται σε βάση δεδομένων -όπου μπορεί να αποκτήσει πρόσβαση ένας hacker. Όταν λοιπόν, ο χρήστης συνδεθεί και γράψει το password, αρχίζει να ‘τρέχει’ η κρυπτογραφική συνάρτηση κατακερματισμού. Ο server τσεκάρει τον κωδικό πρόσβασης μέσω σύγκρισης με αυτόν που είναι αποθηκευμένος στη βάση δεδομένων. Εάν δεν είναι ίδιοι, δεν έχουμε πρόσβαση.
ΤΙ ΕΙΝΑΙ Η FΙDO ALLIANCE
Το ακρωνύμιο F.I.D.O. συνθέτουν οι λέξεις Fast Identity Online και συνοδεύεται από τη λέξη Alliance. Δηλαδή, συμμαχία. Η ‘ανοιχτή’ βιομηχανική ένωση παρουσιάστηκε το Φεβρουάριο του 2013, για να ενημερώσει πως θα μείωνε την υπερβολική εξάρτηση που έχουμε από τα passwords. Για την ακρίβεια, είχε υποσχεθεί πως ο έλεγχος ταυτότητας θα γίνεται με τρόπο που δεν θα ‘σπάει’ το κεφάλι μας και θα είναι ασφαλής.
Θα θυμάσαι πως κωδικοί πρόσβασης χρειάζονται παντού.
- Για λόγους ασφαλείας, δεν μπορούν ποτέ να είναι παντού οι ίδιοι. Για τους ίδιους λόγους, είναι χρήσιμο να τους ανανεώνουμε κάθε τρίμηνο. Κάποιοι το απαιτούν. Όπως απαιτούν να μη χρησιμοποιούμε παλαιότερους κωδικούς.
- Έχει εκτιμηθεί πως ο μέσος χρήστης του διαδικτύου έχει να διαχειριστεί έως 90 διαφορετικά passwords. Και το γεγονός ότι δεν μπορούμε να τους θυμηθούμε όλους ενίοτε μας κοστίζει -σε παραβιάσεις και χρήματα.
- Πάντα για την ασφάλεια μας, τα ψηφία πρέπει να είναι τουλάχιστον οκτώ (όσο μεγαλύτερα είναι τα password, τόσο καλύτερα) και να έχουν τουλάχιστον ένα κεφαλαίο γράμμα, ένα σύμβολο και έναν αριθμό και πεζά γράμματα.
- Επίσης, δεν πρέπει να χρησιμοποιούμε κάτι που να σχετίζεται με προσωπικά στοιχεία ή να είναι όσο εύκολο είναι το 123456, το οποίο κάποια στιγμή χρησιμοποιείτο από περισσότερους από 23.000.000 ανθρώπους.
- Για να διευκολυνθούμε, όλοι αποθηκεύουμε τα passwords κάπου (γιατί όλοι έχουμε ένα μυαλό, χειμώνα, καλοκαίρι). Είναι φρόνιμο να τα γράφουμε σε ένα χαρτί -και όχι στο κινητό μας- και να μη τα ‘μοιράζουμε’ σε φίλους.
- Το δεδομένο είναι πως κάθε hacker που σέβεται τον εαυτό του, μπορεί να ‘σπάσει’ όλους τους κωδικούς πρόσβασης -έχει στη διάθεση του και σχετικά προγράμματα. Αρκεί να έχει όρεξη να ασχοληθεί. Και λίγο χρόνο. Στην ουσία, το μόνο που μπορούμε να κάνουμε εμείς, είναι τη ζωή λίγο πιο δύσκολη -ώστε να πάει στον επόμενο.
Ας επιστρέψουμε τώρα, στη FIDO Alliance που υποσχέθηκε πως θα δημιουργήσει και θα προωθήσει πρότυπα ελέγχου ταυτότητας που δεν θα έχουν ανάγκη τα passwords. Ή τα usernames. Και την ίδια ώρα θα είμαστε ασφαλείς.
Σχεδόν δέκα χρόνια μετά, δεν έχει δώσει αυτό που ‘χει τάξει. Λέει ωστόσο, πως βρήκε αυτό που έλειπε για να ολοκληρώσει τη ‘γέφυρα’ που θα μας συνδέσει με έναν κόσμο απαλλαγμένο από κωδικούς πρόσβασης.
