Dispare logarea prin parolă?

Saitul știripesurse.ro titrează glorios: Apple, Google și Microsoft vor elimina parola de logare. Autorul s-o fi lăsat ușor dus de val (sau o fi citit fugitiv traducerea automată a unei știri străine), căci pe TechCrunch informația este ceva mai nuanțată: cei trei giganți își unesc eforturile pentru a facilita logarea fără parolă.

Da, se vor aduce modificări (și îmbunătățiri, zic ei) ale sistemului curent de logare, astfel încât să permită logarea fără parolă, folosind telefonul. Nu dispare însă logarea cu parolă. Ar fi și culmea. Cele două o să ruleze în paralel. Cât timp nu știu, pentru că pe de altă parte trebuie să recunosc că am o bănuială că spre asta se va tinde în viitor. Dar cel puțin n-o să fie chiar de acum.

Fragment din știrea de la noi:

Logarea fără parolă prezintă două avantaje importante.

În primul rând şi cel mai evident este simplitatea: utilizatorii nu vor mai trebui să memoreze şi să introducă o parolă.

În al doilea rând, dar chiar mai important, este considerentul securităţii. Spargerea conturilor devine mult mai dificilă, prin eliminarea celei mai vulnerabile componente a procesului, parola. Atacatorii vor avea nevoie să intre în posesia fizică a cheii de securitate (telefonul mobil) pentru a dobândi acces la cont. Un atac de tip phishing, care încearcă să ademenească utilizatorul pe un site unde să i se ceară şi să i se fure parola, va fi mult mai greu de derulat când atacatorul se va lovi de autentificarea cu cheia fizică de securitate.

Cu alte cuvinte: pentru că sunteți proști, o să facem logarea mai simplă. După care, treptat, o s-o forțăm pentru toți. La fel cum am făcut cu toate softurile create de noi în ultimii ani, începând cu Windows și terminând cu WordPress.

Desigur, e mai dificil să memorezi o suită de parole distincte și greu de spart decât să ai permanent telefonul cu tine, pe care oricum îl ai permanent cu tine, ba chiar permanent deschis, în virtutea faptului că ești idiot. Așa că:

Noul sistem este un mare câştig pentru utilizatorii care folosesc mai multe platforme. Spre exemplu un utilizator va putea folosi un iPhone pentru a se autentifica fără parolă pe un browser Chrome instalat pe un PC cu Windows.

Dar ăsta nu-i un avantaj pentru mine, care nu stau mereu cu ochii în telefon. Logarea prin parolă e perfectă. Parola o am în cap sau într-un manager de parole de pe calculator. Ca să accesez un cont de pe calculator folosind o parolă, am nevoie doar de calculator. Pe când în noua variantă, ca să-mi folosesc calculatorul voi avea nevoie și de telefon. Apare un dispozitiv în plus. Nu pot folosi primul dispozitiv (calculatorul) fără să-l am pe al doilea (telefonul). E mai complicat, nu mai simplu. Și e încă un vector de atac. Telefonul mă vede, mă ascultă, îmi știe coordonatele GPS șamd. Deci, adio conturi anonime. Iar dacă-mi pierd telefonul, adio conturi cu totul.

Ca o ironie a sorții, știrea de pe cele două saituri menționate a apărut acum 6 zile, adică pe 5 mai 2022. Iar 5 mai este ziua internațională a parolei.

8 Replies to “Dispare logarea prin parolă?”

  1. Alduse! Alduse!
    Apăruși!!!
    Ce mai faci, dragă Aldus? Ești bine? Te-ai logat cu parola XXX în sistemul WP? Unde ai dispărut?
    Nu, nu, nu trebe să îmi răspunzi, nu-că m-ar interesa, lasă, lasă, nu te forța, oricum nu as înțelege….. că oricum eu nu înțeleg niciodată ce vrei să zici. Am întrebat și eu asa de complezenta. Asa să te simți nițel bine, adicatălea, că vezi Doamne ți-a dus careva dorul…..
    Ei, as!
    Bye-bye!
    Succese mari!

  2. Din păcate pentru cei ce preferă/vor ceva anume, majoritatea nu vede așa lucrurile, iar obiectele și serviciile se fac pentru majoritate. Managerul de parole trebuie instalat pe fiecare dispozitiv, în timp ce un astfel de sistem (cum se vrea a fi implementat) nu va mai avea nevoie de un anume software. Practic telefonul devine managerul de parole (cu stocare locală/cloud), chestie care există deja la Apple prin Key Chain Access.

