Informacijska varnost: Le 10 prstov (na rokah) imam
Informacijsko varnost povprečen uporabnik najprej poveže z uporabniškimi imeni in gesli, a je seveda bistveno več kot to. Način izvedbe varnostnih mehanizmov močno vpliva na uporabniško izkušnjo – večinoma jo slabša. Pa bomo v prihodnje sploh še potrebovali gesla?
Nihče ne mara gesel, to je dejstvo. Kako njihovo rabo izboljšati, ali bi jih nemara sploh kar odpravili? Se to sploh da? V prihodnje bi morali snovalci varnostnih mehanizmov te predvsem skriti uporabnikom, da bi jih kar najmanj motili pri delu (ali zabavi), in zmanjšati uporabo gesel. V bistvu bi jih uporabljali le za res kritične zadeve. Tehnološko gledano je to že danes povsem mogoče, saj se pametna programska oprema lahko zanaša na cel kup podatkov in senzorjev.
V grobem avtentikacijo uporabnika ločimo na aktivno in pasivno. Aktivna je vsem dobro znani (pa tudi nadležen, da ne uporabim kakega hujšega pridevnika) vnos gesel, številk PIN itd. Pasivna pa uporablja pametno programsko opremo, ki v podatkih in načinu obnašanja/rabe naprave/aplikacije išče kontekst. Se torej tudi uči o uporabniku in ga zelo natančno (s)pozna. Sistem torej opazuje vse, kar počnemo, denimo način, kako tipkamo, ob katerih urah uporabljamo katero aplikacijo, na kateri lokaciji itd. V navezi z biometričnimi rešitvami, ki gredo dlje od zgolj branja prstnega odtisa, so to rešitve, ki jih napadalci ne morejo prav enostavno posnemati, niti zlorabiti.
Močno geslo, ki si ga zapomnimo, je še vedno precej dober način avtentikacije, ni pa najlažji. Zato nas predvsem ponudniki bančnih storitev v zadnjih letih privajajo na dodatne metode avtentikacije, predvsem enkratna gesla, poslana v obliki sporočila SMS na mobilno napravo, kar zoper krni uporabniško izkušnjo. Piše se leto 2017 – če moram nekaj prebrati in znova vnesti (v isto ali drugo napravo), je to slaba uporabniška izkušnja. Ne razumite me napak. Danes ima praktično vsak med nami pametni telefon. In ta je odličen pripomoček za t. i. dvofaktorsko avtentikacijo, le način njene izvedbe bi lahko bil bistveno drugačen in prijaznejši.
Dvomim, da je biometrija pravi način reševanja avtentikacije uporabnikov - vsaj v trenutni fazi (ne)zrelosti tehnologije.
Alternativa? Biometrija? Zadnja leta je vedno več mobilnih naprav opremljenih z bralniki prstnega odtisa, ki ga lahko uporabimo za prijavo v sistem pa tudi posamezne aplikacije. Vsi so »navalili« na biometrijo. Dvomim, da je to pravi način reševanja avtentikacije uporabnikov, vsaj v trenutni fazi (ne)zrelosti tehnologije. Tudi varnostni strokovnjaki niso navdušeni nad idejo, da bi se biometrični podatki uporabnikov shranjevali v nekem osrednjem strežniku. Veste, imam le 10 prstov, vsaka zloraba pa bi mi enega naredila neuporabnega. Prstov in prstnih odtisov pač ne moremo zamenjati tako enostavno kot gesel.
Menim, da bo prava rešitev sobivanje aktivne in pasivne avtentikacije. Pri čemer se bo aktivna oblika, ki bo od nas zahtevala vnos gesla ali vzorca na zaslonu naprave, vklopila le redko, morebiti enkrat na teden ali mesec, in seveda ob vsaki zaznani anomaliji v obnašanju uporabnika. Rešitve, denimo bančne, bodo upoštevale upravljanje tveganja. Če si bo uporabnik le ogledoval stanje na računu, aktivna avtentikacija ne bo potrebna, za premik večje količine denarja pač.
Varnost in avtentikacija se vedno lomita na robnih primerih, torej takrat, ko uporabnik geslo ali napravo za prijavo izgubi. Kako naj potem dostopa do računa/aplikacije/vsebine, kako obnovi račun itd.? No, takrat prijaznost do uporabnika ni več v ospredju.