Ako haker sazna vaše vjerodajnice za prijavu, mogao bi pristupiti svim vašim podacima. Dakle, ako su lozinke problem, kako možemo ostati bez lozinke?
Lozinke su ključni dio internetske sigurnosti od osvita interneta i još uvijek su najčešći oblik autentifikacije dostupan danas. Međutim, s porastom kibernetičkih napada na autentifikaciju temeljenu na zaporci i katastrofalnim povredama podataka, statične lozinke više ne mogu riješiti problem.
Dakle, ako lozinke nose ozbiljne sigurnosne rizike, možemo li se jednostavno odvojiti od njih i umjesto toga koristiti prijave bez lozinke?
Koji je problem s korištenjem lozinki?
Iako su lozinke prilično jednostavne za korištenje i dobro funkcioniraju s drugim metodama provjere autentičnosti, nisu toliko sigurne koliko bismo željeli. I uglavnom smo sami krivi.
Većina lozinki koje je lako zapamtiti nisu jake i najjače lozinke nije lako zapamtiti. Kako bismo riješili ovu dilemu, možemo smisliti jednu ili dvije lozinke koje je gotovo nemoguće provaliti i koristiti ih na svim našim mrežnim računima i različitim uređajima. Problem s ovim je što ako jedna od vaših lozinki dospije u pogrešne ruke, sve aplikacije i usluge koje dijele tu lozinku također mogu biti ugrožene.
Prema a studija Verizona, više od 80 posto povreda podataka povezanih s hakiranjem uzrokovano je lošim ili ukradenim lozinkama, što je u prosjeku četiri od pet povreda u svijetu. Ne pomaže to što mnogi ljudi ne promijene zadane lozinke odmah (ili uopće), a one se ponekad distribuiraju putem hakerskih foruma.
U međuvremenu, alati za probijanje lozinki postaju sve bolji u pogađanju lozinki, što znači da je samo pitanje vremena kada će "neprovaliva" lozinka biti probijena. Također, lozinke se kradu kroz napade društvenim inženjeringom, a oni postaju sve sofisticiraniji zahvaljujući umjetnoj inteligenciji (AI)—čak i ChatGPT je uhvaćen u pisanju zlonamjernog softvera.
Osim toga, lozinke se ponekad šalju preko nezaštićenih mreža, što njihovu krađu čini dječjom igrom za kibernetičke kriminalce. Ako ste ikada koristili Wi-Fi u svom omiljenom kafiću, vjerojatno ste počinili ovaj sigurnosni grijeh.
Dakle, ako lozinke ne mogu napraviti rez, koje su najsigurnije alternative?
Koje su najbolje alternative lozinki za bolju sigurnost?
Budući da statične lozinke i sustavi provjere autentičnosti s jednom lozinkom mogu uzrokovati ozbiljne sigurnosne probleme, mogli bismo ih zamijeniti sigurnijim alternativama i prestati brinuti o svojoj sigurnosti na internetu. Ali koja je alternativa lozinki najbolja za sigurnost?
1. Biometrija
U kontekstu kibernetičke sigurnosti, biometrija ili biometrijska autentifikacija je sigurnosna metoda koja provjerava vaše jedinstvene biološke karakteristike kako bi se potvrdio vaš identitet. Bilo da govorimo o mapiranju otisaka prstiju, skeniranju mrežnice, glasovnoj potvrdi ili prepoznavanju lica, biometrija se odnosi samo na vaše jedinstvene identifikatore.
Nasuprot tome, budući da je sigurna lozinka kombinacija velikih i malih slova, brojeva i simbola - ukratko, teško ju je zapamtiti - može vam iskliznuti iz pamćenja kao da nije ništa. Sigurna biometrijska autentifikacija znači jednu lozinku (tj. vaše lice, glas ili otisak prsta) i to nikada nećete zaboraviti.
Dok kibernetički kriminalci mogu upotrijebiti kopiju vašeg lica, glasa ili otiska prsta u lažnom napadu, korištenje pametnih sigurnosnih alata i dodavanje dodatnih metoda provjere autentičnosti može minimizirati ovaj rizik značajno. Korištenje biometrije također smanjuje rizik od uspješnog krađe identiteta i drugih vrsta napada društvenog inženjeringa.
Međutim, iako je biometrija sigurnija i lakša za korištenje od lozinki, postoji i nekoliko nedostataka. Naime, biometrijska provjera autentičnosti zahtjeva specijalizirani hardver i softver, što ju može staviti na skupu stranu. Također, biometrijski podaci prilično su osobni, pa bi se neki ljudi mogli osjećati neugodno koristiti ih za provjeru autentičnosti.
2. Autentikacija s više faktora
Kao što naziv govori, provjera autentičnosti s više faktora (ili skraćeno MFA) je metoda provjere autentičnosti koja zahtijeva dva ili više faktora provjere prije nego što omogući pristup aplikaciji ili online usluzi.
Dakle, umjesto da se zadovolji korisničkim imenom i statičnom lozinkom, MFA traži dodatne čimbenike provjere kao što su jednokratne lozinke, geolokacija ili skeniranje otiska prsta. Osiguravajući da korisničke vjerodajnice nisu ukradene, MFA smanjuje vjerojatnost uspješne prijevare ili krađe identiteta.
Iako je MFA sigurniji od korištenja samo statičke lozinke, također je manje prikladan jer korisnici moraju izvršiti više koraka. Na primjer, ako izgubite uređaj koji koristite za drugu autentifikaciju, mogli biste izgubiti pristup svim svojim mrežnim računima koji koriste MFA.
