HARD CORE SECURITY LAB

Uwierzytelnianie internautów, czyli weryfikowanie zadeklarowanej tożsamości użytkowników rozmaitych usług oraz serwisów internetowych od zarania informatycznych dziejów odbywa się z wykorzystaniem nieśmiertelnych haseł dostępowych. Takie rozwiązanie obciąża jednak tylko naszą pamięć i nie jest zbyt bezpieczne. Naszym hasłom zagrażają m.in. ataki słownikowe, ataki siłowe, podsłuch sieciowy, a także phishing. Okazuje się jednak, że już dziś istnieją nowe sposoby uwierzytelniania, pozbawione praktycznie wszystkich wad towarzyszących wykorzystaniu klasycznych haseł.

Firma Confident Technologies zaprezentowała niedawno bardzo interesujący sposób na uwierzytelnianie użytkowników serwisów internetowych. W trakcie rejestracji, użytkownik zostaje poproszony o wybranie kilku ilustracji z grupy zaprezentowanych mu obrazów. Następnie w trakcie każdego logowania, użytkownik staje przed zadaniem wskazania własnych kategorii spośród kilkunastu losowych obrazów.
Wybrane obrazki wskazujemy za pomocą wprowadzenia odpowiadającego im znaku alfanumerycznego, w związku z czym ostatecznie do zdalnego serwera przekazujemy coś na kształt jednorazowego hasła. Warto podkreślić, że takie rozwiązanie jest znacznie bezpieczniejsze od zwykłych haseł (gdyż poprawna fraza przy każdym logowaniu ma inną postać) oraz od tradycyjnych haseł jednorazowych, gdyż tak naprawdę sama fraza uwierzytelniająca w ogóle nie jest w żaden sposób do nas transmitowana (tak jak ma to miejsce w przypadku zwykłych haseł jednorazowych). Metoda ta jest więc niemal całkowicie odporna na tradycyjny podsłuch sieciowy.

Co ciekawe, takie rozwiązanie niemal zupełnie chroni internautów również przed phishingiem! Potencjalna fałszywa strona internetowa w celu przekonania internautów co do swej prawdziwości, musiałaby imitować nie tylko wygląd oryginalnej witryny, ale również odtworzyć cały specyficzny proces uwierzytelniania. Bez znajomości kategorii wybranych na etapie rejestracji przez poszczególnych użytkowników jest to praktycznie zupełnie niewykonalne.

Wreszcie warto zauważyć, że obrazkowe uwierzytelnianie jest znacznie bardziej łaskawe dla naszej pamięci. Nasz umysł niezbyt dobrze radzi sobie bowiem z zapamiętywaniem ciągów znaków. Natomiast zapamiętywanie i kojarzenie obrazów jest dla nas zupełnie naturalne. Oczywiście powyższą metodę można również z powodzeniem zastosować w połączeniu z głównym haseł dostępowym, co dodatkowo podniesie bezpieczeństwo całego rozwiązania.

Jak więc widzimy, ciągle opracowywane są nowe bardzo interesujące i zaskakująco bezpieczne metody uwierzytelniania. Jednak nawet wielkie i nowoczesne serwisy internetowe wolą się trzymać metod leciwych, wciąż polegając na tradycyjnych hasłach. Ciekawe, czy w końcu któryś ze znanych serwisów zdecyduje się na ochronę swych użytkowników poprzez zastosowanie jakichś przełomowych zabezpieczeń? Jak zwykle jestem również ciekaw waszych opinii na temat tej nowatorskiej metody uwierzytelniania, a może potraficie wskazać jakieś słabe punktu tej technologii?