Nekada smatrana gotovo gvozdenim oružjem za odbranu od sajber kriminalaca, lozinka je počela da pada iz milosti.
Efikasne lozinke često zahtevaju ljudske napore za koje mnogi korisnici ne mogu ili jednostavno neće odvojiti vreme. Mnoge organizacije su prilagodile nove bezbednosne alate koji otežavaju prodor u račune i osetljive informacije koristeći nove tehnologije uz kombinaciju faktora.
Da li su lozinke zastarele? Vladina tehnologija je anketirala niz stručnjaka za sajber bezbednost kako bi otkrila da li je lozinka nadživela svoju relevantnost.
Mark Veatherford: „Da ste mi postavili ovo pitanje pre 15 godina, rekao bih: ‘Da, lozinke su na izlazu.’ Da ste mi postavili ovo pitanje pre 10 godina, rekao bih: ‘Da, definitivno je na poslednjim nogama.’ Da ste mi ovo pitanje postavili pre pet godina, rekao bih: ‘Svakog dana.’
Mark Veatherford je glavni strateški službenik u Nacionalnom centru za sajber bezbednost.
„Ali sada se osećam kao da ne, lozinke nisu mrtve. Uvek ćemo imati lozinke. Mislim da ćemo imati komplementarne sisteme za autentifikaciju, ali u mnogim slučajevima lozinke će biti tu.“
Omar Sandoval: „Ne mislim da je mrtav, mislim da je tu da ostane. Mislim da je to najjednostavniji način da se krajnjim korisnicima da pristup resursima koji su im potrebni. U tom istom smislu, jer je pojednostavljen, zato to je tolika opasnost. Sve više i više od vas će se tražiti da pravite složenije lozinke koje imaju različite znakove i sve te stvari. Takođe mislim da će im se vreme da ostanu živi skratiti.
„Jedan od razloga zašto je opasno, ali još uvek tu da ostane je taj što stvara jednostavan način da svi pristupe onome što im treba, ali mi pravimo grešku koristeći istu lozinku za sve.
Kelli Moan: „Lozinka je na kraju. Sama je nesigurna jer je često preslaba, prekratka ili nedovoljno rotirana.“
Džon Evans: „Verovatno bi trebalo da bude, ali još uvek nije mrtav. Još uvek imamo mnogo zastarelih sistema, sistema koji verovatno ne mogu da podnesu integracije koje bi bile potrebne da bi se krenulo ka nečemu bez lozinke… Neki od njih hoće… verovatno će proći neko vreme dok ne možemo u potpunosti da nateramo neke od tih tipova sistema da budu bez lozinke. Svaki novi sistem koji se razvija, verovatno bi trebalo da gleda na stvari kao što su pristupni ključevi ili autentifikacija zasnovana na riziku, a ne da koriste lozinke.“
Dan Lohrmann: „Mislim da lozinka umire sporom smrću, ali još nije mrtva. Još uvek postoji previše aplikacija u kojima se koriste lozinke. Ali polako, ali sigurno, za bankovne račune, finansijske institucije i osetljivije podatke , lozinka odlazi.“
Valesija Stoketi: „Da li je nešto zaista nestalo? Još uvek koristim svoj stari iPhone i iPad. Ali mislim da lozinke obezbeđuju snažnu autentifikaciju korisnika, pomažu da se napadači drže podalje od sistema. Još uvek se koriste u mnogo različitih okvire i standarde, tako da mislim da to malo govori o ideji da zajednica sajber bezbednosti nije spremna da se promeni kao celina. Ali čak i najjača lozinka zahteva da druge zaštite budu na mestu da bi bile najefikasnije.“
Veatherford: „U nekim slučajevima gde organizacije nemaju puno resursa da primene neke od složenijih alternativa kao što su biometrija ili hardverski tokeni, lozinke mogu biti u redu za to. Video sam ovo iz prve ruke gde smo pokušali da povećamo bezbednost lozinke na starim zastarelim sistemima i ne bi vam dozvolilo da kreirate lozinku dužu od sedam znakova. Tako da mislim da postoje slučajevi u kojima će lozinke i dalje biti logična opcija. Možda ne najbezbednija, ali logična opcija. “
Sandoval: „Mislim da nije. Čak i sada, stvari kao što je multifaktorska autentikacija (MFA) se zaobilaze jer kada jednom uđete u sistem, ulazite. Mogao bih da generišem uređaj, da ga povežem sa nalog osobe i onda ću dobiti njihovu autentifikaciju. Lozinka nikada neće biti jedina alatka u skupu alata.“
Moan: „Uvek će postojati ivični slučajevi korišćenja koji bi mogli da odgovaraju da lozinke budu najbezbednija opcija, ali to u velikoj meri zavisi od njihove dužine, složenosti i samog slučaja upotrebe.“
Evans: „Nigde ne mogu da se setim da su lozinke najbezbednija opcija, ali mogu da budu neophodna opcija. Mnogi sistemi možda neće moći da obrađuju integracije koje su potrebne za stvari kao što su liste lozinki, pristupni ključevi. ne mogu da se setim nijednog slučaja gde je to neophodna, ali malo verovatna, najbezbednija opcija.“
Lohrmann: „Ne mogu da se setim nijednog slučaja gde je to najbezbednija opcija, ali još uvek ima mnogo slučajeva gde je to jedina opcija. Bolje je imati lozinku nego bez lozinke. Ako je višefaktorna, iako ukradu lozinku ne mogu da uđu jer nemaju taj drugi faktor“.
