Nije realno očekivati uspostavu isključivo jednog široko primjenjivog standarda za osiguravanje računalne sigurnosti i zaštite privatnosti, ponajprije zbog navika korisnika, ističu stručnjak za računalnu sigurnost Alen Delić. S njim i Zlatanom Morićem, voditeljem Katedre za kibernetičku sigurnost na Visokom učilištu Algebra razgovarali smo o tome što nas čeka s novim sustavom
Kao što smo već pisali, udruženje FIDO Alliance - skupina koja se bavi standardizacijom metoda za provjeru identiteta online - objavila je da je njihov postupak logiranja bez lozinke dobio podršku velikih proizvođača web preglednika kao što su Apple, Google i Microsoft.
Do kraja ove godine taj bi način logiranja mogao biti uklopljen u Chrome, Edge i Safari, tri web preglednika koji drže većinu svjetskog tržišta.
Umjesto unosa lozinke, dobit ćete obavijest na mobitel za provjeru identiteta, što ćete učiniti onako kako otključavate smartfon: PIN-om, otiskom prsta ili prepoznavanjem lica.
Također ćete moći koristiti neki od drugih raspoloživih vam uređaja (recimo, laptop ili tablet), tako što ćete poslati zahtjev za otključavanje uređaja putem Bluetootha.
Pitali smo domaće stručnjake što misle o tome. Evo što su nam rekli.
Fokus na većoj sigurnosti i načinima korištenja
'Rješenje FIDO Alliancea predstavlja korak prema provjeri identiteta korisnika bez korištenja zaporke', rekao je tportalu Zlatan Morić, voditelj Katedre za kibernetičku sigurnost na Visokom učilištu Algebra.
Riječ je o standardu koji ima dvije opcije - FIDO2 za korištenje bez zaporke i FIDO U2F, koji služi kao dodatni mehanizam provjere. Taj sustav koristi kriptografske metode razvijene prije pedesetak godina, bazirane na asimetričnoj kriptografiji.
Razina sigurnosti podiže se i s poslužiteljske stane putem sustava koji više ne čuva potpise zaporki (hash), već javne ključeve koji značajno otežavaju dolazak do tajnih ključeva.
Za standard FIDO2 možemo reći da je dvofaktorski jer je za pristup ključu potreban PIN. No u slučaju probijanja zaštite samog uređaja FIDO2 omogućen je dolazak do tajnog ključa, što ovaj mehanizam može učiniti jednofaktorskim', naglasio je Morić.
Standard koji će brzo zaživjeti, ali ne i biti rješenje za sve
'Moramo razumjeti namjere udruženja FIDO, a one se orijentiraju na veću sigurnost općenito i dolaze u obliku neovisnog udruženja', upozorava stručnjak za računalnu sigurnost Alen Delić.
Uz to, FIDO razmatra različite opcije i rizike, razumijevajući potrebe veće sigurnosti i ponašanja korisnika danas.
'Naprimjer, jedna od razmatranih opcija povećanja sigurnosti korištenje je pametnih telefona na način da se koriste i mogućnosti Bluetootha prilikom uparivanja uređaja. Dakle mobitel kojim se potvrđuje određeni pristup fizički je u blizini uređaja na kojem se potvrđuje pristup.
Izazov je, naravno, mehanizam oporavka u slučaju gubitka mobilnog uređaja', istaknuo je Delić.
Morić očekuje da će primjena standarda biti brzo prihvaćena. Ponajviše će to ovisiti o brzini programske podrške u različitim aplikativnim rješenjima i operacijskim sustavima.
Delić smatra da je teško očekivati uspostavu isključivo jednog široko primjenjivog standarda, ponajprije zbog navika korisnika.
'Dakako da je želja odmaknuti se od korištenja lozinki. No trendovi će se potencijalno u budućnosti još mijenjati i dugotrajna je široka implementacija jednog mehanizma ili načina rada.
Naprimjer, razmatranje korištenja mobitela (prvo putem SMS-a, a zatim i aplikacija za autentikaciju) nije bilo opcija do masovnog korištenja mobitela', istaknuo je Delić.
Nema do višestupanjske zaštite
Postoje li bolja rješenja kad je riječ o računalnoj sigurnosti? Morić je uvjeren da je višestupanjska provjera trenutno najbolji oblik zaštite.
'Uporabom višefaktorske autentifikacije podižemo razinu sigurnosti u situacijama u kojima prevarom napadaču damo nešto što znamo (zaporku), a on može iskoristiti to da se prijavi u računalni sustav.
Smatram da je uporaba višefaktorske autentifikacije smjer u kojem idemo. FIDO vidim kao jedan od faktora koji će u kombinaciji s tradicionalnom metodom korištenja korisničkog imena i zaporke podići razinu sigurnosti', prognozirao je Morić.
Delić smatra da rješenja ovise o navikama korisnika i balansu sigurnosti. 'Stoga mi je teško reći je li neko konkretno rješenje objektivno bolje ili lošije.
Pristup kakav koristi FIDO Alliance dobar je jer uzima u obzir različite opcije na stručnoj razini. U njihovom slučaju u posljednjih 10 godina', zaključio je Delić.