Registracija
Prijavi se

Google objavljuje rat lozinkama

Koncept lozinki je sveprisutan u svetskom IT-ju još od...pa, rekli bismo oduvek. Iako se donekle modifikovao u proteklom periodu, i dalje se mnoštvo toga u našim IT svakodnevicama, samim tim i našim životima, bazira na principima korisničkih imena i lozinki. Malo ko je pokušao da inovira ovaj koncept i izađe iz okvira koji su uspostavljani više decenija unazad, a oni koji po svojim računarima čuvaju glomazne tekstualne fajlove

  • Benchmark Redakcija Benchmark Redakcija
  • 0

Bratislav Jovanović
Gotovo da ne prođe dan, a da nalog neke osobe od značaja iz javnog ili IT života, ne bude hakovan. Da ne govorimo o “običnim smrtnicima”. Slaba lozinka, ukradena lozinka, nepostojeća lozinka – kakav god da je razlog, ulazak u korisnikov digitalni život je lak i postaje sve lakši. Protekla godina je bila crna za lozinke, jer je gotovo svako na Internetu dobijao spam elektronsku poštu ili scam zahteve za novcem (popularni “Mugged in London” scam). Zbog toga, sam Google ističe da lozinke više nisu najbolja solucija za osetljive naloge. Lozinke jesu jeftin i lak način autentifikacije web korisnika, ali su nedovoljno sigurne za današnji Internet. Jedno od rešenja mogla bi biti hardverska autentifikacija, koju predlaže Google.
Tradicionalna, korisnička autorizacija zahteva od korisnika unos lozinke u uređaj, koja se potom sprovodi do servera. Današnje korišćenje lozinki je mnogo lakše, jer klijentski uređaj može da kešira akreditaciju za lakšu upotrebu (web brauzer sa password menadžerom ili klijenti za elektronsku poštu koji koriste Message Access Protocol [IMAP]). Umesto toga, zamislite da svaki klijentski uređaj ima sopstveni dodeljeni identitet. Kada dobijete novi uređaj, daćete mu neki oblik dozvole i mogućnosti pristupa svom nalogu. Od tog trenutka, taj uređaj će uvek dodeljivati jedinstvenu korisničku potvrdu serveru.
U ovom modelu, jaka korisnička autorizacija se primenjuje samo kod novih uređaja, odnosno pri osetljivim transakcijama kao što su prosleđivanje i brisanje elektronske pošte ili onlajn kupovina. Postoji i mogućnost da korisnik ne želi neki duži “odnos” sa uređajem. Možda se radi o pozajmljenom ili iznajmljenom uređaju, te u tom slučaju hardverska autorizacija nudi “guest mode”, koji briše osetljive podatke i keš nakon obavljenog posla.

Google je već krenuo sa eksperimentalnim novim načinima logovanja, koji bi zamenili tradicionalne lozinke. Google vidi budućnost u kojoj se promena identiteta vrši pomoću jednog uređaja, bilo da je to smartfon ili nešto poput Yubico kripto-kartice. U budućnosti, ova kompanija razmišlja i o još lakšim načinima logovanja, kao što je povezivanje na naloge preko bežičnih tehnologija. Dva modela, koji se pominju, a neki od njih su doživeli i svoju primenu, jesu “Verifikacija u dva koraka” i “Smartcard-Like USB Token”.
Verifikacija u dva koraka
Google je ovaj sistem predstavio pre dve godine. Sistem funkcioniše tako što korisnik, kada se loguje sa novog kompjutera na svoj nalog (nakon što je obavio tradicionalnu verifikaciju lozinke), mora da ukuca šestocifreni kod koji mu se na mobilni telefon dostavlja SMS porukom ili preko glasovnog servisa. Ovaj kod kreira cookie u brauzeru koji ne može nestati, a korisnikov uređaj čini pouzdanim za buduću autorizaciju.
Prema iskustvu koje Google ima sa korišćenjem ovog sistema, Verifikacija u dva koraka je dobro primljena od strane korisnika. Prihvaćena je od strane nekoliko miliona ljudi i nalazi se među najvećim dvosistemskim načinima verifikacije. Kako bi korisnici bili dodatno obezbeđeni, Google je uveo dodatnu zaštitu u vidu mesečne verifikacije putem koda sa SMS/glasovne poruke. Ovakav sistem, pre svega je od koristi onima koji koriste različite brauzere na različitim uređajima.

Naravno, hakeri ne sede skrštenih ruku, pa i sistem Verifikacije u dva koraka nije ostao imun na napade. Nakon što ukradu lozinku i uloguju se na korisnikov nalog, uljezi će dodati svoj broj telefona u sistem verifikacije, samo da bi usporili “password recovery” proces.
 

