Το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) καλεί τους πολίτες να αρχίσουν να εγκαταλείπουν τους παραδοσιακούς κωδικούς πρόσβασης και να επιλέγουν passkeys, μια νέα μέθοδο σύνδεσης που θεωρείται ασφαλέστερη απέναντι στις σύγχρονες ψηφιακές απειλές.
Η βρετανική υπηρεσία ανακοίνωσε ότι δεν θα συνιστά πλέον τη χρήση passwords όπου υπάρχει διαθέσιμη επιλογή passkey, υποστηρίζοντας ότι οι κωδικοί δεν επαρκούν πλέον για την προστασία χρηστών και λογαριασμών.
Τα passkeys αποτελούν τρόπο σύνδεσης χωρίς κωδικό. Πρόκειται ουσιαστικά για ένα μοναδικό ψηφιακό διαπιστευτήριο που αποθηκεύεται στη συσκευή του χρήστη και επιβεβαιώνει την ταυτότητά του όταν επιχειρεί να συνδεθεί σε εφαρμογή ή ιστοσελίδα.
Στην πράξη, ο χρήστης δεν χρειάζεται να θυμάται password. Η είσοδος γίνεται μέσω της συσκευής του, χρησιμοποιώντας αναγνώριση προσώπου, δακτυλικό αποτύπωμα ή το PIN του κινητού τηλεφώνου. Μόλις ολοκληρωθεί η επιβεβαίωση, η συσκευή αποστέλλει το απαραίτητο ψηφιακό «κλειδί» στην υπηρεσία και ολοκληρώνεται η σύνδεση.
Ένα από τα βασικά πλεονεκτήματα της τεχνολογίας είναι ότι τα passkeys δεν μπορούν να υποκλαπούν εύκολα μέσω phishing, δηλαδή μέσω ψεύτικων email ή ιστοσελίδων που προσπαθούν να αποσπάσουν στοιχεία πρόσβασης από τον χρήστη.
Ακόμη και αν μια υπηρεσία παραβιαστεί, οι εισβολείς δεν αποκτούν άμεσα το απαραίτητο ιδιωτικό κλειδί που βρίσκεται αποθηκευμένο στη συσκευή του χρήστη.
Η μέθοδος υποστηρίζεται ήδη από μεγάλες τεχνολογικές εταιρείες, ενώ η Google αναφέρει ότι περισσότεροι από τους μισούς χρήστες των υπηρεσιών της στο Ηνωμένο Βασίλειο έχουν ήδη ενεργοποιήσει passkey.
Γιατί θεωρούνται ασφαλέστερα
Οι ειδικοί στην κυβερνοασφάλεια εκτιμούν ότι τα passkeys αντιμετωπίζουν ένα από τα μεγαλύτερα προβλήματα του διαδικτύου: την αδυναμία των παραδοσιακών κωδικών πρόσβασης.
Τα passwords μπορούν να κλαπούν μέσω phishing, να διαρρεύσουν έπειτα από παραβίαση δεδομένων ή να χρησιμοποιούνται ξανά σε πολλούς λογαριασμούς, κάτι που αυξάνει σημαντικά τον κίνδυνο υποκλοπής.
Πέρυσι, ερευνητές του Cybernews ανέφεραν ότι εντόπισαν δισεκατομμύρια στοιχεία σύνδεσης σε διαδικτυακά αρχεία που περιλάμβαναν διευθύνσεις ιστοσελίδων, ονόματα χρηστών και κωδικούς. Αν και ορισμένοι ειδικοί αμφισβήτησαν την πρωτοτυπία των δεδομένων, σημείωσαν ότι το εύρημα ανέδειξε ξανά την ανάγκη για ισχυρότερη προστασία λογαριασμών.
Ο Ντέιβ Τσίσμον, ανώτερος τεχνικός σύμβουλος του NCSC, δήλωσε ότι οι κωδικοί πρόσβασης δεν υπήρξαν ποτέ ιδανική λύση.
«Συνεχίζουμε να προσθέτουμε επίπεδα ασφαλείας για να γίνουν πιο ασφαλείς, όμως εξακολουθούν να μπορούν να υποκλαπούν μέσω phishing και ταυτόχρονα δυσκολεύουν τους χρήστες», ανέφερε.
