Mažai yra technologijų, kurias tiek metų kritikuotume, bet taip atkakliai naudotume toliau kaip slaptažodžius. Vartotojai juos pamiršta, tuos pačius naudoja dešimtyse skirtingų sistemų, keičia juos tik išgąsdinti rezonansinių įsilaužimų, o kibernetiniai nusikaltėliai ir toliau sėkmingai juos vagia. Nepaisant to, daugelio organizacijų ir skaitmeninių paslaugų tapatybės patvirtinimo modelis vis dar remiasi būtent slaptažodžiu.
„Didžiausias kibernetinio saugumo mitas šiandien yra ne tai, kad žmonės renkasi silpnus slaptažodžius. Didžiausias mitas – kad slaptažodžiai apskritai tebėra tinkamas būdas patvirtinti žmogaus tapatybę skaitmeninėje erdvėje. Net 97 proc. tapatybės atakų yra susijusios su slaptažodžių naudojimu, rodo „Microsoft“ kibernetinio saugumo ekspertų duomenys. Tai yra, didžioji dalis atakų nukreiptos ne į technologinį pažeidžiamumą, o į prisijungimo duomenų vagystę ar panaudojimą“, – sako bendrovės „SK ID Solutions“ verslo vadovas Lietuvoje Evaldas Stonkus.
Jis pripažįsta – daugelį metų organizacijos investavo į tai, kad padarytų slaptažodžius kuo saugesnius. Atsirado reikalavimai naudoti specialiuosius simbolius, reguliariai keisti prisijungimo duomenis, taikyti papildomus autentifikavimo žingsnius. Tačiau visa tai iš esmės buvo bandymas sustiprinti sistemą, kurios silpniausia vieta išliko nepakitusi – pats slaptažodis.
Kuo daugiau slaptažodžių, tuo mažiau saugumo
Paradoksalu, tačiau slaptažodžiai tapo problema būtent todėl, kad šiandien jų turime pernelyg daug. Prisijungimai prie darbo sistemų, elektroninių parduotuvių, valstybės paslaugų, socialinių tinklų ir įvairių programėlių skaičiuojami dešimtimis ar net šimtais.
„Natūralu, kad žmonės ieško būdų supaprastinti gyvenimą: naudoja tuos pačius slaptažodžius skirtingose sistemose, renkasi lengviausiai įsimenamus, taigi, ir lengvai atspėjamus derinius arba kaupia prisijungimo duomenis naršyklėse ir užrašuose“, – komentuoja E. Stonkus.
Problema ir tai, kad kibernetiniai nusikaltėliai savo metodus tobulina greičiau nei organizacijos spėja atnaujinti saugumo rekomendacijas. Sukčiavimo laiškai, netikros prisijungimo formos, pavogtų duomenų panaudojimas kitose sistemose ir automatizuotos atakos leidžia išnaudoti ne technologinį pažeidžiamumą, o žmogiškąsias klaidas.
Tokios atakos verslui kainuoja tikrai brangiai. Tarptautinės technologijų bendrovės IBM duomenimis, vidutinė duomenų saugumo pažeidimo kaina pasaulyje siekia 4,4 mln. JAV dolerių.
Todėl, pažymi E. Stonkus, šiandien būtina daugiau rūpintis ne tuo, kaip sukurti dar stipresnį slaptažodį, o apie tai, kaip apskritai sumažinti priklausomybę nuo slaptažodžių.
Mitai, neleidžiantys atsisveikinti su slaptažodžiais
Jei slaptažodžių naudojimo trūkumai tokie akivaizdūs, kodėl daugelis organizacijų vis dar remiasi būtent jais? „SK ID Solutions“ verslo vadovo E. Stonkaus nuomone, pokytį dažnai stabdo ne technologinės kliūtys, o nusistovėję įsitikinimai ar, kitaip tariant, mitai.