Iz ugla sigurnosti, verifikacija u dva koraka je efektivna kada su u pitanju izgubljene lozinke ili ponovo korišćene lozinke. Ipak, ovaj sistem je neefikasan kada je u pitanju Phishing. Problem je u tome što vas kriminalci mogu uveriti da ste posetili Gmail čak i kada niste, te mogu da vas prevare da unesete tajni kod koji ste dobili putem mobilnog telefona. U stvari, loši momci mogu okrenuti Verifikaciju u dva koraka protiv legitimnih korisnika.

Smartcard USB Token

Kako bi bolje zaštitio korisnike od Phishinga, na koji Verifikacija u dva koraka nema uticaja, Google razmatra druge načine autorizacije lozinki. Među njima su i rešenja bazirana na pametnim karicama (smartcard), odnosno asimetričnim i public-key kriptografijama. Treba napomenuti da je i ranije bilo pokušaja primene ovakvih sistema, ali bez naročitog uspeha. Google smatra da u početku ovakav sistem neće biti naročito popularan, dok se ne obezbedi opšta prihvaćenost, ali je kompanija spremna da sistem testira na različitim sajtovima.

Kako bi Smartcard USB Token sistem bio efikasan, Google smatra da bi trebalo da se zasniva na sledećim principima:

– da ne sadrži softversku instalaciju nigde sem na veb brauzeru na kome se koristi;
– jedan uređaj bi morao da bude dovoljan za opsluživanje većeg broja veb sajtova, za koje korisnici imaju naloge;
– registracija putem uređaja bi morala biti jednostavna i ne bi smela biti povezana sa Google-om ili nekom trećom stranom. Registracija i autorizacija moraju biti besplatni i otvoreni za bilo koga.

Google smatra da ovakvi hardverski modeli autorizacije neće zahtevati jake lozinke, osim u slučajevima kada korisnici rade značajne izmene na svojim nalozima. Takođe, u budućnosti korisnici će svakako posedovati veći broj uređaja za koje je potrebna autorizacija, a predviđena je mogućnost da se stariji uređaj iskoristi za autentifikaciju novog, gde će korisniku samo biti potrebna jaka lozinka za bekap.

Serverska autorizacija

Google razmatra i druge načine logovanja koji ne zahtevaju klasično ukucavanje lozinki, a jedan od njih je i serverska autorizacija. Većina brauzera može verifikovati SSL sertifikate, a sajtovi mogu isključiti funkcije kao što je HTTP Strict Transport Security kako bi se sprečili neželjeni napadi.

Server može da usvoji objedinjeni pristup logovanja time što će preko brauzer redirekcije omogućiti prenos tereta validacije korisničkog naloga sa jednog na drugi server. Ovo je posebno prihvatljivo manjim sajtovima, dok veći sajtovi imaju i veću mogućnost autorizacije i pridobijanja klijenata koji su neodlučni u vezi sa kreiranjem i vođenjem još jednog naloga na Internetu.

Privatnost će biti skupa

Na kraju, treba istaći da će sistem budućeg funkcionisanja lozinki i autorizacije imati i svoje (za nekoga manje, a za nekoga veće) žrtve, koje će korisnik morati da podnese. Sigurnosni sistem će morati da ide ka korisnikovoj matrici lokacija i navika koje ima na vebu, ali i u realnom životu. Možda će morati i da dozvoli uvid u same govorne obrasce, pa i jedinstveni DNK. Ali to je kompromis koji ćemo morati da napravimo kako bismo osigurali našu sigurnost na vebu.

Google već razmišlja i ide u ovom pravcu – proverom svakog logovanja i traženjem informacija koje ga povezuju sa prethodnim logovanjem, u smislu lokacije, uređaja sa koga logovanje dolazi i ostalih informacija koje sam Google neće odati. Ukoliko se nešto neobično otkrije, Google će svojim sistemom koji je implementirao (ili planira da implementira) naterati korisnika da odgovori na sigurnosna pitanja o nalogu. “Ukoliko korisnik ne uspe da da prave odgovore, obavestićemo ga da promeni svoju lozinku”, ističu jasno u kompaniji Google.

Ostani u toku

Prijavi se na newsletter listu i jednom nedeljno cemo ti poslati email sa najnovijim testovima i vestima iz sveta tehnologije.

Hvala!

Uspešno ste se prijavili na na naš newsletter! Proverite vaš email nalog kako bi potvrdili prijavu.

Vrati se na početak
Možda vam se svidi