DOLAZI NOVO VRIJEME

BLIŽI SE KRAJ MEHANIZMA KOJI NAS JE DESETLJEĆIMA ŠTITIO, ALI I ŽIVCIRAO 'Password odlazi u povijest, evo kako ćemo ubuduće otključavati račune!'

 Getty Images/Ingram Publishing
 

U iduća dvadeset i četiri mjeseca, lozinke nestaju. Potpuno će napustiti svijet - izjavio je Frank Abagnale, najpoznatiji prevarant na svijetu, krajem studenog prošle godine u svom predavanju o privatnosti i sigurnosti na internetu u sklopu edukativnog programa Talks at Google. Nekadašnji kradljivac identiteta specijaliziran za krivotvorenje čekova, čija je holivudska životna priča ispričana u filmu nominiranom za Oscara “Ulovi me ako možeš” (Abagnalea je utjelovio Leonardo DiCaprio), danas je jedan od vodećih stručnjaka za cyber sigurnost i sprečavanje prevara. Kao jedan od najvećih živućih specijalista za zaobilaženje pravila, već godinama upozorava na manjkavosti klasičnog koncepta lozinke, danas već vrlo staromodnog načina dokazivanja identiteta.

Upravo zato, posljednjih je nekoliko godina, u suradnji s američkom CIA-om, proveo razvijajući tehnologiju Truesona (izvedeno od “true persona”, odnosno “prava osoba” op.a.) koja omogućuje, kako kaže Abagnale, sto posto sigurnu provjeru identiteta putem mobilnih uređaja. U Truesonu je deset milijuna dolara uložio i Microsoft te početkom veljače najavio revolucionarnu promjenu u funkcioniranju svog operativnog sustava - nova verzija Windowsa (Windows 10 S) bit će lišena lozinke. Ipak, put do izumiranja najvećeg prokletstva digitalnog doba još je dug, a izgledno je da će situacija za korisnike, prije nego što se poboljša, s vremenom postajati sve kompliciranija.

Koncept lozinke postoji otkako je svijeta i vijeka, a u zapadnoj se kulturi prvi put spominje još u Starom zavjetu, to jest Knjizi o sucima, kada su Efrajimovci u bitci kod Jordana, upravo zahvaljujući lozinki, potukli Gileađane - poginulo je, kaže Biblija, 42 tisuće ljudi iz Efrajimova plemena. Kako bi raspoznali svoje od neprijatelja, Gileađani su svakoga tko bi htio prijeći jordanske gazove tražili da izgovori “Šibolet”, a kako je Efrajimovcma izgovaranje slova “š” bilo izazov pa je iz njihovih usta izlazilo “Sibolet”, Gileađani su vrlo lako mogli razlučiti po kome bi, je li, valjalo udarati. I Ali Baba je zahvaljujući lozinki “Sezame, otvori se” došao do zlata i dragulja, a šiframa su se - što vizualnim što auditivnim - kroz povijest služila i mnoga tajna (i nešto manje tajna) društva, špijuni i svi ostali koji su određene informacije na jednostavan način željeli zaštititi od neželjenih pogleda.

Prva prava lozinka

Baš kao i sve prije nje, i prva je moderna lozinka nastala radi praktičnosti. Naime, prvi “pravi” password kreirao je početkom 60-ih Fernando Corbató, američki kompjuteraš s MIT-a. Kako bi osigurao da svaki znanstvenik koji se koristio CTSS-om (Compatible Time-Sharing System), velikim računalnim sistemom zamišljenim da ga koristi više različitih ljudi, može pristupiti svojim i samo svojim podacima, svakom je korisniku pridružio jedinstvenu lozinku. Tako je nastao i koncept “usera” koji se zadržao sve do danas. Međutim, ni godinu dana od uspostave tog revolucionarnog mehanizma identifikacije, dogodio se prvi proboj sustava za koji se do tada vjerovalo da je bez mane.

