Niedawne naruszenie danych, które ujawniono i które dotyczy 16 miliardów danych logowania, wzbudziło pytania o aktualność haseł. Niektórzy eksperci twierdzą, że nadszedł czas, aby zrezygnować z polegania na scentralizowanych bazach danych i przyjąć politykę prywatności, która wykorzystuje decentralizację.
Ogromny wyciek danych ujawnia problem z hasłami — czy nadchodzi radykalne rozwiązanie?
NAPISAŁ
UDOSTĘPNIJ
Wezwanie do zmiany w kierunku ‘priorytetu prywatności’
Szokujące ujawnienie masowego naruszenia danych, kompromitującego 16 miliardów danych logowania, wprawiło internautów w nową falę niepokoju, wywołując obawy, że cyberprzestępcy już zajmują się okradaniem kont osobistych. Choć eksperci ds. bezpieczeństwa wzywają do natychmiastowej zmiany haseł, istnieje krytyczne przeciwargument, który twierdzi, że ten reaktywny środek nie oferuje prawdziwej ochrony przed przyszłymi, identycznymi wtargnięciami.
Zamiast tradycyjnego skupienia się tylko na zmianie haseł, eksperci, z którymi rozmawiał Bitcoin.com News, twierdzą, że ostatnie naruszenia wymagają radykalnej zmiany paradygmatu. Uważają, że nadszedł czas, aby zrezygnować z polegania na scentralizowanych bazach danych przechowujących wrażliwe informacje użytkowników i przyjąć podejście priorytetu prywatności, które w zasadniczy sposób wykorzystuje decentralizację.
Shahaf Bar-Geffen, CEO COTI, również argumentował, że podczas gdy społeczeństwa historycznie powierzały zaufanie “autorytetom” i instytucjom, takie podejście jest nieodpowiednie, aby służyć ludziom dobrze w wirtualnych przestrzeniach, które w coraz większym stopniu pośredniczą w naszym życiu.
“Tradycyjny, oparty na zaufaniu świat nie pasuje do świata online, a mimo to wciąż jest dominującym sposobem działania. Biznes w internecie często prowadzi do tradycyjnych punktów końcowych, które pozostawiają ślad narażonych danych logowania na różnych platformach”, wyjaśniał Bar-Geffen.
Ten pogląd jest podzielany przez Nanaka Nihala Khalsę, współzałożyciela Holonym, który twierdzi, że firmy trzymają się tego modelu tylko dlatego, że jest tani. Stwierdził: “Problem polega na tym, że firmy wciąż używają ich zamiast zdecentralizowanych alternatyw, ponieważ są tanie i wygodne. Istnieją jednak bezpieczniejsze i bardziej efektywne sposoby uwierzytelniania użytkowników i/lub przechowywania ich wrażliwych danych.”
Jednym z takich sposobów, według Bar-Gefina, jest użycie zdecentralizowanych i zaszyfrowanych danych, które można uzyskać bez potrzeby odszyfrowania, dzięki innowacjom takim jak dowody zerowej wiedzy (Zero-Knowledge Proofs, ZKPs) i szyfrowanie homomorficzne.
Jak informowało Bitcoin.com News, badacze z Cybernews, którzy odkryli naruszenie, powiedzieli, że nie było to tylko wyciek, ale “plan dla masowej eksploatacji.” Inni eksperci ostrzegają, że cyberprzestępcy mogą wykorzystać wycieki danych do nasilenia kradzieży tożsamości, phishingu i włamań do systemów.
Dla innych jednak, ogromne naruszenie stawia pod znakiem zapytania aktualność haseł w epoce, w której cyberprzestępcy stają się coraz bardziej zaawansowani. Choć rozmowy na temat całkowitego wyeliminowania haseł trwają od dekady, Khalsa twierdzi, że nie pojawiła się żadna wyraźna alternatywa, która uzasadniałaby rezygnację z paradygmatu haseł. Odnosząc się do kluczy dostępu, które niektórzy uważają za możliwe alternatywy dla haseł, współzałożyciel Holonym stwierdził:
“Krąży powszechna plotka, że klucze dostępu zastąpią hasła. Ale klucze dostępu są zwykle synchronizowane w naszych kontach w chmurze, które ostatecznie opierają się na hasłach. Klucze kryptograficzne również mogą być używane, ale są trudne w zarządzaniu. Ich techniki odzyskiwania zwykle opierają się na kontach, które wymagają haseł.”
Tymczasem Bar-Geffen uważa, że narzędzia takie jak zdecentralizowana tożsamość, ZKPs i portfele kryptograficzne już działają jako “bezpieczne, kontrolowane przez użytkowników metody dostępu i uprawnienia.” Wyzwaniem, jak twierdzi Bar-Geffen, jest jednak przekonanie firm, rządów i użytkowników do przyjęcia podejścia priorytetu prywatności. Podkreśla także, dlaczego przyjęcie podejścia priorytetu prywatności w erze sztucznej inteligencji (AI) jest kluczowe.
“Jest także nadchodzący problem AI. Ważne jest, aby przejść na nowy model (samostanowiąca i zezwalająca prywatność), ponieważ automatyzacja AI się rozprzestrzenia, co zwiększy skalę naruszeń danych i możemy nawet zobaczyć, że internet stanie się nieużyteczny bez nowego modelu prywatności,” powiedział dyrektor COTI.