Stoketi: „Mislim da možda nije nužno najbezbedniji, ali najpraktičniji. Postoje određeni slučajevi koji zahtevaju zavisnosti od ljudi koji imaju novije uređaje i koji možda nisu dostupni za sve. Za novije metode autentifikacije, zahtevamo pristup jednom ili više pametni uređaji. Izazov dolazi za one koji možda ne mogu da priušte pametni uređaj ili nemaju pristup novijim tehnologijama, ili za one koji nemaju dovoljno usluge koji dele uređaje sa prijateljima ili porodicom.“
Veatherford: „Da, nastavićemo da koristimo tradicionalne lozinke sa drugim kompenzacionim kontrolama kao deo te lozinke. MFA je sada postao prilično mejnstrim i to je savršeno logična i legitimna dodatna kontrola za lozinke.“
Moan: „Mnogo manji procenat korisničkih naloga će koristiti tradicionalne lozinke. Oni će verovatno biti zamenjeni prijavljivanjem bez lozinke i pristupnim ključevima koji pružaju lakše korisničko iskustvo.“
Sandoval: „Lozinka će i dalje biti ulazna tačka, to je nešto na šta su ljudi navikli. Lozinka su vrata sa ekranom, možete da otvorite vrata sa ekranom, ona mogu ili ne moraju biti zaključana, ali onda ćete dobiti do vrata i biće vam potreban pravi ključ. Da li je to ekvivalent MFA? Da li je to nulto poverenje u autentifikovane i proverene uređaje?“
Evans: „To zavisi od osobe verovatno u mnogim slučajevima. Za mnoge, većinu ljudi, možda će videti potpunu zamenu lozinki u narednih pet godina. Ali u vladinom prostoru, lozinke će se dugo zadržati duže… Za većinu pojedinaca, ljudi koji uglavnom rade stvari poput bezbednih onlajn transakcija, kao što su e-trgovina ili zdravstvena zaštita, bio bih iznenađen da vidim da neko od njih još uvek koristi lozinke za pet godina.“
Lohrmann: „Da, mislim da će sve više biti opcija da se ne koriste lozinke i ljudi koji odluče da ne posluju sa nesigurnim nalozima. Neki ljudi hoće, mnogi neće. Hoćemo li i dalje imati lozinke za naše Vi-Fi naloge u našim domovima, na primer?“
Stoketi: „Mislim da to zavisi od stope usvajanja tih alternativnih metoda autentifikacije za lozinke. Glavni igrači kao što su Microsoft, Google, Amazon Veb Services, naravno, već usvajaju mnogo ovih tehnologija ili planiraju da pređu na više sigurne metode. Ali manjim kompanijama može biti potrebno više vremena da se prilagode. Ako postoji neka vrsta regulatornog zakona koji je potreban na državnom ili saveznom nivou, onda je to drugačije. Da postoji neka vrsta regulative koja je pala, to bi verovatno bilo najbrže usvajanje od tradicionalnih lozinki. Mnogo je brže kada postoji neka vrsta novčane ili zakonske obaveze da se to uradi, za razliku od toga da je to bezbednije i trebalo bi da to uradimo. Nešto kao vezanje sigurnosnog pojasa. Lozinke su postojale od mnogo, mnogo godina, tako da govorimo o ogromnoj promeni u ponašanju iz perspektive korisnika.“
Veatherford: „MFA je zaista mnogo pomogla, mnogo se promenila. Biometrija je sve bolja i bolja, sve od otisaka prstiju i prepoznavanja lica, skeniranja šarenice, prepoznavanja glasa, čak i stvari poput osnovnih obrazaca ponašanja kao što je brzina kucanja. Mislim da biometrija zaista može da se desi. biti dobar, ali problem je što su veoma složeni. Postoje hardverski tokeni i pametne kartice. Mislim da ćemo videti neku autentifikaciju zasnovanu na blokčejnu, blokčejn ima mnogo obećanja. Postoje neke prilično dobre alternative. tamo, gde ima smisla to učiniti.
