הפריצה האחרונה של 16 מיליארד אישורים העלתה שאלות לגבי הרלוונטיות של סיסמאות. ישנם מומחים שמציעים שזה הזמן לוותר על התבססות על מאגרי מידע מרכזיים ולאמץ גישה עם דגש על פרטיות המנצלות ביזור.
דליפת נתונים מסיבית חושפת את בעיית הסיסמאות — האם מגיע תיקון רדיקלי?
נכתב ע"י
שתף
קריאה לשינוי ל’גישה עם דגש על פרטיות’
הגילוי המפתיע של פריצת מידע מסיבית, שהפרה 16 מיליארד אישורים, הביא את משתמשי האינטרנט לגל חדש של חרדה, מעורר חשש שפושעי הסייבר כבר גונבים חשבונות אישיים. למרות שמומחי האבטחה קוראים לשינוי סיסמאות מיידי, יש טענה נגדית קריטית המציינת כי צעד תגובתי זה אינו מציע שמירה אמיתית ממסגרות עתידיות דומות.
במקום להתמקד בפשטות בשינוי סיסמאות, המומחים שרואיינו על ידי Bitcoin.com News טוענים כי הפריצות האחרונות מצריכות שינוי פרדיגמה רדיקלי. הם טוענים שזה הזמן לוותר על התבססות על מאגרי מידע מרכזיים שמאכסנים מידע רגיש של משתמשים ולאמץ גישה עם דגש על פרטיות שמנצלות ביזור באופן יסודי.
שחף בר-גפן, מנכ”ל COTI, גם טען שבעוד שחברות היסטוריות שמות אמון ב”סמכויות” ומוסדות, גישה זו אינה מתאימה לשירות אנשים היטב במרחבים הוירטואליים שמתווכים את חיינו יותר ויותר.
“העולם המסורתי, המבוסס על אמון, אינו מתאים לעולם המקוון, ובכל זאת הוא עדיין המודל הדומיננטי של פעולה. עסק ברשת מוביל לעיתים קרובות לנקודות קצה מסורתיות שמשאירות סימנים לחשיפה של אישורים ברחבי הפלטפורמות,” בר-גפן הסביר.
את הגישה הזו חולק נאנק ניהאל חאלסה, מייסד-שותף של Holonym, שטוען כי חברות מצמדות למודל זה משום שהוא זול. הוא הצהיר: “הבעיה היא שחברות עדיין משתמשות בזה במקום באלטרנטיבות מבוזרות משום שהן זולות ונוחות. אך ישנן דרכים בטוחות ויעילות יותר לאמת משתמשים ולשמור את המידע הרגיש שלהם.”
אחת מהדרכים הללו, לפי בר-גפן, היא שימוש בנתונים מבוזרים ומוצפנים שניתן לגשת אליהם בלי הצורך לפענח אותם, דרך חדשנויות כמו Zero-Knowledge Proofs (ZKPs) ו- Homomorphic Encryption.
כפי שדווח על ידי Bitcoin.com News, החוקרים ב-Cybernews שחשפו את הפריצה אמרו שזה לא היה רק דליפה אלא “תכנית לצורך ניצול המוני.” מומחים אחרים מזהירים שפושעי הסייבר יכולים לנצל את מאגרי המידע שהודלפו כדי להחריף את גניבת הזהויות, הונאות פישינג ופריצות למערכות.
ובכל זאת, עבור אחרים, הפריצה המסיבית מעלה שאלות לגבי הרלוונטיות של סיסמאות בעידן זה שבו פושעי הסייבר נעשים יותר ויותר מתוחכמים. בעוד שיחה על ביטול הסיסמאות לחלוטין נמשכה עשור, חאלסה טוען שלא הופיעה אלטרנטיבה ברורה שתצדיק היפטרות מפרדיגמת הסיסמה. בנוגע למפתחות גישה, אותם מחזיקים כאלטרנטיבות אפשריות לסיסמאות, חאלסה אמר:
“יש שמועה נפוצה שמפתחות גישה יחליפו סיסמאות. אבל מפתחות גישה מסונכרנים בדרך כלל בחשבונות הענן שלנו שתלויים בסופו של דבר בסיסמאות. ניתן להשתמש גם במפתחות קריפטוגרפיים אך הם קשים לניהול. טכניקות ההחלמה שלהן נוטות להתבסס על חשבונות שצריכים סיסמאות.”
בינתיים, בר-גפן מאמין שכלים כמו זהות מבוזרת, ZKPs וארנקים קריפטוגרפיים כבר פועלים כ”שיטות גישה והרשאה מאובטחות שבהן משתמשים שולטות.” עם זאת, האתגר, טוען בר-גפן, הוא לגרום לחברות, לממשלות ולמשתמשים לאמץ את הגישה עם דגש על פרטיות. הוא גם מדגיש מדוע אימוץ הגישה עם דגש על פרטיות בעידן הבינה המלאכותית (AI) הוא קריטי.
“ישנה גם בעיה נכנסת של AI. חשוב לעבור למודל חדש (פרטיות עצמית ורשותית) משום שאוטומציה בבינה מלאכותית מתרבה, דבר שיגביר את קנה המידה של פריצות נתונים, ואפילו ראינו את האינטרנט הופך לבלתי אפשרי לשימוש בלי מודל חדש לפרטיות,” אמר מנהל COTI.
