Massiv datalekkasje avslører passordproblem – Kommer en radikal løsning?

Oppfordring til skifte til ‘Personvern-først’ Mentalitet

Det sjokkerende avsløringen av et enormt datainnbrudd, som kompromitterte 16 milliarder innloggingsopplysninger, har kastet internettbrukere inn i en ny bølge av bekymring, og vekker frykt for at nettkriminelle allerede stjeler personlige kontoer. Selv om sikkerhetseksperter oppfordrer til umiddelbar endring av passord, hevder en kritisk motargumentasjon at dette reaktive tiltaket ikke gir noen reell beskyttelse mot fremtidige, identiske angrep.

I stedet for den konvensjonelle fokusen på bare å endre passord, hevder eksperter intervjuet av Bitcoin.com News at de nylige innbruddene krever et radikalt paradigmeskifte. De argumenterer for at det er på tide å forlate avhengigheten av sentraliserte databaser som lagrer sensitiv brukerinformasjon og omfavne en personvern-først tankegang som fundamentalt utnytter desentralisering.

Shahaf Bar-Geffen, administrerende direktør i COTI, argumenterte også for at selv om samfunn historisk har stolt på “myndigheter” og institusjoner, er denne mentaliteten dårlig egnet til å tjene folk godt i de virtuelle rommene som i økende grad medierer våre liv.

“Den tradisjonelle, tillitsbaserte verden er ikke egnet for den elektroniske verden, og likevel er det fortsatt den dominerende driftsmodusen. Forretninger på nettet fører ofte til tradisjonelle endepunkter som etterlater et spor av eksponerte legitimasjoner på tvers av plattformer,” forklarte Bar-Geffen.

Dette synspunktet deles av Nanak Nihal Khalsa, medgrunnlegger av Holonym, som hevder at selskaper holder seg til denne modellen fordi den er billig. Han uttalte: “Problemet er at selskaper fortsatt bruker disse i stedet for desentraliserte alternativer fordi de er billige og praktiske. Men det finnes sikrere og mer effektive måter å autentisere brukere og/eller lagre deres sensitive data.”

En slik metode, ifølge Bar-Geffen, er bruken av desentraliserte og krypterte data som kan nås uten å måtte dekrypteres, gjennom innovasjoner som Zero-Knowledge Proofs (ZKPs) og Homomorfisk Kryptering.

Som rapportert av Bitcoin.com News, sa forskere ved Cybernews som avdekket bruddet at det ikke bare var en lekkasje, men “en blåkopi for masseutnyttelse.” Andre eksperter advarer om at nettkriminelle kan utnytte de lekkede datasettene for å intensivere identitetstyveri, phishing og systemintrusjoner.

Likevel, for andre, setter det massive innbruddet spørsmålstegn ved relevansen av passord i denne tiden hvor nettkriminelle blir stadig mer sofistikerte. Selv om snakk om å eliminere passord helt har vedvart i et tiår, hevder Khalsa at det ikke har dukket opp noe klart alternativ som rettferdiggjør å avskaffe passordparadigmet. Når det gjelder passnøkler, som noen anser som levedyktige alternativer til passord, sa Holonym-medgrunnleggeren:

“Det er et vanlig rykte om at passnøkler vil erstatte passord. Men passnøkler blir vanligvis synkronisert i våre sky-kontoer som til slutt er avhengig av passord. Kryptografiske nøkler kan også brukes, men er vanskelige å administrere. Deres gjenopprettingsteknikker har en tendens til å være avhengige av kontoer som trenger passord.”

I mellomtiden, tror Bar-Geffen at verktøy som desentralisert identitet, ZKPs og krypto-lommebøker allerede fungerer som “sikre, brukerkontrollerte tilgangs- og tillatelsesmetoder.” Utfordringen, hevder Bar-Geffen, er å få selskaper, myndigheter og brukere til å adoptere personvern-først tilnærmingen. Han understreker også hvorfor adopsjon av personvern-først tilnærmingen i den kunstige intelligens (AI) æraen er avgjørende.

“Det er også det innkommende problemet med AI. Det er viktig å overgå til en ny modell (selv-suveren og tillatt personvern) fordi AI-automatisering sprer seg, noe som vil forverre omfanget av datainnbrudd, og vi kan til og med se internett bli ubrukelig uten en ny modell for personvern,” sa COTI-eksjefen.