Великий витік даних виявляє проблему з паролями — чи настає радикальне вирішення?

Заклик до переходу на підхід “Орієнтованість на конфіденційність”

Шокуюче розкриття масового витоку даних, який скомпрометував 16 мільярдів облікових даних для входу, занурило користувачів Інтернету в нову хвилю тривоги, викликавши побоювання, що кіберзлочинці вже розкрадають особисті акаунти. Хоча експерти з безпеки закликають негайно змінити паролі, критичний контраргумент полягає в тому, що цей реактивний захід не пропонує справжнього захисту від майбутніх таких же вторгнень.

Замість звичайного фокусу лише на зміні паролей, експерти, яких опитали Bitcoin.com News, стверджують, що останні витоки даних вимагають радикальної зміни парадигми. Вони стверджують, що настав час відмовитися від залежності від централізованих баз даних, що зберігають конфіденційну інформацію користувачів, і перейняти підхід, орієнтований на конфіденційність, який в основі використовує децентралізацію.

Шахаф Бар-Геффен, генеральний директор COTI, також стверджував, що, хоча суспільства історично довіряли “владникам” та інституціям, цей підхід не підходить для віртуальних просторів, які все більше опосередковують наше життя.

“Традиційний світ, заснований на довірі, не підходить для онлайн-світу, і, тим не менш, він все ще є домінуючим режимом роботи. Онлайн-бізнес часто веде до традиційних кінцевих точок, які залишають слід компрометованих акаунтів на різних платформах”, — пояснив Бар-Геффен.

Цю точку зору поділяє Нанак Ніхал Халса, співзасновник Holonym, який стверджує, що компанії використовують цю модель тільки тому, що вона дешева. Він заявив: “Проблема в тому, що компанії все ще використовують їх замість децентралізованих альтернатив, тому що вони дешеві і зручні. Але існують безпечніші та більш ефективні способи аутентифікації користувачів та/або зберігання їхніх конфіденційних даних.”

Одним з таких способів, за словами Бар-Геффена, є використання децентралізованих та зашифрованих даних, до яких можна отримати доступ без необхідності їх розшифрувати, завдяки інноваціям, таким як Zero-Knowledge Proofs (ZKPs) та гомоморфне шифрування.

Як повідомив Bitcoin.com News, дослідники з Cybernews, які виявили витік, заявили, що це був не просто витік, а “план масового використання”. Інші експерти попереджають, що кіберзлочинці можуть використовувати витоки даних для посилення крадіжки особистих даних, фішингу та вторгнень у системи.

Все ж для інших масовий витік піднімає питання про актуальність паролей в цей вік, коли кіберзлочинці стають все більш витонченими. Хоча розмови про повне усунення паролей точаться вже десятиліттями, Халса стверджує, що жодна чітка альтернатива не з’явилася, щоб виправдати відмову від паролів. Щодо ключів-доступів, які деякі вважають життєздатними альтернативами паролям, співзасновник Holonym сказав:

“Є поширена чутка, що ключі-доступи замінять паролі. Але ключі-доступи зазвичай синхронізуються в наших хмарних облікових записах, які в кінцевому рахунку залежать від паролів. Криптографічні ключі також можуть бути використані, але ними важко керувати. Їхні методи відновлення схильні покладатися на облікові записи, які потребують паролів.”

Тим часом, Бар-Геффен вважає, що такі інструменти, як децентралізована ідентичність, ZKPs і криптовалютні гаманці вже діють як “захищені, контрольовані користувачем методи доступу і дозволу”. Однак виклик, за словами Бар-Геффена, полягає в заохоченні компаній, урядів і користувачів прийняти підхід, орієнтований на конфіденційність. Він також підкреслює, чому прийняття підходу, орієнтованого на конфіденційність, у епоху штучного інтелекту (AI) є важливим.

“Є також вхідна проблема AI. Важливо перейти до нової моделі (самоврядності та дозволеної конфіденційності), тому що автоматизація AI поширюється, що посилить масштаб витоків даних. Ми можемо навіть побачити, що Інтернет стане непридатним без нової моделі конфіденційності,” сказав виконавчий директор COTI.