Ο ερευνητής του MIT Fernando Corbato πριν 62 χρόνια ήταν ο πρώτος που χρησιμοποίησε password για να ελέγξει τη πρόσβαση των χρηστών στον πρωτοποριακό για την εποχή υπολογιστή CTSS (Compatible Time-Sharing System). Σήμερα, τα passwords χρησιμοποιούνται περισσότερο από ποτέ για τη πρόσβαση σε πληθώρα από εφαρμογές και ιστοσελίδες.
Βασίλης Κρεατσάς
Cybersecurity Solutions Consultant,
Networking Solutions Division, Space Hellas
Η διαχείριση των passwords από τους χρήστες είναι πλέον πολύ δύσκολη λόγω του πλήθους τους, όπως φάνηκε από την έρευνα της Nordpass το 2020[1], σύμφωνα με την οποία ένας χρήστης χρειαζόταν κατά μέσο όρο 100 passwords για εφαρμογές και websites. Επιπρόσθετα, τα passwords αποτελούν το Δούρειο Ίππο για τους hackers, καθώς σύμφωνα με έρευνα της Verizon[2] το 80% των εισβολών (breaches) οφείλεται στα passwords.
Αυτά είναι μερικά από τα στοιχεία που δείχνουν ότι η διαχείριση των passwords είναι επιτακτική, κυρίως για λόγους ασφάλειας. Την οριστική λύση στο πρόβλημα έρχονται να δώσουν οι Password Managers. Αναφορικά με τις δυνατότητες που διαθέτουν οι Password Managers, υπάρχουν κάποια βασικά χαρακτηριστικά που είναι κοινά.
Αυτά είναι μερικά από τα στοιχεία που δείχνουν ότι η διαχείριση των passwords είναι επιτακτική, κυρίως για λόγους ασφάλειας. Την οριστική λύση στο πρόβλημα έρχονται να δώσουν οι Password Managers. Αναφορικά με τις δυνατότητες που διαθέτουν οι Password Managers, υπάρχουν κάποια βασικά χαρακτηριστικά που είναι κοινά. Κατ’ αρχάς, το κυριότερο κοινό χαρακτηριστικό όλων είναι η δημιουργία ισχυρών passwords με τη χρήση μιας γεννήτριας passwords. Μάλιστα, τις περισσότερες φορές, η γεννήτρια παρέχει την επιλογή για αρκετά μεγάλο αριθμό χαρακτήρων, πράγμα που καθιστά το password πολύ ασφαλέστερο. Άλλα κοινά βασικά χαρακτηριστικά είναι η συμβατότητα με τα πιο δημοφιλή λειτουργικά συστήματα όπως Windows, Linux, MacOS, iOS, Android, η συμβατότητα με browsers με τη μορφή addon/extension και ο συγχρονισμός των passwords σε όλες τις υποστηριζόμενες πλατφόρμες.
Τα βασικά χαρακτηριστικά που αναφέρθηκαν είναι ικανοποιητικά για τους απλούς χρήστες. Όμως υπάρχουν πολύ σημαντικά χαρακτηριστικά που είναι απαραίτητα σε επιχειρησιακά περιβάλλοντα και απαντώνται στους Enterprise Password Managers. Στη συνέχεια παρουσιάζονται τα κυριότερα από αυτά τα χαρακτηριστικά.
Zero-Knowledge Architecture: Είναι κεφαλαιώδους σημασίας την πρόσβαση στα passwords να την έχει μόνο ο χρήστης που τα δημιούργησε. Για αυτό το σκοπό, η υποδομή των Enterprise Password Managers βασίζεται στην αρχή του Zero-Knowledge πράγμα που σημαίνει ότι δεν υπάρχει καμία γνώση για τα δεδομένα των χρηστών. Αυτό επιτυγχάνεται για τρεις λόγους. Πρώτον, εφαρμόζεται κρυπτογράφηση από άκρη-σε-άκρη, δηλαδή τα δεδομένα κρυπτογραφούνται από τη στιγμή που δημιουργούνται, μεταφέρονται κρυπτογραφημένα και παραμένουν κρυπτογραφημένα όταν αποθηκεύονται στο password vault. Δεύτερον, δεν είναι δυνατή η αποκρυπτογράφηση των δεδομένων που αποθηκεύουν οι χρήστες, παρά μόνο από τους ίδιους τους χρήστες. Τρίτον, δεν υπάρχει η δυνατότητα να ανακτηθεί το Master Password από την υποδομή του Password Manager.