Όπως είπε, τα passkeys μπορεί να βασίζονται σε σύνθετη τεχνολογία, όμως για τον πολίτη είναι απλούστερα και ταχύτερα από το να θυμάται κωδικούς ή να χρησιμοποιεί επιπλέον βήματα επιβεβαίωσης, όπως ο έλεγχος δύο παραγόντων (two-factor authentication).
Πώς ενεργοποιούνται
Οι χρήστες μπορούν να αναζητήσουν τη σχετική επιλογή στις ρυθμίσεις ασφαλείας ή απορρήτου των λογαριασμών τους σε εφαρμογές και ιστοσελίδες. Πολλές υπηρεσίες εμφανίζουν ήδη ειδοποιήσεις που προτρέπουν σε μετάβαση σε passkeys.
Η επιλογή μπορεί επίσης να εμφανιστεί κατά τη δημιουργία νέου λογαριασμού, ιδιαίτερα σε υπηρεσίες μεγάλων τεχνολογικών εταιρειών που έχουν ήδη ενσωματώσει τη νέα μέθοδο σύνδεσης.
Είναι ασφαλής η αναγνώριση προσώπου;
Η χρήση βιομετρικών στοιχείων, όπως η αναγνώριση προσώπου ή το δακτυλικό αποτύπωμα, προκαλεί συχνά επιφυλάξεις. Ωστόσο, ειδικοί σημειώνουν ότι η παραβίαση αυτών των μηχανισμών είναι σήμερα ιδιαίτερα δύσκολη.
Ο καθηγητής Κυβερνοασφάλειας του Πανεπιστημίου του Surrey, Άλαν Γούντγουορντ, ανέφερε ότι η τεχνολογία αναγνώρισης προσώπου έχει βελτιωθεί σημαντικά τα τελευταία χρόνια.
Όπως εξήγησε, δεν έχουν εξελιχθεί μόνο οι αλγόριθμοι αναγνώρισης, αλλά και οι ίδιες οι συσκευές, οι οποίες διαθέτουν πλέον λειτουργίες «απόδειξης ζωής» (proof of liveness), ώστε να αποτρέπεται η χρήση φωτογραφιών ή βίντεο για την εξαπάτηση του συστήματος.
Παρά ταύτα, υπάρχει ένας πιο απλός κίνδυνος: κάποιος που γνωρίζει το PIN του κινητού τηλεφώνου, όπως μέλος της οικογένειας ή σύντροφος, ενδέχεται να αποκτήσει πρόσβαση στη συσκευή και κατ’ επέκταση στους λογαριασμούς του χρήστη.
Οι ειδικοί συνιστούν το PIN να παραμένει αυστηρά προσωπικό και να μην κοινοποιείται, ακόμη και σε κοντινά πρόσωπα.
Τι άλλο πρέπει να προσέχουν οι χρήστες
Σύμφωνα με το NCSC, πολλές επιθέσεις δεν οφείλονται σε πολύπλοκες τεχνικές παραβίασης, αλλά σε βασικά λάθη των ίδιων των χρηστών.
Οι συστάσεις περιλαμβάνουν τη χρήση passkeys όπου είναι διαθέσιμα ή, εναλλακτικά, ισχυρών κωδικών μαζί με έλεγχο δύο παραγόντων. Ιδιαίτερη σημασία δίνεται στον λογαριασμό email, καθώς συχνά αποτελεί την πύλη επαναφοράς πρόσβασης σε άλλες υπηρεσίες.
Παράλληλα, προτείνεται η χρήση password manager για τη δημιουργία και ασφαλή αποθήκευση διαφορετικών κωδικών, καθώς και οι τακτικές ενημερώσεις λογισμικού σε κινητά, υπολογιστές και εφαρμογές.
Οι χρήστες καλούνται επίσης να είναι ιδιαίτερα προσεκτικοί με ύποπτα email, συνδέσμους και συνημμένα αρχεία, που παραμένουν από τις πιο συνηθισμένες μεθόδους ηλεκτρονικής απάτης.
Με πληροφορίες από Guardian