3. Jednokratne lozinke
Poznate i kao dinamičke lozinke, jednokratni PIN-ovi i jednokratni autorizacijski kodovi (OTAC-ovi), jednokratne lozinke (OTP) su lozinke koje se mogu koristiti samo za jednu sesiju prijave. Dakle, kao što naziv sugerira, ova kombinacija znakova može se koristiti samo jednom, što pomaže u izbjegavanju nekoliko nedostataka statičkih zaporki.
Iako imena korisnika za prijavu ostaju ista, lozinka se mijenja sa svakom novom prijavom. Dakle, budući da se OTP ne može upotrijebiti drugi put, njegova krađa nema previše smisla za kibernetičke kriminalce, što neke vrste krađe identiteta čini neučinkovitima.
Tri najčešća tipa OTP-a su SMS, e-pošta i provjera autentičnosti pomoću veze putem e-pošte (aka magična veza), a svi oni svojim korisnicima nude jednostavnu i sigurnu prijavu. Budući da nema statičnih lozinki, nema rizika da se korisnici neće uspjeti sjetiti ili na neki drugi način izgubiti.
Međutim, postoji i nekoliko nedostataka s OTP-ovima, a oni imaju sve veze s uslugom ovisnost o pružatelju usluga—nećete dobiti OTP ili čarobnu vezu ako ih vaš pružatelj usluge e-pošte ili SMS-a ne pošalje tebi. Čak i isporuke e-pošte mogu kasniti zbog spore internetske veze ili sličnih čimbenika.
4. Prijava na društvene mreže
Prijava na društvene mreže ili prijava na društvene mreže proces je koji korisnicima omogućuje prijavu na aplikacije i online platforme putem koristeći informacije s društvenih mreža (kao što su Facebook, Twitter i LinkedIn) koje trenutno koriste. Ovaj oblik jednostavne i super brze prijave prikladna je alternativa standardnoj, dugotrajnoj izradi računa.
Ali zbog kršenja i curenja podataka mnogi su korisnici postali nepovjerljivi prema prijavi na društvene mreže u smislu sigurnosti. Budući da tvrtke nastavljaju prikupljati korisničke podatke, brige o privatnosti kod prijava na društvene mreže i dalje rastu.
5. Autentifikacija sigurnosnog ključa
Kako bismo bili sigurni da pravi korisnici imaju pristup pravim podacima, ova vrsta MFA štiti vaše lozinke dodavanjem takozvanog sigurnosnog ključa, fizički uređaj koji je priključen na vaše računalo (putem USB priključka ili Bluetooth veze) svaki put kada se prijavljujete na uslugu zaštitne mjere.
Sigurnosni ključevi ponekad se miješaju sa sigurnosnim tokenima, koji su također fizički uređaji, ali oni koji generiraju šesteroznamenkasti numerički kod kada ih MFA zatraži. Iako dijele svrhu, nisu isti.
Dok se sigurnosni ključevi mogu boriti protiv napada temeljenih na lozinkama (krađa identiteta, gomilanje vjerodajnica, lozinke iz rječnika, i slično), oni su još uvijek relativno novi igrač u igri kibernetičke sigurnosti, pa možda neće ostati ovdje. Osim toga, ako vaš sigurnosni ključ bude ukraden ili izgubljen, to je veliki problem.
Ostale spomena vrijedne alternative lozinkama
Jedna od alternativa lozinkama koja potiče na razmišljanje je vrsta biometrijske provjere autentičnosti koja prepoznaje tipične valne oblike generirane ritmom otkucaja srca svakog korisnika i koristi ih za identifikaciju—to se zove otkucaji srca ili otkucaji srca priznanje. Iako mora biti sjajno što ne morate učiniti ništa (osim biti živ i živ) da dobijete pristup svom računa, ova vrsta autentifikacije usmjerena je na okruženja visoke sigurnosti i preskupa je za osobna upotreba.
Ostale značajne alternative za sigurnije prijave su provjera autentičnosti pritiskom na tipku (koja preuzima jedinstveni uzorak tipkanja korisnika za potvrdu njihov identitet), jedinstvenu prijavu (koja korisniku omogućuje pristup svim svojim aplikacijama i uslugama s jednim skupom vjerodajnica) i zaporke (prijava bez lozinke koji zahtijeva od korisnika da generiraju novi pristupni ključ putem autentifikatora svaki put kada žele pristupiti svojim aplikacijama i uslugama).
Također, trebali bismo iznijeti upravitelje zaporki, ali radije kao nadogradnju nego kao zamjenu za zaporke—uostalom, to se zove upravitelj zaporki, a ne upravitelj bez zaporki. Dakle, ako se radije držite lozinki, ova vam vrsta alata može pomoći da osigurate svoje vjerodajnice, generirate jake lozinke i pohranite sve svoje prijave za besprijekornije online iskustvo.
Je li budućnost bez lozinke?
Postoji nekoliko vrsta autentifikacije koje možete koristiti bez upisivanja lozinke, ali samo neke od njih pokušavaju u potpunosti izbaciti lozinku iz procesa - a to ne bi trebao biti problem. Uz kombinaciju višestrukih metoda provjere autentičnosti, može se eliminirati jedna točka kvara i poboljšati vaša online sigurnost.
Što se tiče budućnosti, očekujemo da će se tržište autentifikacije bez lozinke sve više širiti organizacije i pojedinci traže sigurnosna rješenja koja se mogu boriti protiv lozinki cyber napadi.