ΤΟ ΠΡΟΤΥΠΟ ΠΟΥ ΔΗΜΙΟΥΡΓΗΣΕ Η ΣΥΜΜΑΧΙΑ
Το πρότυπο που δημιούργησε η Συμμαχία, επιτρέπει στην τεχνολογία ασφαλείας να δημιουργηθεί απευθείας σε κάθε συσκευή. Έτσι, μπορούμε να συνδεθούμε όπου θέλουμε, χωρίς κωδικό πρόσβασης. “Όπως το WiFi και το Bluetooth, το FIDO υποστηρίζεται από όλες τις συσκευές που χρησιμοποιούμε καθημερινά”. Η σύνδεση γίνεται με δαχτυλικό αποτύπωμα ή ‘αναγνώριση’ προσώπου ή τη σύνδεση ειδικού ‘κλειδιού’ ασφαλείας. Όλοι αυτοί οι τρόποι διασφαλίζουν πως οι ευαίσθητες πληροφορίες μας υπάρχουν και μένουν μόνο στη συσκευή μας.
Οι δημιουργοί υποστηρίζουν πως το σύστημα αυτό αποτρέπει και τις πιο σοφιστικέ επιθέσεις phishing.
Δεν επιτρέπει τις κλοπές passwords, γιατί πια δεν εξαρτόμαστε από αυτούς. Η οργάνωση που έφτιαξε το FIDO δημοσίευσε τον Μάρτιο τη βίβλο, στην οποία παρουσιάζει το όραμα για την επίλυση των ζητημάτων χρηστικότητας που έχουν υποστεί λειτουργίες χωρίς κωδικό πρόσβασης και εκείνη εμπόδισε.
ΤΟ ΠΡΟΒΛΗΜΑ ΜΕ ΤΙΣ ΑΝΘΡΩΠΙΝΕΣ ΣΥΝΗΘΕΙΕΣ
Ο εκτελεστικός διευθυντής της FIDO Alliance, Andrew Shikiar δήλωσε πως “το κλειδί για την επιτυχία του FIDO είναι να είναι άμεσα διαθέσιμο—πρέπει να είμαστε πανταχού παρόντες, όπως οι κωδικοί πρόσβασης, οι οποίοι είναι μέρος του DNA του ίδιου του Internet. Η μη χρήση κωδικού πρόσβασης θα πρέπει να είναι ευκολότερη από τη χρήση κωδικού πρόσβασης”.
Έως τώρα, η εκπαίδευση των ανθρώπων σε αυτό που δεν ξέρουν (τη ζωή χωρίς passwords) έχει αποδειχθεί δύσκολη. Η FIDO Alliance μελέτησε το φαινόμενο και κατέληξε στο ότι η ρίζα του προβλήματος βρίσκεται στην αλλαγή ή την προσθήκη μιας συσκευής. Εάν η διαδικασία του settαρισματος ενός νέου τηλεφώνου είναι σύνθετη -δεν υπάρχει απλός τρόπος να συνδεθούμε με όλες τις εφαρμογές και όλους τους λογαριασμούς- οι περισσότεροι χρήστες έχουν την τάση να αποφασίζουν πως δεν αξίζει τον κόπο να αλλάξουν συνήθειες.
Το πρότυπο FIDO χωρίς κωδικό πρόσβασης βασίζεται στους βιομετρικούς σαρωτές μιας συσκευής (ή σε ένα κύριο PIN που επιλέγουμε), για τον έλεγχο της ταυτότητας -χωρίς κανένα από τα δεδομένα μας να ταξιδεύουν μέσω του Internet σε διακομιστή Ιστού (web server) για επικύρωση.
Η κύρια ιδέα που η FIDO πιστεύει ότι θα λύσει το πρόβλημα -με τη νέα συσκευή- είναι τα λειτουργικά συστήματα να εφαρμόζουν έναν διαχειριστή ‘διαπιστευτηρίων FIDO’. Αντί να αποθηκεύει κυριολεκτικά κωδικούς πρόσβασης, αυτός ο μηχανισμός θα αποθηκεύει κρυπτογραφικά κλειδιά που μπορούν να συγχρονιστούν μεταξύ των συσκευών -και προστατεύονται από το βιομετρικό κλείδωμα ή το κλείδωμα με κωδικό πρόσβασης της συσκευής σας.
