01 ივლისი 2022 - 15:04

Apple-ი, Google-ი და Microsoft-ი პაროლების გაუქმებას გეგმავენ. რა ჩაანაცვლებს პერსონალური მონაცემების დაცვის ამ მეთოდს მომავალში?

ფოტო: shutterstock.com

Apple-მა უკვე განაცხადა იმ ახალი ინსტრუმენტის შექმნის შესახებ, რომელიც პაროლებს ჩაანაცვლებს. ამერიკულმა კორპორაციამ წარმოადგინა შეთავაზება, რომელიც პერსონალური მონაცემების დაცვის კლასიკურ მეთოდებზე უარის თქმას გულისხმობს. თუმცა მეორე მხრივ, Apple-ი ემხრობა ისეთ პროგრესულ მეთოდებს, რომლებიც ბიომეტრულ აუთენტიფიკაციასა და მომხმარებლის უშუალო ყოფნასთან არის დაკავშირებული. რაც მთავარია, ამერიკული კორპორაცია მხოლოდ საკუთარი ინიციატივით არ მოქმედებს. შესაბამისად, პერსონალური მონაცემების დაცვის ახალი მეთოდი მხოლოდ Apple-ის სმარტფონებსა და კომპიუტერებს არ შეეხება. სამომალოდ პაროლებზე უარის თქმას Google-ი, Microsoft-ი და სხვა კომპანიებიც ემხრობიან. პაროლების რა ალტერნატივის შექმნას გეგმავენ IT კორპორაციები? რა არის ამ იდეის არსი და სარგებელი? კონკრეტულად რა სახის პრობლემების გადაჭრა შეუძლია მას? 

შესვლა სახის იდენტიფიკაციის მეშვეობით

WWDC-ს დეველოპერთა კონფერენციაზე Apple-მა დააანონსა Passkeys-ი. ის წარმოადგენს ახალ ბიომეტრულ სისტემას, რომლის ხელყოფა ან კომპრომეტირება შეუძლებელია. ტექნოლოგიის მუშაობის პრინციპი ეფუძნება Web Authentication API (WebAuthn) სტანდარტს, რომელიც ღია გასაღების კრიპტოგრაფიას იყენებს. პაროლის შექმნისას, Passkeys-ი წარმოქმნის ორი ტიპის გასაღებს - ღიასა და დახურულს. პირველს სისტემა უზიარებს კონკრეტულ ვებგვერდს ან აპლიკაციას, რომელზედაც მომხმარებელი წვდომის მიღებას ცდილობს (ე.წ. „შემმოწმებელი მხარე“). მეორე გასაღები დაშიფრულია და ინახება უშუალოდ სმარტფონის ან ტაბლეტის მეხსიერებაში, რომელიც ბიომეტრიული მეთოდით შესვლისთვის გამოიყენება. „ჩვენი მიზანია, შევქმნათ მომავალი თაობის მონაცემები, რომლებიც უფრო უსაფრთხოა და გაცილებით მარტივი გამოსაყენებელი იქნება. ეს ყველაფერი მიზნად ისახავს პაროლების სამუდამოდ ჩანაცვლებას“, - განაცხადა დარინ ადლერმა, Apple-ის ვიცე-პრეზიდენტმა ინტერნეტ- ტექნოლოგიების მიმართულებით. 

ვებგვერდის ან აპლიკაციის პროფილში შესვლის კლასიკური ხერხის გამოყენებით, მომხმარებელს შეჰყავს პაროლი და დაუყოვნებლივ იღებს წვდომას მასზე. მრავალდონიანი აუთენტიფიკაციის არსებობისას, მომხმარებელი ასევე იღებს დადასტურების კოდს SMS-ის მეშვეობით, აპლიკაციის შეტყობინებით ან სპეციალური სერვისების საშუალებით. Passkeys-ის შემთხვევაში კი, მომხმარებელს სჭირდება მხოლოდ ვებგვერდზე შესვლა ან მომსახურების აპლიკაციის გახსნა და შემდეგ ავტორიზაციის გავლა საკუთარი სმარტფონის ან სხვა მოწყობილობის გამოყენებით. Apple-ის გაჯეტების შემთხვევაში, მომხმარებელს თითის ანაბეჭდის დაფიქსირება ან სახის სკანირება Touch ID-ის ან Face ID-ის ტექნოლოგიების გამოყენებით შეუძლია. დადასტურების მიღების შემდეგ, მოწყობილობა გზავნის უნიკალურ ციფრულ გასაღებს კომპიუტერში, რომელზეც კონკრეტული სერვისის გვერდი ღიაა და ამის შემდეგ მომხმარებელს უკვე წვდომა ექნება. 