Lista imena

Kako se tim računalom koristilo mnogo ljudi, vrijeme koje je svakom od korisnika bilo na raspolaganju bilo je prilično ograničeno, što je posebno smetalo doktorandu Allanu Scherru, mladom istraživaču koji je odlučio “zaobići” pravila fakulteta. Kako bi ukrao još malo vremena za sebe, jer broj sati koji mu je dodijeljen po rasporedu nije bio ni približno dovoljan kako bi svoje istraživanje dovršio na vrijeme, iskoristio je jednu od funkcija CTSS-a - printanje podataka na zahtjev, i računalo zatražio da mu ispiše korisnička imena i lozinke svih njegovih kolega. Idući dan u računalnom laboratoriju dočekala ga je lista uredno ispisanih imena i lozinki, a kako bi skrenuo pozornost sa sebe, listu je podijelio i s nekolicinom kolega. Prvi haker na svijetu, danas 77-godišnji Scherr, 1965. uspješno je doktorirao, a svoj je “zločin” priznao tek 25 godina kasnije.

Iako je ukrasti nečiju lozinku danas puno kompliciranije nego nekad, nije nemoguće. Štoviše, mnogo je jednostavnije nego što mislimo, a glavni krivci za to upravo su sami korisnici. Naime, učinkovitost lozinke počiva na ideji da se radi o jedinstvenom kodu, poznatom samo određenoj osobi, uz pomoć kojeg korisnik onda dobiva pristup određenim podacima, primjerice svom mailu. No ako uzmemo u obzir činjenicu da čak 90 posto svih online accounta koristi jednu od 10 tisuća najpopularnijih lozinki na svijetu, cijeli koncept zaštite “jedinstvenim kodom” pada u vodu. Isto tako, i unatoč tome što je već godinama poznato da je za 80 posto svih zlonamjernih proboja u tuđi račun kriva upravo blesava lozinka, vlasnici mail adresa, bankovnih računa i pristupnih podataka za kojekakve bitne i manje bitne baze podataka i dalje koriste najnemaštovitije lozinke na svijetu. Već dugi niz godina “123456” drži prvo mjesto po popularnosti u svijetu, a slijede je “123456789” i “qwerty” (prvih šest slovnih znakova na angloameričkoj tipkovnici), “111111”, “password”...

Glavni razlog iz kojeg ljudi svoje podatke “štite” ovakvim jednostavnim lozinkama jest upravo njihova jednostavnost - “123456” mnogo je jednostavnije zapamtiti (ali i napisati na, primjerice, pametnom telefonu) od “G8#hjaT”, osobito kada se ne radi o samo jednom računu. Prosječni internetski korisnik, naime, danas na jednu mail adresu ima vezana čak 92 druga računa, a ta se brojka svakih pet godina udvostručuje. Svaki račun, naravno, podrazumijeva i novu lozinku, a u skladu s tim, sve je više zaboravljenih pristupnih šifri pa je tako u inboxu prosječnog građanina svijeta moguće pronaći čak 37 zahtjeva za resetiranjem lozinke.

Naravno, postoje i oni “mudriji”, koji su problemu odlučili doskočiti na pametniji način. Oni, pak, za sve svoje potrebe koriste istu lozinku, što je vjerojatno najmanje pametna stvar koju je moguće učiniti za sigurnost svojih podataka na internetu: ako je hakirana samo jedna od brojnih stranica u koju ste se ulogirali, zlonamjernici dobivaju pristup svakom od vaših računa. Iako djeluje samo po sebi jasno, greška je to koju su učinili i neki od najbistrijih među nama.

Tako je, primjerice, provaljeno i u račune tehnološkog gurua i osnivača Facebooka Marka Zuckerberga. U sigurnosnom proboju u LinkedInovu bazu podataka iz 2012., u javnost su procurili pristupni podaci više od 160 milijuna korisnika najveće poslovne društvene mreže na svijetu, a među njima i Zuckerbergovi. Šaljivi hakeri njegove su pristupne podatke, odnosno mail adresu i lozinku, odlučili iskušati i na drugim društvenim mrežama te tako provalili u Zuckerbergov Twitter profil (kada već govorimo o neučinkovitim i lako provaljivim lozinkama, Zuckerbergova je glasila “dadada”) na kojem su mu ostavili poruku: “Hej, imamo pristup tvom Twitteru, Instagramu i Pinterestu, samo testiramo sigurnost sustava, javi nam se u privatnoj poruci!”