Η APPLE ΜΠΗΚΕ ‘ΣΦΗΝΑ’ ΚΑΙ ΠΡΟΛΑΒΕ ΤΗ GOOGLE
Αν έχει τύχει να αγοράσετε ένα νέο iPhone την τελευταία διετία, έχετε πλήρη εικόνα του πόσο εύκολα περνούν τα δεδομένα από το παλαιότερο μοντέλο στο νεότερο. Απλά ‘βάζεις’ δίπλα δίπλα τις συσκευές και τελειώνεις. Όπως και ‘μπαίνεις’ σε κάθε εφαρμογή ή λογαριασμό με Face ID ή το Touch ID, αφού πρώτα συνδεθείς με την Apple ID. Κάπως έτσι, δεν ιδρώνεις ιδιαίτερα για να θυμηθείς κωδικούς πρόσβασης. Και η ζωή φαίνεται πιο ωραία.
Ενόσω λοιπόν, η FIDO Alliance προσπαθούσε να φτιάξει την υπηρεσία της, η Apple έκανε ακριβώς το ίδιο (βασιζόμενη στη δουλειά της συμμαχίας την οποία στηρίζει -όπως και η Microsoft) και το καλοκαίρι του 2021 ανακοίνωσε πως δημιουργεί το δικό της σχετικό προϊόν. Το ονόμασε Passkeys in iCloud Keychain και δεσμεύτηκε έναν κόσμο χωρίς passwords.
ΠΩΣ ΛΕΙΤΟΥΡΓOΥΝ ΤΑ PASSKEYS
Τα Passkeys, που είχαν αποκαλυφθεί στο περυσινό WWDC από την Apple -και μετά άρχισαν οι δοκιμές- αντικαθιστούν το βραχνά των passwords με τον εξής τρόπο: “Όταν δημιουργείτε έναν διαδικτυακό λογαριασμό σε έναν ιστότοπο, μπορείτε να χρησιμοποιήσετε ένα Passkey αντί για έναν κωδικό πρόσβασης. Απλώς χρησιμοποιήστε το Touch ID ή το Face ID για τον έλεγχο ταυτότητας και τελειώσατε“, εξήγησε ο αντιπρόεδρος τεχνολογιών διαδικτύου της Apple, Darin Adler.
Αντί να αποδεικνύουμε ποιοι είμαστε πριν μπούμε σε έναν λογαριασμό ή μια εφαρμογή, με μια φράση, θα το κάνουμε με βιομετρικά στοιχεία. Άπαξ και τα δώσουμε, θα εμφανίζεται σε άλλη συσκευή της Apple που έχουμε συγχρονίσει μήνυμα επαλήθευσης -πως είμαστε εμείς. Η βάση των Passkeys της Apple είναι το WebAuthn, που όπως διάβασες ήδη δεν μπορεί να διαβάσει ούτε ο τεχνολογικός κολοσσός.
Τα Passkeys θα αποθηκεύονται στις συσκευές και όχι στους servers.
Στο τέλος της ημέρας, η επιτυχία αυτού που θα ζήσουμε θα κριθεί εκ του αποτελέσματος. Δηλαδή, από τον τρόπο που θα λειτουργήσει στην πράξη. Η FIDO Alliance (και όσοι την στηρίζουν) θα πρέπει να κάνει πράξη, όσα γράφει στη ‘βίβλο’, για να δώσει στους απανταχού χρήστες του διαδικτύου έναν κόσμο χωρίς κωδικούς πρόσβασης. Κράτα πως άνθρωποι που μετέχουν στη FIDO Alliance έχουν ακουστεί να υποστηρίζουν ότι “η συνένωση των passwords με όσα προτείνουμε, φαίνεται πως θα είναι η πιο ανθεκτική λύση”. Όπως και ότι οι προγραμματιστές όλων των εφαρμογών και των websites θα πρέπει να ‘περάσουν’ τις αλλαγές συνεργασίας με τα Passkeys.
Όπως τόνισε ο επικεφαλής των προσπαθειών διαχείρισης ταυτότητας της Microsoft, Alex Simons τον περασμένο Μάιο “οποιαδήποτε βιώσιμη λύση πρέπει να είναι ασφαλέστερη, ευκολότερη και ταχύτερη από τους κωδικούς πρόσβασης και τις παλαιού τύπου μεθόδους ελέγχου ταυτότητας πολλαπλών παραγόντων που χρησιμοποιούνται σήμερα”. Διαφορετικά, οι χρήστες θα συνεχίσουν να χρησιμοποιούν κωδικούς πρόσβασης -γιατί αυτούς ξέρουν, ακόμα και αν δεν τους εμπιστεύονται απόλυτα.