„Hasło musi zawierać co najmniej 8 znaków w tym jedną dużą literę, jeden znak specjalny i jedną cyfrę” – tę formułkę zna dobrze każdy, kto korzysta aktywnie z różnych sieciowych usług. Hasła są coraz trudniejsze do zapamiętania i przez to coraz bardziej zawodne jako klucz do cennych informacji. Na szczęście zbliża się moment, kiedy nasza pamięć będzie mogła odpocząć.
O konieczności pożegnania się z hasłami jako podstawową formą uwierzytelnienia w sieci mówi się od dawna. Jednak z punktu widzenia przeciętnego użytkownika internetu i smartfona dopiero w ostatnim czasie pojawiły się pierwsze oznaki zmian, które mają rzeczywisty wpływ na codzienne zwyczaje. Najwięksi producenci sprzętu i oprogramowania wprowadzają rozwiązania eliminujące konieczność zapamiętywania skomplikowanych kodów. W fazie eksperymentów znajdują się także bardziej ambitne projekty, które mają sprawić, że uwierzytelnienie użytkownika będzie niemalże niewidocznym procesem.
Przyzwyczajamy się do logowania palcem
Dzięki firmie Apple biometria trafiła pod strzechy, do milionów użytkowników iPhone’a. Technologia nazwana Touch ID, opierająca się na czytniku linii papilarnych, po raz pierwszy pojawiła się w modelu iPhone 5S. Wcześniej wielu producentów eksperymentowało z tego rodzaju rozwiązaniami (m.in. Motorola i Samsung w wybranych modelach), ale dopiero firma z Cupertino wprowadziła je na masowy rynek.
Odcisk palca może zastąpić hasło, jeśli na taki krok zdecyduje się twórca aplikacji. W przypadku niektórych zastosowań jest on wręcz domyślnym sposobem uwierzytelnienia użytkownika. System płatności mobilnych Apple Pay pozwala na dokonanie transakcji zbliżeniowej telefonem tylko wtedy, gdy klient użyje czytnika linii papilarnych. Aplikacji korzystających z Touch ID stale przybywa, także wśród banków. Z logowania odciskiem palca mogą korzystać np. polscy klienci Citi Handlowego.
Wiele wskazuje na to, że czytniki linii papilarnych staną się wkrótce standardowym elementem wyposażenia smartfonów. Najnowsza wersja systemu operacyjnego autorstwa Google – Android Marshmallow – ułatwia programistom korzystanie z biometrii. Producenci tacy jak Samsung czy LG na razie montują czytniki w droższych liniach swoich urządzeń. Można się jednak spodziewać, że odpowiednie podzespoły będą z czasem coraz tańsze i trafią także do budżetowych modeli.
Selfie zamiast hasła
Krok w stronę pozbycia się haseł zrobił w ostatnim roku także Microsoft. W najnowszej wersji systemu operacyjnego Windows znajduje się moduł nazwany Windows Hello. Odpowiada on za obsługę logowania z użyciem biometrii. Hello może korzystać z czytnika linii papilarnych, standardowo montowanego w wielu laptopach z wyższej półki, ale umożliwia także odblokowanie komputera za pomocą kamery.
Logowanie „przez selfie” jest szybkie i wygodne. Aby uruchomić usługę trzeba jednak posiadać urządzenie z kamerą Intel RealSense. Na razie dostępnych jest tylko kilka modeli odpowiednio wyposażonych laptopów oraz tabletów. Kamera jest w stanie śledzić ludzką twarz, a także rozpoznawać gesty i mowę. Za postrzeganie przestrzeni odpowiada dodatkowy moduł korzystający z podczerwieni.
Użytkownik, który chce zastąpić hasło swoją twarzą musi tylko pokazać się aplikacji Hello przez około 30 sekund, najlepiej w kilku „kreacjach” – np. w okularach i bez lub w nakryciu głowy. Rozpoznawanie twarzy działa na tyle dobrze, że jest w stanie odróżnić parę identycznych bliźniąt.
Windows Hello zdaniem niektórych recenzentów cierpi jeszcze na choroby wieku dziecięcego. O ile do trafności rozpoznawania twarzy większość nie ma zastrzeżeń, to problemem pozostaje zasobożerność aplikacji, która cały czas działa w tle „wypatrując” użytkownika.