Tehnološki magovi

Svjesni toga da se logikom oca Facebooka vodi cijeli niz ljudi i da su zaista rijetki oni koji uspijevaju popamtiti cijeli niz različitih i kompleksnih šifri, a još rjeđi oni koji, primjerice, u te svrhe koriste programe za menadžment lozinki, tehnološki magovi iz Googlea dosjetili su se koncepta jednokratne autentifikacije - ulogiran si u svoj Gmail i uz pomoć njega pristupaš svakom drugom računu vezanom na tu istu mail adresu, a danas je to isto moguće učiniti i uz pomoć Facebook profila.

Ipak, ideja istrebljenja lozinke nije usmjerena na zaštitu pojedinca, nego velikih tvrtki, pa tako i država: iako je zaista strašno kada, zahvaljujući neopreznosti jednog i nečasnim namjerama drugog, obnažene fotografije pojedinca završe u bespućima interneta, mnogo je veći problem kada se to isto dogodi s, primjerice, matičnim brojevima građana, njihovim OIB-ima, brojevima kartica, medicinskim podacima… U slučaju gubitka takvih podataka troškovi su - što direktni što indirektni - enormni. Međutim, gubitak podataka nije jedini način kako, zahvaljujući lozinkama, novac curi. Primjerice, Bank of America mjesečno troši nevjerojatnih šest milijuna dolara na troškove call centra za promjenu pristupnih podataka svojih klijenata - to su 72 milijuna dolara godišnje potrošena samo na izmjene lozinki.

Unatoč Abagnaleovu samouvjerenom nastupu, drugi stručnjaci ne dijele njegovo mišljenje. Slažu se, doduše, da će klasični koncept lozinke u jednom trenutku nestati, no dvije su godine prilično ambiciozna procjena, složna je većina. Dok se to ne dogodi, lozinke ćemo, ako želimo zaštititi svoje podatke, morati mijenjati češće i osmišljavati sve kompleksnije (i teže pamtljive) kodove, a to ćemo, možda, vrlo uskoro činiti uz pomoć emotikona. Naime, iza svake flamenco plesačice, uplakanog smajlića ili sunca stoji niz znakova, što znači da računalo zapravo ne pamti niz sličica, nego kompleksnih kodova. Uz to, emotikona je mnogo više nego znakova na tipkovnici, što povećava i broj mogućih kombinacija.

Otisak prsta

Ipak, izgledno je da će se metode autentifikacije razvijati u biometrijskom smjeru. Naposljetku, velik broj pametnih telefona već koristi otisak prsta za otključavanje uređaja, a s obzirom na to da i većina računala danas ima ugrađenu kameru, nije neoprezno pretpostaviti da bi se uređaji uskoro mogli otključavati i skeniranjem šarenice, također jedinstvene za svakog čovjeka. I svako srce kuca na jedinstven način, pa je tako tvrtka Nymi razvila narukvicu koja prati otkucaje srca te tako potvrđuje identitet nositelja. Jedinstven je i uzorak vena na šaci, u čemu je priliku ugledao Samsung te još 2015. patentirao pametni sat koji mapira vene i tako identificira korisnika. Google, pak, radi na tehnologiji koja će, uz pomoć kamere, mjeriti dimenzije određenih dijelova tijela te odnose među njima, a kao metode identifikacije uskoro bi se mogli koristiti i selfiji, način kako se miču usne dok govorimo, ton i boja glasa…

Možda najbizarnija, ujedno i zastrašujuća metoda identifikacije, koju je još 2013. predložila Motorola, pilule su u kojima se nalaze minijaturni uređaji koji se napajaju uz pomoć želučane kiseline: progutamo tableticu i počinjemo odašiljati za nas jedinstven signal koji onda, na određenoj udaljenosti, može prepoznati naše računalo, mobitel ili štogod drugo. Vjerojatno je važnije da će nas tako moći prepoznati i netko drugi, pod uvjetom da posjeduje čitač signala. Možda se više nećemo moći sakriti od konduktera, policije, porezne niti pobjeći iz kafića bez plaćanja računa, no ako ništa drugo, barem nam nitko neće moći ukrasti identitet. Ili će se za to morati svojski potruditi.

Želite li dopuniti temu ili prijaviti pogrešku u tekstu?
Linker
23. studeni 2024 18:19