Hasło nie umiera
W zeszłym roku w internecie krążyły artykuły donoszące o tym, że duże firmy technologiczne łączą siły, aby wyeliminować hasła. Niektóre start-upy nawet ogłosiły, że hasła są przestarzałe i anachroniczne.
Founder
Wprowadzenie
W zeszłym roku w internecie krążyły artykuły donoszące o tym, że duże firmy technologiczne, takie jak Apple, Google i Microsoft, łączą siły, aby wyeliminować hasła. Niektóre start-upy nawet ogłosiły, że hasła są przestarzałe i anachroniczne. Po kilkumiesięcznym zagłębianiu się w obszar zarządzania tożsamością zacząłem kwestionować zasadność i praktyczność tych twierdzeń.
Co robi hasło?
Na pierwszy rzut oka odpowiedź wydaje się oczywista: hasła są używane do logowania i weryfikacji tożsamości. Jednak jeśli weźmiemy pod uwagę fakt, że hasła nie mogą naprawdę zweryfikować, kim jesteś, moje stanowisko jest inne:
- Gdy użytkownik loguje się do strony za pomocą e-maila i hasła, strona nie ma sposobu, aby potwierdzić, kto jest za tymi danymi. Mogłoby to być człowiek, a nawet kot.
- Każdy może odblokować iPhone'a, jeśli ma właściwy PIN.
W rzeczywistości głównym celem hasła jest anonimowe udowodnienie posiadania czegoś: konta użytkownika, urządzenia lub dostępu do drzwi.
Aktualne „zabójcy haseł”
Wcześniej wspomniane firmy zaproponowały różne "zabójcy haseł". Wiele z nich twierdzi, że są bezpieczniejszymi alternatywami, które eliminują konieczność zapamiętywania przez użytkowników skomplikowanych, statycznych haseł podczas uwierzytelniania. Jednak większość z tych alternatyw nie jest w pełni praktyczna do całkowitego usunięcia haseł.
Uwierzytelnianie FIDO
Uwierzytelnianie FIDO (Fast Identity Online), jak wyjaśniono w oficjalnej dokumentacji, wykorzystuje techniki kryptografii klucza publicznego do rejestracji i logowania (warto zauważyć, że WebAuthn jest kluczowym elementem specyfikacji FIDO2). Na powierzchni proces wydaje się atrakcyjny:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M231.625%2c35L235.792%2c35C239.958%2c35%2c248.292%2c35%2c255.958%2c35C263.625%2c35%2c270.625%2c35%2c274.125%2c35L277.625%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M532.828%2c35L536.995%2c35C541.161%2c35%2c549.495%2c35%2c557.161%2c35C564.828%2c35%2c571.828%2c35%2c575.328%2c35L578.828%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M823.344%2c35L827.51%2c35C831.677%2c35%2c840.01%2c35%2c847.677%2c35C855.344%2c35%2c862.344%2c35%2c865.844%2c35L869.344%2c35'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(119.8125%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='223.625' y='-27' x='-111.8125' style='' class='basic label-container'/%3e%3cg transform='translate(-81.8125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='163.625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eZaczyna si%c4%99 rejestracja%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(407.2265625%2c 35)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='251.203125' y='-27' x='-125.6015625' style='' class='basic label-container'/%3e%3cg transform='translate(-95.6015625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='191.203125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eZatwierdzenie u%c5%bcytkownika%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(703.0859375%2c 35)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='240.515625' y='-27' x='-120.2578125' style='' class='basic label-container'/%3e%3cg transform='translate(-90.2578125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='180.515625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eTworzony jest nowy klucz%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(948.703125%2c 35)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='150.71875' y='-27' x='-75.359375' style='' class='basic label-container'/%3e%3cg transform='translate(-45.359375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='90.71875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eZako%c5%84czenie%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Proste, prawda? Niestety, na drodze stoi znaczna przeszkoda: kompatybilność. W porównaniu do tradycyjnej kombinacji "identyfikator i hasło", uwierzytelnianie FIDO wymaga:
- Stron lub aplikacji obsługujących FIDO.
- Przeglądarki i/lub systemy operacyjne obsługujące FIDO.
- Urządzenia użytkowników mające przyjazny mechanizm weryfikacji.
Niespełnienie któregokolwiek z tych wymagań sprawia, że uwierzytelnianie FIDO jest niedostępne, co wymusza korzystanie z innych metod.
Co więcej, nawet jeśli spełnione są wszystkie warunki, co kwalifikuje się jako "przyjazny dla użytkownika mechanizm weryfikacji" na urządzeniu? Obecnie może to obejmować metody biometryczne, takie jak odcisk palca lub rozpoznawanie twarzy, z opcją zapasową, taką jak kod PIN, czyli hasło. W końcu wracamy do punktu wyjścia.
Technicznie rzecz biorąc, to nie jest "zabójca haseł", ale raczej bardziej bezpieczny i przyjazny dla użytkownika proces uwierzytelniania lub weryfikacji, chroniony hasłami.
