Niedługo po udanym obejściu zabezpieczeń biometrycznych iPhone'a X to samo przytrafiło się Windows Hello. Choć udowodniono, że systemy rozpoznawania twarzy można w pewnych warunkach oszukać, ich producenci przekonują, że to właśnie one są bezpieczniejszymi następcami haseł tekstowych. Temat ten został na nowo podniesiony przez Microsoft, którego zdaniem tradycyjne hasła uległy dewaluacji i powinny odejść do lamusa, a najlepszym hasłem jest sam użytkownik. Ile w tym prawdy i na jakie zagrożenia wystawione są poszczególne sposoby uwierzytelniania? O tym poniżej.
"Nadszedł czas, by zabić hasła!" - twierdzi Suzanne Choney z Microsoft. "Ten relikt z wczesnych lat komputeryzacji już dawno przeżył swoją użyteczność i możliwość trzymania przestępców na dystans. Ponad dwie trzecie ludzi używa tego samego, zwykle niezbyt silnego hasła w dziesiątkach różnych kont. Słabe hasło i kradzież tożsamości to przyczyna numer jeden, jeśli chodzi o utratę danych. W samym tylko ubiegłym roku 81% znacznych wycieków danych zaczęło się od przejęcia tożsamości jednej osoby". Kradzione hasła są również chodliwym towarem w darknecie, a kilkunastoletnie standardy bezpieczeństwa dla haseł tekstowych przyprawiają użytkowników o zawroty głowy. Z tych (i paru innych) powodów Microsoft uważa, że hasła należy wyeliminować. Pierwszym krokiem w tym kierunku było stworzenie Windows Hello, który jako natywna funkcja Windows 10 współpracuje z czujnikami biometrycznymi urządzeń, by dokonywać uwierzytelnienia użytkownika za pomocą wizerunku jego twarzy lub odcisku palca. Innym sposobem na odejście od haseł tekstowych jest używanie aplikacji Microsoft Authenticator na Androida i iOS, która pozwala logować się na konto Microsoft z użyciem kodu PIN lub odcisku palca. Podobne rozwiązanie Microsoft zamierza wkrótce udostępniać firmom, by pracownicy mogli przy pomocy telefonu i za pośrednictwem Azure Active Directory oraz Microsoft 365 logować się do aplikacji i wewnętrznych zasobów.
Microsoft podaje, że blisko 70% użytkowników Windows 10 posiadających urządzenia z czujnikami biometrycznymi wybrało Windows Hello zamiast tradycyjnego hasła. "Zachęcamy użytkowników, by spróbowali i przekonali się, że to prostsze, niż używanie haseł. Myślę, że jedną z największych obaw związanych z nowymi technologiami jest przeświadczenie, że będą one bardziej skomplikowane, i brak wiedzy, że uczyniliśmy je łatwiejszymi i lepszymi" - tłumaczy Rob Lefferts zarządzający programem Windows Enterprise and Security. Microsoft nie jest jedynym propagatorem biometrycznego uwierzytelniania. Jego podejście jest też udziałem ok. 250 branżowych gigantów, jak Intel, Google, Samsung, Qualcomm, Visa, PayPal, eBay, Bank of America, MasterCard, American Express czy Verizon, którzy współtworzą FIDO Alliance (Fast IDentity Online). Jest to konsorcjum non-profit, rozwijające otwarty standard prostszego i silniejszego uwierzytelniania. Specyfikacje i certyfikacje FIDO stanowią podstawę dla szerokiego ekosystemu uwierzytelnień mobilnych, sprzętowych i biometrycznych, których można używać w aplikacjach i usługach webowych. FIDO buduje też specjalny model kryptograficzny, gdzie klucz prywatny pozostaje na urządzeniu osobistym, nie jest przechowywany w Internecie ani żadnej bazie danych. Z aplikacją dzielony jest tylko klucz publiczny. "Używasz tylko kryptograficznego poświadczenia sprzęgniętego z urządzeniem, odblokowanego poprzez odbywające się na urządzeniu biometryczne sprawdzenie. Dokładnie w ten sposób działa system Windows Hello" - mówi Brett McDowell, dyrektor wykonawczy w FIDO Alliance.
Microsoft udostępnił nowe wideo, w którym prezentuje szybkie uwierzytelnianie w systemie i aplikacjach za pomocą wizerunku twarzy lub odcisku palca. Ma to pokazać, jak wygodnym i szybkim zamiennikiem tradycyjnych haseł jest biometria. Cóż, w podręcznikowych przykładach użycia takie rozwiązanie zdaje egzamin, ale gdy zaczniemy myśleć o wyjątkach, same czujniki mogą nie wystarczyć. Systemy biometryczne tak samo jak tradycyjne hasła mają swoje wady i zalety, dlatego użytkownik będzie postawiony przed wyborem. Albo stawia na błyskawiczne uwierzytelnianie, ale naraża się na pewne ryzyko, albo wybiera podwyższone bezpieczeństwo i obok czytnika linii papilarnych, dodatkowego urządzenia lub biometrycznej kamery używa drugiego czynnika uwierzytelniania w postaci hasła tekstowego lub kodu PIN. Istnieje jeszcze trzecia, hipotetyczna droga, a mianowicie tak zabezpieczone na wszelkie ewentualności systemy biometryczne, że wyeliminują one potrzebę korzystania z haseł. Być może nawet ta droga okaże się przyszłością. Warto zwrócić tu uwagę na to, że wzrost mocy obliczeniowej komputerów i rodząca się komputeryzacja kwantowa oznaczają szybsze łamanie haseł tekstowych i innych tradycyjnych zabezpieczeń. Z tych względów potrzebne są rozwiązania sprytniejsze od narzędzi do ich łamania. Jak dowodzi choćby FIDO, takie rozwiązania już powstają, ale trudno oczekiwać, by mogły one zabezpieczać kilkuznakowe hasła przed choćby komputerem kwantowym.