„Za sveukupnu upotrebu, MFA se izdvaja jer je sada zreo. Postaje sve bolji i bolji. Ponekad je pomalo dosadno, morate da dobijete tekstualnu poruku sa šestocifrenim kodom i imate 120 sekundi da unesete ovaj kod da biste potvrdili autentičnost To je prilično dobro, prilično je efikasno.“
Moan: „Kontrole, hardverski tokeni i softverski tokeni.“
Sandoval: „Sa veštačkom inteligencijom, možete imati sistem mašinskog učenja koji pokazuje „Hej, ovaj nalog je imao toliko neuspešnih pokušaja“, a onda će vas automatski blokirati. Ne znam da postoji kraj svega- Zbog toga što će loši momci uvek biti na čelu, verovatno su smislili način da koriste veštačku inteligenciju da bi uhvatili sve naše lozinke, a da mi to ne znamo.
„Majkrosoft se sprema da pusti AI bezbednosne agente u svoj ekosistem. Mislim da će sve više kompanija to učiniti da bi mogle da rade stvari malo više u realnom vremenu. Brzina hvatanja toga će se povećati, što može smanjiti stopu kompromisa sa lozinkama.“
Evans: „Lozinke, fizički uređaji ili kriptografski ključevi koji su instalirani i ugrađeni u vaš uređaj, a zatim zahtevaju biometriju da bi se prijavili na taj uređaj. Provera autentičnosti zasnovana na riziku, dodaću to na listu nekih obećavajućih alternativa. Podešavanje u ime organizacije koja upravlja računima da bi razumela kako izgledaju rizičnije ili osetljivije transakcije. Povezuje se sa modelom nultog poverenja.
„Ako želite da se povežete na internet, pogledajte svoj račun za vodu, možda vam nije potreban isti nivo kontrole kako biste bili sigurni da ste ono za šta kažete da jeste kao kada pokušavate da pristupite svom bankovnom računu i izvršite transfer od 50.000 dolara . To je autentifikacija zasnovana na riziku, u zavisnosti od kritičnosti sistema kojima se pokušava pristupiti, ili tipa transakcije koja pokušava da se izvrši. Ako je to osetljivija ili kritičnija transakcija, verovatno bih želeo da imam veće nivoe uverenja da je ta osoba ona za koju kažu da jeste.“
Lohrmann: „MFA, ili jednokratne lozinke. Jednokratna lozinka može da ima osam cifara, može biti mešavina malih slova i to ćete iseći i nalepiti, a mnogo puta je takođe tempirana. Biometrija, poput otiska prsta skeniranje, prepoznavanje lica, skeniranje mrežnjače i takve stvari. Zajedničke tajne su takođe i dalje veoma popularne. Ljudi takođe koriste sve vrste novih alternativa CAPTCHA.“
Stoketi: „Jednokratne lozinke zato što smanjuju vašu potrebu za IT podrškom, teže ih je pogoditi. Organizacijama je lako da se prilagode. Biometrija, koja je skeniranje zasnovano na otisku prsta, skeniranje mrežnjače, adaptivna ili bihevioralna autentifikacija. , oni su slični jednokratnoj lozinki gde se upit šalje na uređaj u vlasništvu korisnika, što im omogućava da se prijave pomoću PIN-a ili otiska prsta ili skeniranja lica. Prednosti ovoga su što očigledno smanjuju ljudsku grešku kao što su slabe lozinke ili ponovo korišćene lozinke. Postoji i provera autentičnosti ponašanja, koja koristi mašinsko učenje za razvoj tih tipičnih obrazaca ponašanja, učenje tokom vremena da zna kada se obično prijavljujete, odakle se prijavljujete, a zatim može da blokira pristup dok identitet ne bude verifikovan. Korisnici takođe mogu da konvertuju svoj USB stick u lozinku kako bi ograničili pristup samo onima koji imaju USB.“
