„Hasło jest martwe” – ogłosił w swoim niedawny artykule dla „Wall Street Journal” Christopher Mims, specjalista słynnego dziennika w sprawie technologii. Nowinki techniczne oferowały nam już wiele sposobów potwierdzania tożsamości, od skanowania tęczówki oka do uwierzytelniania na podstawie układu naczyń krwionośnych. Dlaczego zatem nadal korzystamy haseł typu „1234” lub „jankowalski”?
Z wygody, oczywiście. Ale nie tylko: w dobie internetu logujemy się do dziesiątek usług. Zachowując prawidła bezpieczeństwa, każda powinna mieć osobne, odpowiednio bezpieczne hasło, którego najlepiej nie zapisywać (pomijam programy służące do szyfrowania i przechowywania haseł). W tej sytuacji odpowiednie zabezpieczenia każdego z kont wydaje się niewykonalne. Korzystają na tym hackerzy, którzy po zdobyciu bazy haseł nie skupiają się wcale na atakach na sklep internetowy, z którego wykradli hasła – próbują dane logowania najpierw dopasować w systemach bankowości internetowej, kantorach online czy innych serwisach oferujących usługi finansowe w internecie.
Jednym z oferowanych rozwiązań jest dwuskładnikowa autoryzacja. Ten rodzaj uwierzytelniania może brzmieć obco, ale każdy z pewnością miał z nim do czynienia – choćby wypłacając pieniądze z bankomatu. Ten rodzaj potwierdzania tożsamości wymaga czegoś, co wiemy (hasło, PIN) oraz czegoś, co mamy (karta, telefon, etc.). W internecie dwuskładnikowa autoryzacja jest oferowana m.in. przez GMaila czy Facebooka. Przy logowaniu musimy podać hasło jednorazowe, które zostanie przesłane na telefon w wiadomości SMS. Sposób ten wydaje się dobry szczególnie w czasach, gdy bez smartfona nie ruszamy się z miejsca. Powstaje jednak problem prywatności – numer telefonu to kolejna informacja, którą oddajemy za darmo, w wierze, że nie zostanie ona użyta przeciwko nam. Oczywiście firmy zobowiązują się i obiecują w umowach, że powierzone dane będą używane tylko do realizowania zadań zleconych przez nas, ale (cytując brytyjski serial „Peep show”) „Hitler obiecał nie najechać Czechosłowacji. Witamy w prawdziwym świecie”.
Tymczasem jeden z francuskich banków wprowadził ciekawą usługę wysyłania kodu PIN do karty w wiadomości tekstowej na telefon komórkowy. W Polsce funkcjonują dwa sposoby nadawania kodu: samodzielne, w bankomacie czy przez internet, lub narzucone przez bank i wysłane pocztą. Pomysł co prawda ciekawy, ale wręcz domaga się rozwinięcia o omawianą ideę dwuskładnikowego uwierzytelniania. Gdyby kody PIN nadawać na zasadzie jednorazowych tokenów, kradzieże kart stałyby się niemal bezużyteczne (pomijam płatności zbliżeniowe, które, jak wiemy, mają limity).
Bezpieczeństwo toczy nierówny bój z wygodą użytkownika. Naturalnie najbardziej komfortowym rozwiązaniem jest proste hasło, najlepiej bez tzw. znaków specjalnych (!@#$%^&*), dodatkowo takie samo do wszystkich kont. Oznacza to jednak, że jednorazowa utrata tego hasła naraża nasze dane osobowe, pieniądze i wszelkiego rodzaju informacje na niebezpieczeństwo. Ideałów nie ma. Decyzję o tym, jak bardzo chcemy ułatwić zadanie potencjalnym przestępcom, musimy podjąć sami.