Kdo še potrebuje gesla?

Nedavni odmevni primeri vdorov v šifrirana omrežja – Playstation Network, Gawker, LinkedIN in AOL – so nazorno pokazali, da uporabniško generirana gesla niso več dovolj dober varuh osebnih podatkov. Ker je v spomin marsikomu težko spraviti več deset gesel, zapisovanje teh pa je po mnenju mnogih nepotrebno, za različne spletne storitve in portale uporabljajo enake kombinacije znakov – povprečen uporabnik se z istim geslom namreč prijavlja v 3,9 omrežja.

S tovrstnim početjem seveda posredno asfaltiramo avtocesto kiberkriminalcem, ki se tako precej lažje dokopljejo do dragocenih gesel za bančne storitve in e-pošto, še večjo odgovornost pa pravzaprav nosijo kar manj zavedne spletne organizacije, ki vsa uporabniška imena in gesla v šifrirani obliki praviloma shranjujejo v eno samo bazo podatkov, "master file". Hekerjem informacije o uporabnikih tako, če se ti seveda zmorejo na tak ali drugačen način dokopati do relevantnih datotek, pravzaprav ponudijo na pladnju. Po podatkih podjetij, ki se ukvarjajo z analizo spletnega prometa in varnosti, naj bi bilo zaradi preslabo kreiranih oziroma premalo zavarovanih gesel ranljivih kar 90 odstotkov uporabnikov interneta.

Bodi dovolj! Tako so po mizi udarili v Silicijevi dolini in sklenili pakt FIDO (Fast Identity Online), ki gesla vidi kot anomalijo in se zavzema za čimprejšnjo implementacijo ene od možnih alternativ. Predsednik FIDA Michael Barrett, sicer prvi mož varnosti pri PayPalu, pravi, da bo geslom počasi odklenkalo in da je zaradi njih pod vprašajem dobrobit celotnega internetnega ekosistema. "Ljudje bi najprej izgubili zaupanje v spletno trgovanje, kar bi zagotovo pustilo globalne gospodarske posledice," z glavo zmajuje Barrett.

Rešitev? FIDO ne predlaga le ene, temveč želi ustvariti enotno infrastrukturo, ki bi podjetjem omogočila različne pristope k preverjanju pristnosti identitete uporabnikov. V poštev bi tako prišli prepoznava obraza, oči, prstnih odtisov in glasovna verifikacija, a biometrika še zdaleč ni edina rešitev – Barrett pravi, da bi se lahko oprli tudi na kombinacijo gesla in personalizirane periferne enote, kot je USB-ključ. Tretja oseba do uporabniškega računa tako ne bi mogla dostopati le z geslom, temveč bi za to potrebovala tudi fizični vmesnik.

"Za miselni preskok in odmik od tradicionalnosti gesel bodo potrebna leta, tehnologija pa je na voljo že zdaj," še opozarja Barret. "Potrošniki potrebujejo – potrebujete – zadevo, ki je zelo varna in obenem preprosta za uporabo. Gesla niso ne eno ne drugo."