Veatherford: „Verovatno najveća briga koju imam u vezi sa novim alternativama lozinki je oko privatnosti. Svakako sa biometrijom imamo velike brige o privatnosti, kada nekome date svoje otiske prstiju, šarenicu, skeniranje lica, ti podaci se negde digitalizuju. Ti podaci moraju biti zaštićeni . Troškovi takođe, troškovi ovog rada. Hardverski tokeni mogu biti izgubljeni MFA Zaista nemam nikakvih zabrinutosti, osim što neki ljudi misle da je prevelika bol da se radi MFA. … Generativna AI može da generiše toliko zaista osetljivih informacija, samo postavljanjem prave vrste pitanja, tako da će takođe biti problema sa autentifikacijom povezanih sa generativnom veštačkom inteligencijom.“
Moan: „Uvek postoje bezbednosni aspekti za kontrolu pristupa i pristup nalogu. To će i dalje važiti za pet godina kada alternative verovatno postanu zastarele, jer tehnologija nastavlja da napreduje brzim tempom.“
Sandoval: „Pristupačnost i inkluzivnost su mene zabrinuti. Neki će možda tvrditi da je MFA put kojim treba ići, ili da je nulto poverenje put kojim treba ići. To zahteva da neko bude povezan sa sistemom. Pretpostavlja se da ljudi imaju više od jednog uređaja za autentifikaciju ili su voljni da koriste više od jednog uređaja.“
Evans: „Ne postoji bezbednosna kontrola koja je srebrni metak. O svemu se mora razmišljati i primeniti kroz sočivo strategije bezbednosti i dubine. Metodologija nultog poverenja bila bi samo jedan deo okvira. Koristeći autentifikaciju zasnovanu na riziku, vi Moraćete da se uverite da gledate prave atribute i da u skladu sa tim podešavate svoje sisteme. Malver bi mogao da presretne stvari poput jednokratnih lozinki.
„Ne možete samo razmišljati o tome kao, ‘Oh, imam tehnologiju na mestu, spreman sam za ići’. To zahteva pažljivost i rad u ime organizacije kako bi se osiguralo da sve funkcioniše kako treba.
„Ljudi nerado menjaju, ljudi znaju svoje lozinke, veruju svojim lozinkama. Iako su liste lozinki bezbednije, to je i dalje promena sa kojom se svi u početku ne osećaju prijatno. Tako da morate biti u mogućnosti da im objasnite zašto je to bolje.
„Postoji trošak za tehnologiju, u slučaju ovog može biti značajnih troškova za neke, posebno ako morate da uradite stvari kao što je refaktorisanje njihove aplikacije da bi ona podržavala opciju bez lozinke.“
Lohrmann: „To je neka vrsta trke u naoružanju. Sada su lozinke plod niske visine, i one su lake. Postoje različiti načini na koji sajber kriminalci mogu da pobede lozinke, na mračnom vebu postoje baze podataka pune korisničkih imena i lozinki. Što više i više osetljivih naloga kao što su bankovni računi, administrativni nalozi prelaze na multifaktore i postaju sofisticiraniji, sve više i više tehnika će se koristiti da ih se pobedi. Hakeri mogu da obuče generativnu veštačku inteligenciju da radi stvari kao što je kopiranje mog glasa, i dok je prepoznavanje glasa korak od lozinke, ona bi takođe mogla biti potencijalno poražena. Dakle, sa svim ovim alternativama, ne postoji savršeno rešenje za ovaj problem. Bezbednosni problemi neće nestati u narednoj deceniji. Kada eliminišemo lozinke, imaćemo bezbednosne probleme sa alternative.
„Jednokratne lozinke, ako korisnik izgubi sekundarni uređaj, u tom slučaju je teško. Postaje teže resetovati uređaj i dobiti lozinku koja vam je potrebna. Biometrija prati podatke i vodi evidenciju o vašem otisku prsta, skeniranju lica i to su stvari koje se ne mogu promeniti. Možete da resetujete lozinku, ali ne možete da resetujete otisak prsta. Tu su i problemi sa privatnošću višeg nivoa.“
Stocchetti: „Paskeis, nedostatak je što gubite taj sekundarni uređaj, ima iste probleme kao jednokratna lozinka. Ako koristite USB stick, ako izgubite USB, šta se dešava? … Društvo je malo sporije da usvojimo određene tehnologije, mi smo samo glavna stvorenja navike, zar ne? Oni vole ono što vole, ono što im je udobno je ono što žele.“