    Dacă introduci logarea biometrică ai nevoie de încă un dispozitiv oricum (senzori/camere) și poate nu vrei să-ți cumperi alte periferice doar pentru asta. O problemă similară a fost și la plata cu cardul prin NFC – odată ce ai început să folosești asta foarte rar mai ai nevoie de card – de obicei când POS-ul are probleme – și se pare că merge bine. Poate tu nu folosești prea mult telefonul, dar majoritatea îl folosesc și e tot timpul la îndemână. Ca să nu mai spun că autentificarea în 2 factori (și multe plăți) presupune că-l ai la tine.

    Iar dacă pierzi telefonul, ai un backup și migrezi totul pe unul nou. Iar legat de GPS, tare mi-e că logarea pe un PC se poate localiza, chiar și cu VPN.

    Momentan pe PC-ul de acasă am un cont Microsoft cu parolă, dar am și un PIN (adică o nouă parolă mai scurtă) ca să nu introduc de fiecare dată acea parolă.

  3. E si asta o forma de ingradire a libertații. Eu am fost nevoit in lockdown sa circul fara telefon ca sa nu intru in carantina. Puteam insa intra pe alte aparate pe conturile mele…

  4. Pînă la urmă, întrebarea fundamentală este cum să faci să certifici că persoana care vrea să acceseze o resursă este chiar cine spune că este.

    Orice economie de scală trebuie să țină cont de numitorul comun. Ai un business care se adresează maselor/pulimii? Faci cumva ca pînă și cei mai proști utilizatori să poată trăi în ecosistemul respectiv. Protejarea unei resurse printr-o parolă este o soluție slabă, și a fost o soluție slabă încă de la începuturile web-ului, înainte de 1.0. Soluția tehnică a criptării cu cheie publică-privată a mesajului de autentificare este infinit mai bună — cît timp este implementată judicios.

    Evident, pe lîngă discuțiile de natură tehnică, este clar că giganții software preferă să dezvolte ecosisteme cît mai îngrădite, care să te convingă să petreci cît mai mult timp doar în grădina lor, uitînd că există și alte site-uri și locuri demne de vizitat. Lupta pentru atenția (și implicit banii) utilizatorilor este nesfîrșită.

    Totuși, cu referire la o discuție mai veche de-a noastră — soluția corectă este să ne gîndim deja la alternative, nu neapărat să ne rezumăm la a ne plînge de pe margine.

  5. @O.R.

    Și mie mi-ai lipsit, rusoaico! Sau ucraineanco! Că nu-i clar cine-mi ești.

    Cică o prietenă îi zice alteia: „Soțul meu e rus, așa că în fiecare noapte mă îmbrac în ucrainenacă și el încearcă să mă invadeze!”

    @dam167

    Folosesc telefonul, dar nu vreau să mă loghez cu el pe calculator. Și, ca principiu, nu vreau să fiu obligat să folosesc un periferic fizic, fie telefon sau altceva, pentru logare. Dă-mi posibilitatea asta, dacă vrei, dar lasă-mă să aleg. User și parolă. Dacă o uit, asta e. Dacă sunt nătăfleț și-mi pun o parolă pe care mi-o sparge cineva repede, asta e. Dacă mi se virusează calculatorul, asta e. Înțeleg și-mi asum riscurile. Nu vreau ca viața mea să devină (încă și mai) dependentă de un dispozitiv deja obsesiv, care a ajuns să ne controleze mai mereu.

    Și da, lucrurile sunt făcute pentru majoritate. Doar că 1) majoritatea e prin definiție gregară și mediocră, iar 2) lucrurile ar putea fi făcute și inteligent, astfel încât să permită opțiuni (simple by default, dar cu buton de setări avansate pentru cine dorește), numai că nu există interes. Pentru că prostia nu-i caracterizează doar pe utilizatorii simpli, ci și pe dezvoltatorii de soft. Plus că poate există și alte motivații, nedeclarate.

    Nu plătesc nimic cu telefonul. Îl port cu mine, dar de regulă îl folosesc pentru a comunica cu alte ființe umane, nu cu terminale electronice. 🙂

    @Ioan Sperling

    Îngrădirea libertății este un alt criteriu cu privire la cât de sănătoasă e o propunere.

    @Alex

    De acord cu tarlaua proprie, dar de criticat o să-i critic, fie și pentru faptul că mă numesc userul lor prețios și fac bani de pe urma mea. Într-adevăr, e bine să îți aranjezi ploile așa încât să devii cât mai autonom. Dar între timp, cât se poate, o să le mai folosesc unele servicii. Și dacă apare ceva în jurul meu, cred că-i indicat ca în loc să rămân pasiv, să atrag atenția asupra lui, criticând ce-i de criticat, sau, ca în cazul de față, lăudând ce-i de lăudat. 🙂

    > Pînă la urmă, întrebarea fundamentală este cum să faci să certifici că persoana care vrea să acceseze o resursă este chiar cine spune că este.