Vienas dažniausių – įsitikinimas, kad stiprus slaptažodis yra saugus sprendimas. Tačiau net ir sudėtingiausias slaptažodis neapsaugo, jei vartotojas jį pats atskleidžia sukčiams arba jei prisijungimo duomenys nuteka iš kitos sistemos.
Kitas dažnas argumentas – baimė, kad vartotojai nepripras prie naujų autentifikavimo būdų arba kad jų diegimas bus pernelyg sudėtingas. „Neteisinga būtų teigti, kad visi vartotojai prie naujų sprendimų prisitaiko vienodai greitai. Vyresnio amžiaus žmonėms ar rečiau skaitmeninėmis paslaugomis besinaudojantiems gyventojams pokyčiai iš tiesų gali kelti papildomų klausimų. Tačiau būtent šios grupės dažnai labiausiai pavargsta nuo slaptažodžių: jų prisiminimo, keitimo ir atkūrimo. Todėl žmonės įprastai gana greitai prisitaiko prie sprendimų, kurie yra ne tik saugesni, bet ir patogesni“, – komentuoja E. Stonkus.
Vis dar gajus ir įsitikinimas, kad autentifikavimo sprendimų perdavimas specializuotiems paslaugų teikėjams reiškia kontrolės praradimą. Realybėje dauguma organizacijų jau seniai naudojasi išorinėmis debesų, mokėjimų ar kitomis kritinėmis paslaugomis. Autentifikavimas, kaip pabrėžia pašnekovas, tampa dar viena sritimi, kurioje specializacija dažnai leidžia pasiekti aukštesnį saugumo lygį nei kuriant ir prižiūrint sprendimus savarankiškai.
E. Stonkaus įsitikinimu, technologijoms per pastaruosius metus gerokai pažengus į priekį, tinkamai įgyvendinti prisijungimo be slaptažodžių sprendimai ilgainiui gali būti ne kliūtis, o palengvinimas. Todėl ir organizacijoms, anot „SK ID Solutions“ verslo vadovo, vis dažniau tenka spręsti ne techninį, o strateginį klausimą: ar verta toliau investuoti į seno modelio tobulinimą, ar pradėti planuoti perėjimą prie naujo.
Baltijos regionas: ateitis, kuri jau veikia
Nors daugelyje pasaulio šalių diskusijos apie prisijungimą be slaptažodžių dar tik įsibėgėja, Baltijos šalys šioje srityje turi išskirtinę patirtį.
„Dažnai manoma, kad prisijungimas be slaptažodžių yra kažkas naujo ir neįprasto. Tačiau milijonai Lietuvos, Latvijos ir Estijos gyventojų jau daug metų kasdien naudojasi elektroninės tapatybės priemonėmis, leidžiančiomis saugiai prisijungti prie įvairių paslaugų neįvedant slaptažodžių. Klausimas šiandien nebėra, ar vartotojai tam pasirengę. Klausimas – ar organizacijos pasirengusios atsisakyti senų įpročių“, – atkreipia dėmesį E. Stonkus.
Ne pasirinkimas, o neišvengiama kryptis
Kibernetinio saugumo srityje retai pasitaiko sprendimų, kurie vienu metu būtų ir saugesni, ir patogesni vartotojams. Tačiau būtent tokia kryptimi juda šiuolaikiniai autentifikavimo sprendimai.
Todėl diskusija pamažu keičiasi – dažniau kalbama ne apie tai, kaip sukurti tobulą slaptažodį, o apie tai, kaip apskritai atsisakyti poreikio jį naudoti.
„Verslui tai reiškia ne tik galimybę sumažinti saugumo rizikas, bet ir gerinti klientų bei darbuotojų patirtį. O organizacijoms, kurios vis dar svarsto, ar verta keisti nusistovėjusį modelį, verta prisiminti paprastą faktą: technologija, kurios didžiausias privalumas yra tai, kad prie jos visi pripratę, retai būna geriausias pasirinkimas ateičiai“, – sako „SK ID Solutions“ verslo vadovas E. Stonkus.