ტექნოლოგია Passkeys-ი Apple-ის საკუთარი გამოგონებაა და ის მხოლოდ ამერიკული კორპორაციის მიერ წარმოებულ სმარტფონებზე, პლანშეტებსა და კომპიუტერებზე იმუშავებს. თუმცა პაროლის გარეშე წვდომის სტანდარტი ხელმისაწვდომი იქნება ყველა მომსახურებისა და მოწყობილობისთვის. მაგალითად, Windows-ზე დაფუძნებული კომპიუტერის გამოყენებით, მომხმარებელს შეუძლია გახსნას პერსონალური პროფილი ვებგვერდზე და შევიდეს სხვადასხვა სისტემაში iPhone-ის საშუალებით - ყველაფერი, რაც თქვენ ამისთვის უნდა გააკეთოთ, ტელეფონზე ბიომეტრული აუთენტიფიკაციის გავლაა. ამ შემთხვევაში, შესვლისთვის განკუთვნილ გვერდზე გამოჩნდება QR კოდი, რომელიც უნდა დასკანირდეს სმარტფონის კამერით, გაიაროს ავტორიზაციის პროცესი და ამ ყველაფრის შემდეგ წვდომაც გექნებათ. 
მყისიერი და უსაფრთხო აუთენტიფიკაციის ერთიან სტანდარტზე მხოლოდ Apple-ი არ მუშაობს. FIDO-სა და კონსორციუმ World Wide Web-ის ალიანსში Google-ი და Microsoft-იც შედიან. ეს იმას ნიშნავს, რომ პაროლების გარეშე მომავალს უმიზნებენ ყველაზე პოპულარული ოპერაციული სისტემების - Windows-ის, Android-ისა და iOS-ის დეველოპერები. ამასთანავე, FIDO-ს ალიანსის წევრები არიან Samsung-ი, Lenovo, American Express-ი, Visa და Mastercard-ი, PayPal-ი, Softbank-ი, Qualcomm-ი, Sony, Huawei, Netflix-ი და სხვები, რომლებიც გაჯეტებს აწარმოებენ, სერვისებსა და ტექნოლოგიებს ქმნიან. ძალიან დიდი ალბათობით, ზემოთ აღწერილი ციფრული მომავალი, რომელიც უსაფრთხო შესვლის სისტემებს გულისხმობს, დადგება უცებ და ყველასთვის. 

მაგალითად, Google-ი უკვე გვთავაზობს Smart Lock-ის აპლიკაციის გამოყენებას iOS-სა და Android-ზე შექმნილ ანგარიშში შესასვლელად. მაისში კორპორაციის ინჟინრებმა განაცხადეს, რომ მათ მიერ დამუშავებული სისტემები ხელს შეუწყობს „ისეთი მომავლის შექმნას, რომელშიც ერთ მშვენირ დღეს პაროლი საერთოდ არ დაგჭირდებათ“. მათმა კოლეგებმა Microsoft-დან დაამუშავეს ბიომეტრული სისტემები - Windows Hello ან Microsoft Authenticator-ი, რომლებიც Windows-ის, Xbox-ისა და Microsoft 365-ის ანგარიშებში შესასვლელად შეიქმნა. ჯერჯერობით ეს ტექნოლოგია მხოლოდ სახის ან თითის ანაბეჭდის ამოცნობის სისტემებით აღჭურვილ მოწყობილობებზე მუშაობს. 

შეუშლის თუ არა ეს ხელს ე.წ. ფიშინგს? 

