Massiv dataläcka avslöjar lösenordsproblem - kommer en radikal lösning?

Uppmaning till skifte mot ‘Integritetsförst’ tänkesätt

Avslöjandet av ett massivt dataintrång som äventyrade 16 miljarder inloggningsuppgifter har kastat internetanvändare in i en ny våg av ångest och väckt rädslan för att cyberbrottslingar redan plundrar personliga konton. Trots att säkerhetsexperter uppmanar till omedelbara lösenordsändringar, framförs ett kritiskt motargument som påstår att denna reaktiva åtgärd inte erbjuder något verkligt skydd mot framtida, identiska intrång.

Istället för att enbart fokusera på att byta lösenord, hävdar experter som intervjuats av Bitcoin.com News att de senaste intrången kräver ett radikalt paradigmskifte. De menar att det är dags att överge beroendet av centraliserade databaser som lagrar känslig användarinformation och adoptera ett integritetsförst tänkesätt som fundamentalt utnyttjar decentralisering.

Shahaf Bar-Geffen, vd för COTI, argumenterade också för att medan samhällen historiskt har litat på “auktoriteter” och institutioner, är detta tänkesätt illa lämpat för att tjäna människor väl i de virtuella utrymmen som i allt högre grad medierar våra liv.

“Den traditionella, förtroendebaserade världen är inte lämplig för den digitala världen, och ändå är det fortfarande det dominerande sättet att arbeta på. Affärsverksamhet online leder ofta till traditionella ändpunkter som lämnar en spår av exponerade inloggningsuppgifter över plattformar,” förklarade Bar-Geffen.

Denna synpunkt delas av Nanak Nihal Khalsa, medgrundare av Holonym, som hävdar att företag bara håller sig till denna modell eftersom den är billig. Han uttalade: “Problemet är att företag fortfarande använder dessa istället för decentraliserade alternativ eftersom de är billiga och bekväma. Men det finns säkrare och mer effektiva sätt att autentisera användare och/eller lagra deras känsliga data.”

En sådan metod, enligt Bar-Geffen, är användningen av decentraliserad och krypterad data som kan nås utan att behöva dekrypteras, genom innovationer som zero-knowledge bevis (ZKPs) och homomorfisk kryptering.

Som rapporterat av Bitcoin.com News, sade forskare på Cybernews som upptäckte intrånget att det inte bara var en läcka men “en ritning för massutnyttjande.” Andra experter varnar för att cyberbrottslingar kan utnyttja de läckta dataset för att intensifiera identitetsstöld, nätfiske och systemintrång.

För vissa ifrågasätter dock det massiva intrånget lösenordens relevans i denna tid där cyberbrottslingar blir alltmer sofistikerade. Medan pratet om att eliminera lösenord helt har funnits i ett decennium, hävdar Khalsa att inget klart alternativ har dykt upp för att motivera att överge lösenordsmodellen. Angående lösenordnycklar, som vissa framhäver som genomförbara alternativ till lösenord, sa Holonym-medgrundaren:

“Det finns ett vanligt rykte att lösenordnycklar kommer att ersätta lösenord. Men lösenordnycklar synkroniseras typiskt i våra molnkonton som i slutänden förlitar sig på lösenord. Kryptografiska nycklar kan också användas men är svåra att hantera. Deras återställningstekniker tenderar att förlita sig på konton som behöver lösenord.”

Under tiden anser Bar-Geffen att verktyg som decentraliserad identitet, ZKPs och kryptoplånböcker redan fungerar som “säkra, användarkontrollerade åtkomst- och tillståndsmetoder.” Utmaningen, menar Bar-Geffen, är att få företag, regeringar och användare att anta integritetsförst-strategin. Han lyfter också fram varför adoptionen av integritetsförst-strategin är avgörande i den artificiella intelligensens (AI) era.

“Det finns också den kommande frågan om AI. Det är viktigt att övergå till en ny modell (självbestämmande och behörighetsbaserat integritet) eftersom AI-automation sprider sig, vilket kommer att förvärra omfattningen av dataintrång, och vi kan till och med se internet bli oanvändbart utan en ny modell för integritet,” sade COTI-direktören.