Jednorazowe hasła
Chociaż nazwa zawiera termin „hasło”, jednorazowe hasła (OTP) nie są tradycyjnymi hasłami, ponieważ są dynamiczne. Istnieją dwa popularne typy jednorazowych haseł:
- Hasło jednorazowe oparte na czasie (TOTP): Generowane algorytmicznie przy użyciu aktualnego czasu jako źródła unikalności. Powszechnie stosowany w uwierzytelnianiu wieloskładnikowym (MFA) lub 2FA.
- Jednorazowe hasło SMS/Email: Generowane na serwerze przy użyciu algorytmów losowych. W niektórych krajach zostało powszechnie przyjęte jako główna metoda logowania.
TOTP może nie być szeroko znane z nazwy. Na przykład, gdy strona internetowa prosi cię o skonfigurowanie MFA i użycie aplikacji takiej jak Google Authenticator lub Duo do zeskanowania kodu QR, najprawdopodobniej korzystasz z TOTP. Mogłeś również zauważyć, że witryna często wyświetla długi "kod odzyskiwania" i radzi ci go zapisać, ponieważ będzie pokazywany tylko raz. Niektóre strony nawet zachęcają użytkowników do wydrukowania go na papierze. W istocie ten kod odzyskiwania działa jak długie hasło.
Jeśli chodzi o hasła jednorazowe SMS/Email, mogą być drogie i niewiarygodne:
- Budowanie wysyłającego SMS lub e-mail od podstaw wymaga konfiguracji.
- Wysyłający e-maile muszą ustanowić pozytywną "reputację", aby poprawić możliwość dostarczenia, w przeciwnym razie wysyłający może zostać oznaczony jako spam.
- Każdy kraj ma swoje własne operatory sieci komórkowych, co prowadzi do nieprzewidywalnych czasów dostawy i znacznych kosztów wysyłania SMS, szczególnie dla start-upów.
Biometria
Termin "biometria" odnosi się do stosowania wyłącznie metod biometrycznych do uwierzytelniania online. W rzeczywistości jest fundamentalna różnica w porównaniu do innych metod: uwierzytelnianie biometryczne przesuwa oryginalne zadanie "udowodnienia posiadania czegoś" na "udowodnienie, kim jesteś". Ze względu na obawy o prywatność, metody biometryczne są głównie stosowane do lokalnego uwierzytelniania.
Hasło nie jest jednak doskonałe
Jak możemy zobaczyć, "zabójcy haseł" w zasadzie ukrywają hasła lub używają haseł jako opcji zapasowych. Oto podsumowanie zalet haseł na podstawie naszej dyskusji:
- Dostępność i kompatybilność: Hasła mogą być używane w różnych systemach i są dostępne dla szerokiego zakresu użytkowników.
- Efektywność kosztowa i wszechstronność: Uwierzytelnianie oparte na hasłach jest zazwyczaj bardziej efektywne kosztowo niż inne metody i dostosowuje się do różnych scenariuszy.
- Anonimowość i prywatność: Hasła umożliwiają anonimowe korzystanie i chronią prywatność użytkownika.
Ale każdy medal ma dwie strony. Chociaż hasła mają swoje zalety, poleganie wyłącznie na nich podczas uwierzytelniania stanowi znaczne zagrożenie. Mogą być trudne do zarządzania dla użytkowników końcowych, a jeśli właściciele stron internetowych nie przestrzegają właściwych praktyk bezpieczeństwa, hasła stają się łatwe do złamania. Niebezpieczne praktyki bezpieczeństwa obejmują, ale nie ograniczają się do:
- Pozwolenie na słabe lub wyciekłe hasła.
- Brak wymuszania HTTPS dla połączeń.
- Stosowanie niebezpiecznych algorytmów haszujących.
- Niedotrzymanie się ścisłych, sprawdzonych w boju standardów, takich jak OAuth lub OpenID Connect (OIDC).
- Ujawnianie bazy danych publicznie.
Wnioski
Nie mam zamiaru umniejszać żadnej z wyżej wymienionych metod uwierzytelniania. Wręcz przeciwnie, pracując nad budową Logto, zyskałem wielki szacunek dla tych niezwykłych metod uwierzytelniania i osób za nimi stojących.
Jednak osiągnięcie 100% bezpieczeństwa jest celem nieosiągalnym. Co możemy zrobić, to zmniejszyć możliwość ataku. Jednym z efektywnych podejść jest połączenie uwierzytelniania opartego na hasłach z jednorazowymi hasłami w oparciu o obecne urządzenie lub środowisko, co dodaje dodatkową warstwę weryfikacji i zostało powszechnie przyjęte. Wykorzystując moc różnych technik uwierzytelniania, możemy stworzyć wielowarstwowe podejście, które zapewnia silniejszą ochronę.
Podsumowując, zamiast skupiać się na modne terminy, jak "zabójca haseł", kiedy hasła nie są naprawdę eliminowane, bardziej warto skupić się na znalezieniu równowagi między bezpieczeństwem a doświadczeniem użytkownika. Oznacza to zrozumienie mocnych i słabych stron różnych metod uwierzytelniania i ich wdrożenie w taki sposób, który zapewnia zarówno bezpieczeństwo danych użytkownika, jak i bezproblemowe doświadczenie użytkownika.