Rozpoznawanie twarzy i mowy jest już na tyle dojrzałą technologią, że banki i systemy płatności decydują się na jej wykorzystanie jako alternatywnej wobec haseł formy uwierzytelnienia klienta. Na taki krok zdecydował się np. polski Bank Smart i debiutujący na brytyjskim rynku bank Atom.
Google i Yahoo też chcą zabić hasła
Jesienią 2015 r. firma Yahoo przedstawiła rozwiązanie, które ma przyspieszyć i uprościć proces logowania się do sieciowych usług. Yahoo Account Key opiera się na powiązaniu konta użytkownika z zaufanym urządzeniem – smartfonem, którego z reguły mamy pod ręką. Po jednorazowej rejestracji za każdym razem, gdy chcemy się zalogować, np. do serwisu poczty elektronicznej Yahoo, musimy tylko wpisać swój login. Na nasz telefon wysyłane jest powiadomienie push. Wystarczy potwierdzić, że to właśnie my staramy się właśnie dostać do swojej skrzynki i gotowe. Hasło przestaje być konieczne.
Podobny schemat testuje także Google. Telefon, który ma zastąpić hasło, musi mieć aktywną blokadę ekranu. Gdy wchodzimy na konto Google z komputera, na smartfonie pojawi się powiadomienie z prośbą o potwierdzenie próby logowania. W wyjątkowych sytuacjach system może także zapytać o hasło, ale w większości przypadków użytkownik nie będzie musiał go użyć.
Testowane przez Google i Yahoo rozwiązania bazują na założeniu, że nasz telefon jest bezpiecznym kanałem komunikacji, już zabezpieczonym hasłem, wzorem lub metodą biometryczną. Powiadomienie wysłane na smartfona może zatem z powodzeniem zastąpić hasło, które pozostaje alternatywną formą uwierzytelnienia stosowaną, gdy nie mamy pod ręką osobistego urządzenia. Obie firmy zakładają, że osoby pragnące wyższego poziomu bezpieczeństwa mogą używać klasycznego sposobu logowania, a także sięgnąć po dwuskładnikowe uwierzytelnienie (np. za pomocą haseł SMS lub aplikacji-tokena).
Krok dalej?
Potentaci branży IT, elektroniki użytkowej i finansowej pracują już nad kolejnymi rozwiązaniami zastępującymi hasła. Taki cel ma m.in. powołane w 2013 r. konsorcjum FIDO (Fast IDentity Online). Wciąż pojawiają się także nowe pomysły, czasem budzące kontrowersje. Przykładem może być projekt grupy działającej w ramach firmy Google, który przedstawiono na konferencji Google I/O w 2015 r. Zakłada on wykorzystanie wszystkich dostępnych sensorów smartfona do stworzenia profilu użytkownika i ciągłego, niewidocznego uwierzytelniania.
Telefon zachowywałby się jak szpieg. Odnotowywałby m.in. jak użytkownik korzysta z klawiatury, jaki ma ton głosu, gdzie znajduje się urządzenie. Dane behawioralne w połączeniu z biometrycznymi mają dać dziesięciokrotnie wyższy poziom pewności dotyczący tożsamości użytkownika niż użycie pojedynczego sensora (np. czytnika linii papilarnych). Rozwiązanie testowane jest na grupie 1500 ochotników, a rezultaty ponoć są obiecujące. Problemem pozostaje jednak kwestia przechowywania i przetwarzania olbrzymiej ilości danych potrzebnych do uwierzytelnienia. Google proponuje wykorzystanie do tego celu osobnego, odpowiednio zabezpieczonego układu bazującego na karcie pamięci microSD. Taki zminiaturyzowany komputer miałby własny procesor i system operacyjny.
Wizja zastąpienia haseł ciągłą inwigilacją może budzić niepokój. Metody biometryczne także mają wielu przeciwników, którzy zwracają uwagę na fakt, że użytkownikowi takiego sposobu uwierzytelnienia trudno jest kontrolować kto i jak przechowuje oraz przetwarza wrażliwe dane. Zanim na dobre pożegnamy się z hasłami, dostawcy sieciowych usług będą musieli przekonać swoich klientów, że nowe rozwiązania są nie tylko prostsze w użyciu, ale także bezpieczne z punktu widzenia prywatności i ochrony przed kradzieżą tożsamości.
