Massiv datalæk afslører password-problem — Er en radikal løsning på vej?

Opråb om skift til ‘Privatlivs-Først’ Mindset

Den chokerende afsløring af et massivt databrud, der kompromitterer 16 milliarder loginoplysninger, har kastet internetbrugere ud i en ny bølge af angst og udløst frygt for, at cyberkriminelle allerede er i gang med at tømme personlige konti. Selvom sikkerhedseksperter opfordrer til øjeblikkelige ændringer af adgangskoder, hævder et kritisk modargument, at denne reaktive foranstaltning ikke tilbyder nogen reel beskyttelse mod fremtidige, identiske indtrængen.

I stedet for den konventionelle fokus på blot at ændre adgangskoder, hævder eksperter interviewet af Bitcoin.com News, at de nylige brud kræver et radikalt paradigmeskift. De argumenterer for, at det er tid til at opgive afhængigheden af centraliserede databaser, der lagrer følsomme brugeroplysninger, og omfavne et privatlivs-først mindset, der fundamentalt udnytter decentralisering.

Shahaf Bar-Geffen, CEO for COTI, argumenterede også for, at selvom samfund historisk set har placeret tillid til “myndigheder” og institutioner, er denne tankegang dårligt egnet til at tjene mennesker godt i de virtuelle rum, der i stigende grad medierer vores liv.

“Den traditionelle, tillidsbaserede verden er ikke egnet til den online verden, og alligevel er den stadig den dominerende driftstilstand. Forretning online fører ofte til traditionelle endepunkter, der efterlader en strøm af eksponerede legitimationsoplysninger på tværs af platforme,” forklarede Bar-Geffen.

Dette synspunkt deles af Nanak Nihal Khalsa, medstifter af Holonym, der hævder, at virksomheder kun holder fast i denne model, fordi den er billig. Han sagde: “Problemet er, at virksomheder stadig bruger disse i stedet for decentraliserede alternativer, fordi de er billige og bekvemme. Men der er sikrere og mere effektive måder at autentificere brugere og/eller lagre deres følsomme data.”

En sådan måde, ifølge Bar-Geffen, er brugen af decentraliserede og krypterede data, der kan tilgås uden at skulle dechiffreres, gennem innovationer som Zero-Knowledge Proofs (ZKPs) og Homomorfisk Kryptering.

Som rapporteret af Bitcoin.com News, sagde forskere hos Cybernews, der afslørede bruddet, at det ikke blot var et læk, men “en skabelon for masseudnyttelse.” Andre eksperter advarer om, at cyberkriminelle kan udnytte de lækkede datasæt til at intensivere identitetstyveri, phishing og systemindtrængen.

For andre stiller det massive brud dog spørgsmålstegn ved adgangskodernes relevans i en tidsalder, hvor cyberkriminelle bliver stadig mere sofistikerede. Selvom talen om helt at eliminere adgangskoder har eksisteret i et årti, hævder Khalsa, at der ikke er opstået noget klart alternativ, der retfærdiggør at skille sig af med adgangskodeparadigmet. Vedrørende adgangsnøgler, som nogle fremhæver som levedygtige alternativer til adgangskoder, sagde Holonym-medstifteren:

“Der er et almindeligt rygte om, at adgangsnøgler vil erstatte adgangskoder. Men adgangsnøgler er typisk synkroniseret i vores cloud-konti, der i sidste ende er afhængige af adgangskoder. Kryptografiske nøgler kan også bruges, men er svære at håndtere. Deres genoprettelsesteknikker har en tendens til at være afhængige af konti, der kræver adgangskoder.”

Imidlertid mener Bar-Geffen, at værktøjer som decentraliseret identitet, ZKPs og kryptotekskonti allerede fungerer som “sikre, brugerkontrollerede adgangs- og tilladelsesmetoder.” Udfordringen, hævder Bar-Geffen, ligger i at få virksomheder, regeringer og brugere til at adoptere det privatlivs-først tilgang. Han fremhæver også, hvorfor adoptionen af privatlivs-først tilgangen i den kunstige intelligens (AI) æra er afgørende.

“Der er også det kommende problem med AI. Det er vigtigt at skifte til en ny model (selv-suveræn og tilladelsesbaseret privatliv), fordi AI-automatisering vokser, hvilket vil forværre omfanget af databrud, og vi kunne endda se internettet blive ubrugeligt uden en ny model for privatliv,” sagde COTI-lederen.