Google bi se znebil gesel. Kaj je alternativa?
Matej Huš
21. jan 2013 ob 21:00:16
Z gesli je križ. Množijo se huje kakor zajci: geslo za spletno banko, elektronsko pošto, deset različnih forumov, PIN-kode za bančno kartico, prijavo v Windows, pametni telefon in še in še. Čim več pametnih naprav nas obkroža, tem več gesel moramo poznati. Ker so preenostavna gesla idealna priložnost za krajo identitete, nas marsikod silijo v izbiro težkih gesel z različnimi pravili glede dolžine, velikosti črk, vsebovanih številk in drugih znakov. Rezultat? Sila klavrn. Recikliranje gesel je zelo pogosto, saj ima mnogo ljudi isto geslo za več različnih strani (s čimer v principu ni nič narobe, če gre zgolj za nepomembne forume), marsikdo pa si geslo nekam napiše - po možnosti na lepljivi listek ob monitorju. Druga skrajnost so gesla 123456. Mar ne bi bilo odlično, če bi se lahko namesto z geslom identificirali z nečim, kar imamo vedno ob sebi? Google razmišlja prav o tem.
Da bi se izognili različnim prevaram in napadom, smo namreč izumili že zelo zapletene postopke, kot so pošiljanje žetonov na telefon, čitalci pametnih kartic, generatorji enkratnih gesel ipd. Problem vseh teh naprav je njihova nepraktičnost in zamudnost. Po drugi strani pa se na spletu ne bi ravno identificirali s posnetkom šarenice ali prstnim odtisom (ki sta v tem kontekstu tudi precej problematična). Kakšna je torej vmesna pot, ki jo vidi Google?
V reviji IEEE Security & Privacy Magazine bo konec meseca izšel članek namestnika vodje enote za varnost v Googlu Erica Grosseja in inženirja Mayanka Upadhyaya o alternativnih načinih prijave v spletne strani. Incident za incidentom dokazuje (odličen članek Mata Honana), da gesla pač niso dober način za zagotavljanje istovetnosti na internetu, ker je možnosti za zlorabe preveč.
Idej je več. Ena je kriptografska kartica Yubico, ki se vtakne v USB-vrata in uporabnika avtomatično prijavi v Google. Zamisel je seveda razširljiva. Bistvo je, da imamo nek predmet ali napravo, ki ima ugotovljeno identiteto, ki ji verjamemo (podobno kot avtomobilski ključ). Potem lahko s tem ključem odklenemo vse strani oziroma se prijavimo vanje. Seveda ni nujno, da je to USB-ključ. Lahko je mobilni telefon ali pa v principu celo kaj bolj osebnega in napadalcem nepoznanega, denimo prstan. V prazgodovini so na tak način zaklepali programe pred kopiranjem (dongle); nekatere drage še danes varujejo na ta način.
Googlovca priznavata, da je ideja za zdaj še na akademskem nivoju, čeprav imamo delujoč prototip Yubico. Kako bo na koncu izveden, še ni jasno. Prav tako je za zdaj nemogoče reči, v kolikšni meri se bomo poslovili od gesel. Verjetno se bomo znebili neumnih varnostnih vprašanj za obnovitev v stilu Kako je bilo ime vašemu prvemu psu. V popolnosti se geslom bržkone še vedno ne bo mogoče ogniti, bodo pa manj pomembna in predvsem manj številčna. Vsekakor pa bo treba v sodelovanje prepričati večino ostalih strani in vzpostaviti enoten standardiziran protokol. In seveda rešiti problem izgube čudežnega artefakta ali univerzalnega ključa.
Kaj pa do tedaj? Gesla ne odhajajo nikamor. Vse, kar lahko storite za čim večjo zaščito, je uporaba močnih gesel, ki si jih nikamor ne zapisujete (močna gesla so lahko zelo enostavna za uporabnika in praktično nemogoča za napadalce, npr. Čuj3T12V1T0t3m1Mar1b0ru8S12). In tudi ni nujno, da si tako močno geslo zapomnite za vsako stvar. Obstajajo pripomočki, nekakšna univerzalna gesla, torej ena stopnja pred Googlovo idejo. Za vsako pomembno stvar uporabljajte različna geslo, ki jih redno menjate. Za svoj računalnik s protivirusnimi programi in neobiskovanjem sumljivih povezav redno skrbite, s tujih pa se ne prijavljajte, če ni res nujno. Na straneh, ki to omogočajo, si vključiti dvostopenjsko prijavo (geslo in koda na mobilnem telefonu, kadar ste na novem računalniku). Če k temu dodate še ZKP (zdravo kmečko pamet), je to dovolj.