შესვლის ახალი ფორმატი ნაკლებად სავარაუდოა, რომ 2023 წლამდე იყოს ხელმისაწვდომი. თუმცა Passkeys-ის ტექნოლოგია Apple-ის მოწყობილობებზე ახალი ოპერაციული სისტემების სრულად გამოშვებისთანავე უნდა მუშაობდეს. სავარაუდოდ, წლის ბოლომდე, პროგრამული უზრუნველყოფის სხვა მწარმოებლები პაროლის გარეშე შესვლის სამუშაო ვერსიების ერთიან კონცეფციას წარმოადგენენ.

რატომ და როგორ შეუძლია მსოფლიოს წამყვანი IT კომპანიების ინიციატივას კლასიკური პაროლების, როგორც პერსონალურ მონაცემებზე წვდომის მიღების საშუალების დასამარება? 

უპირველეს ყოვლისა, აღნიშნული ტექნოლოგიის დანერგვით დაინტერესებული დეველოპერები სისტემის მოხერხებულობაზე  საუბრობენ. სმარტფონით თქვენი სახის სკანირება ბევრად უფრო ადვილია, ვიდრე - რთული პაროლის დამახსოვრება და შეყვანა, დამადასტურებელი SMS-ის ლოდინი ან ავტორიზაციის აპლიკაციის მიერ გენერირებული კოდების დაფიქსირება. სტატისტიკა აჩვენებს, რომ ადამიანებს რთული კომბინაციები არ უყვართ. არა და, „პაროლები კარგად მუშაობს, თუ ისინი გრძელი, შემთხვევითი, საიდუმლო და უნიკალურია, მაგრამ ადამიანური შეცდომა ყოველთვის პრობლემაა“, - ამბობს  უსაფრთხოების მკვლევარი რონ ამადეო.  

ანგარიშების გატეხვისა და სერვისების მითვისების შემთხვევათა უმეტესობა ფიქსირდება დისტანციურად, ე.წ. ფიშინგის (სოციალური ინჟინერიის მეთოდების ან მომხმარებლის სახელებისა და პაროლების მასობრივი გაჟონვა) გამოყენებით. ისეთი ტიპის კომბინაციების გამოყენების შემთხვევაში, როგორიცაა - "12345" ან "პაროლი", შეგიძლიათ მოიპაროთ სხვა ადამიანების მონაცემები შემთხვევითი შერჩევის პრინციპით. FIDO-ს ალიანსის მიერ შემოთავაზებული მრავალდონიანი აუთენტიფიკაციის მეთოდი კი ანგარიშის მფლობელის უშუალო დადასტურებას ითვალისწინებს. 

მომხმარებლის სმარტფონი, რომელიც ციფრულ გასაღებს ინახავს ან უნდა დაუკავშირდეს კომპიუტერს Bluetooth-ის საშუალებით, ან გამოყენებული იქნას QR კოდის სკანირებისთვის, რაც დისტანციურად შეუძლებელია. ისეთი ტექნოლოგიის დანერგვით, როგორიცაა Passkeys-ი, კლასიკური ფიშინგი (ზიანის მომცველი სპამ-ბმულების გაგზავნა) უნდა მოკვდეს. იგივე ეხება მომსახურების სფეროს სხვადასხვა  მონაცემთა ბაზიდან მომხმარებლის პირადი ინფორმაციის გაჟონვას, როდესაც ბოროტმოქმედები კომპანიების სერვერებში აღწევენ და ერთდროულად ათასობით პაროლს იპარავენ. ასეთი რამ Passkeys-სა და ანგარიშზე კლასიკური შესვლის მეთოდის სხვა ალტერნატივების მეშვეობით, ფაქტობრივად, შეუძლებელია. "წვდომის გასაღებები არ შეიძლება გამოაშკარავდეს, რადგან ამ შემთხვევაში ვებსერვერზე არანაირი საიდუმლო არ ინახება", - განაცხადა Apple-ის სპიკერმა დარინ ადლერმა. 