    User și parolă. De la M. P. citire. Popescu mergea până acolo încât spunea că cerința unui mail (de recuperare a parolei) e un abuz și un vector suplimentar de atac. Doar user și parolă. Eu zic fie și mail, dar fără alte dispozitive fizice.

    Și nu-i treaba ta, ca furnizor de servicii, să te asiguri că cel care se loghează e cine spune (decât în cazul accesului la chestii sensibile, de exemplu la conturile angajaților). Treaba ta e să-i pui la dispoziție un sistem solid de autentificare. Mai departe, e treaba lui să se asigure că îl folosește corect și că nu-și riscă contul, la fel cum e treaba lui să-și gestioneze viața, sau banii, sau orice altceva, că nu ești dădaca lui. La fel cum e treaba lui să șofeze corect odată ce i-ai eliberat permisul, nu obligația ta să-l pui în autobuz pe motiv că așa-i mai safe. Dacă dă într-un pom, foarte bine, mașini și copaci avem, următorul la rând. Ce atâta socialism?

    Postulez că sistemul user + parolă e chiar foarte solid. Folosit corect, are riscuri infinitezimale, fapt demonstrabil matematic prin numărul astronomic de combinații posibile. Ce-a arătat experiența este că unii nu-l folosesc cum trebuie. Cei care și-au gestionat bine parolele nu prea au avut mari probleme de-a lungul timpului, dar despre ei nu se vorbește. Se vorbește doar de găuri.

    @Suzana

    Habar n-am cu covidul, dar am înțeles că Ursula a comandat încă N doze de vaccinuri, așa că presupun că nu s-a încheiat. Poate va apărea o nouă tulpină, poate covidul va înflori după încheierea ostilităților din Ucraina, vom vedea. Prin alte țări, de exemplu, se face doza a patra de vaccin.

  6. Realitatea de pe teren arată următoarele chestii:

    – În orice încercare de „hacking”, prima linie o reprezintă tehnica. Dai atac bruteforce, îi pescuiești pe aceia care au parole gen password, 1245, johnny etc.

    – Tot la hacking, este bine știut că elementul uman este cel mai vulnerabil. Prin asta înțelegînd că omul pune parole slabe, sau le dictează telefonic altora (eventual chiar necunoscuți), sau ascultă de instrucțiuni date de necunoscuți dacă par să aibă autoritate.

    – Nici cu administratorii site-urilor nu mi-e rușine, zilnic se pierd baze de date cu usernames și parole (eventual „criptate” md5 lol). Chiar și la case mai mari, e.g. Yahoo. Cîte saituri care nu respectă standardele curente ale industriei încă există, ohoho..

    – Utilizatorii sunt proști (un procent însemnat) și comozi (un procent și mai însemnat). Deci dacă nu pun parole slabe, măcar le refolosesc, ca să nu fie nevoiți să tragă după ei software-ul cu lista de parole îmbîrligate.

    – Există metode tehnice de a fura parole automat, care uneori îi păcălesc și pe utilizatorii mediu-avansați. Na, ferește-te de un atac MITM. Sau de un sniffer la cafenea. Știu, vei spune că e vina omului că a mers în locuri nesigure … dar asta e realitatea cu care trebuie să trăim. Din același motiv s-a inventat protocolul https, pentru a nu mai trimite date sensibile prin mîinile a n-șpe actori din care nu toți îți vor binele.

    Trăgînd linie, în competiția economică dintre companii, aceea care reușește să-și protejeze utilizatorii de ei înșiși cîștigă pe termen mediu-lung reducînd costurile de support. Pierzi contul Google, pierzi automat și cel de Youtube, Adwords, Adsense, Google Pay, o grămadă de „produse” dintre care unele financiare / plătite. Aceeași poveste ca la plata cu cardul, apropo — și eu mor de încîntare că s-a introdus sistemul 3DSecure, ca să trebuiască să mai bag o parolă statică ȘI un cod one-time livrat prin sms … dar asta e.

    Repet, nu spun că sunt de acord cu măsurile luate, nici mie nu-mi convine să mi se pună încă un băț în cale. Dar explic că privind din perspectiva companiilor, este foarte rațional ce propun și fac :/

    n.b. N-am nimic împotrivă să te plîngi, zic numa’ că acela e abia pasul 1 din n. Bine-ar fi să investigăm ce putem face pe lîngă.

  7. Pana la urma, tot cheia fizica e cea mai sigura 🙂
    Orice presupune un sir de octeti, este deja in pericol de a fi spart.

    “Iar dacă-mi pierd telefonul, adio conturi cu totul.”

    Iti faci back-up in cloud, unde tot cu user/parola sau telefon va trebui sa te autentifici 😀

Leave a Reply