შესვლის ახალმა მეთოდმა მონაცემების ერთი მოწყობილობიდან მეორეზე გადატანის პროცესიც უნდა გაამარტივოს. სმარტფონის შეცვლის შემთხვევაში მომხმარებელი, როგორც წესი, პაროლის ხელახლა შეყვანის პრობლემას ბევრი მიმართულებით აწყდება. ეს ეხება ანგარიშებს სოციალურ ქსელებში, საბანკო აპლიკაციებში და სხვ. ავტორიზაციის მეთოდის Bluetooth-ით ან QR კოდით გამოყენებისას, საკუთარ ანგარიშებში ახალი ტელეფონიდან შესვლას დიდი დრო არ დასჭირდება და მოწყობილობის მფლობელის მონაწილეობა აქ მინიმალური იქნება.

არც ისე სწრაფად

კლასიკური პაროლების უარყოფა და აუთენტიფიკაციის მრავალფაქტორიანი მეთოდების გამოყენება, მხოლოდ ნახევარი საქმეა. ჯერ ერთი, ჰაკერებს პირადი მონაცემების ხელში ჩაგდება  შეუძლიათ. მეორე მხრივ, ამ დროისთის აქტუალური ბევრი მომსახურება გულისხმობს PIN კოდების გამოყენებას ან უსაფრთხოების კითხვებზე პასუხების გაცემას, რაც ასევე შეიძლება იყოს კომპრომეტირებული. შესაბამისად, მაქსიმალური უსაფრთხოების უზრუნველყოფა შეუძლიათ მხოლოდ იმ სისტემებს, რომლებიც პაროლების სრულ უარყოფას უზრუნველყოფენ. 

უპირველეს ყოვლისა, ასეთი ტექნოლოგიის წარმატება დეველოპერებზეა დამოკიდებული. მათ მოუწევთ შექმნან აუთენტიფიკაციის უნივერსალური მეთოდი, რომელიც ნებისმიერ მოწყობილობაზე იმუშავებს. „საყოველთაო ხელმისაწვდომობა არის FIDO-ს კონცეფციის წარმატების გასაღები. ჩვენი ტექნოლოგია ისევე უნდა იყოს გავრცელებული, როგორც - პაროლები“, - განაცხადა  FIDO-ს აღმასრულებელმა დირექტორმა, ენდრიუ შიკიარმა. „Passkey-ის მსგავს მეთოდებს შეუძლიათ იმუშაონ და იყვნენ უფრო უსაფრთხო, ვიდრე - პაროლები მათი ამჟამინდელი ფორმით“, -  განმარტა ჯონს ჰოპკინსის უნივერსიტეტის კრიპტოგრაფმა, მეთიუ გრინმა. თუმცა თუ პაროლის გარეშე შესვლის პროცესი პლატფორმებსა და მოწყობილობებში განსხვავებული იქნება (მაგალითად, თუ ის ძალიან მოუხერხებელი იქნება კონკრეტული ბრენდის სმარტფონებზე), მაშინ ეს მომხმარებლების უკმაყოფილებას გამოიწვევს.

ალიანსის მიერ შემოთავაზებული სისტემა მოითხოვს, სულ ცოტა, ისეთ სმარტფონს, რომელსაც Bluetooth-ი, კამერა და ინტერნეტთან წვდომა აქვს. ამასთანავე, მომხმარებლებს უნდა განემარტოთ, თუ რატომ უნდა გადავიდნენ ისინი პაროლებიდან, რომლებსაც ინტერნეტის გამოჩენის პირველივე დღიდან იყენებენ, ახალ, ავტორიზაციის ბუნდოვან მეთოდზე. ახალი სისტემის გავრცელების პრობლემა ის არის, რომ მომხმარებელთა დიდი ნაწილი ტექნოლოგიებით დაინტერესებული არ არის და თანამედროვე სმარტფონებიც არ აქვთ. ცნობისთვის, Pew Research-ის ამჟამინდელი მონაცემებით, მხოლოდ აშშ-ში მოქალაქეების 15%-ი სმარტფონებს საერთოდ არ იყენებს.

სხვა თემები