Two-Factor/Multi-Factor Authentication: Η είσοδος στην εφαρμογή του Password Manager μπορεί να γίνει με τον συνήθη τρόπο, με username και password, το οποίο σε αυτή τη περίπτωση ονομάζεται Master Password. Για τους Password Managers το Master Password είναι πάρα πολύ σημαντικό διότι δεν χρησιμεύει μόνο για το login, αλλά αποτελεί και το κλειδί που ξεκλειδώνει το vault του χρήστη και έτσι μπορούν να χρησιμοποιηθούν τα δεδομένα που έχουν αποθηκευτεί σε αυτό. Στους Enterprise Password Managers υποστηρίζεται τουλάχιστον Two-Factor Authentication (two-step login) και ακόμα καλύτερα Multi Factor Authentication. Πέρα από τις απλές μεθόδους, όπως η εισαγωγή pin και το push notification, οι Enterprise Password Managers έχουν integration με λύσεις Enterprise MFA που παρέχουν πολύ περισσότερες και ασφαλέστερες επιλογές ταυτοποίησης, όπως τα FIDO2 security keys.
Passwordless login: Η δυνατότητα passwordless login δεν λείπει από κανένα Enterprise Password Manager. Η συνηθέστερη μέθοδος passwordless που υποστηρίζουν είναι η χρήση βιομετρικών χαρακτηριστικών. Άλλη υποστηριζόμενη μέθοδος είναι η χρήση μιας δεύτερης συσκευής (trusted device) όπου είναι εγκατεστημένη η εφαρμογή του Password Manager και στην οποία έχει ήδη γίνει login. Σε αυτή τη δεύτερη συσκευή εμφανίζεται ένα push notification με την αποδοχή του οποίου γίνεται το login στη πρώτη συσκευή, χωρίς την εισαγωγή password.
Στις passwordless μεθόδους ανήκει και το Single Sign On (SSO). Οι Enterprise Password Managers υποστηρίζουν τη διασύνδεση με αρκετούς Identity Providers (IdPs). Η μέθοδος SSO είναι αυτό που χρειάζονται οι εταιρικοί χρήστες, αφού έτσι και αλλιώς κάνουν login στον εταιρικό τους λογαριασμό. Χρησιμοποιώντας το SSO η είσοδος στην εφαρμογή του Password Manager μπορεί να γίνει εύκολα, χωρίς τη χρήση password.
Πρόσφατα έκανε την εμφάνιση της μια πολλά υποσχόμενη μέθοδος passwordless, τα passkeys. Τα passkeys επινοήθηκαν από το FIDO alliance[3], η ανακοίνωση τους έγινε το 2022 και βασίζονται στην κρυπτογραφία δημοσίου/ιδιωτικού κλειδιού. Οι περισσότεροι Enterprise Password Managers πλέον υποστηρίζουν τη χρήση τους. Τα passkeys μπορούν να χρησιμοποιηθούν για το login στους Password Managers αλλά και για το login σε websites και web applications που τα υποστηρίζουν. Το login στον Password Manager γίνεται επιλέγοντας τη μέθοδο με passkey και στη συνέχεια χρειάζεται η εισαγωγή pin είτε η εισαγωγή βιομετρικών χαρακτηριστικών. Το login σε websites και web apps που υποστηρίζουν passkeys πραγματοποιείται με ένα κλικ στο παράθυρο που εμφανίζει ο Password Manager.
Password Reset: Στη περίπτωση που ένας χρήστης δεν μπορεί να μπει στην εφαρμογή του Password Manager υπάρχουν συγκεκριμένες και ασφαλείς διαδικασίες για τον ορισμό νέου Master Password. Στους Enterprise Password Managers υπάρχει η επιλογή ώστε να ανατίθεται η δυνατότητα για password reset σε ορισμένους μόνο administrators και όχι σε όλους. Επιπλέον, μετά το password reset, επαναφέρονται όλες οι ρυθμίσεις που είχε ο χρήστης όπως για παράδειγμα το two-factor authentication και δεν χρειάζεται να οριστούν από την αρχή.
Οι Enterprise Password Managers παρέχουν τεράστια ευκολία στους χρήστες και αναβαθμίζουν το επίπεδο ασφάλειας μιας επιχείρησης. Κάποιοι πιστεύουν ότι το μέλλον του authentication είναι το Single Sign On και τα Passkeys. Όμως η υποστήριξη αυτών των τεχνολογιών από τις εφαρμογές και τα websites παραμένει πολύ χαμηλή. Αυτό σημαίνει ότι στις περισσότερες περιπτώσεις τα passwords είναι απαραίτητα και κατά συνέπεια απαιτείται η διαχείρισή τους. Οι Enterprise Password Managers ήρθαν για να δώσουν λύση και από ότι φαίνεται θα παραμείνουν χρήσιμοι για αρκετό καιρό ακόμα.
[1] https://tech.co/password-managers/how-many-passwords-average-person
[2] https://www.verizon.com/business/resources/Tb87/reports/2020-data-breach-investigations-report.pdf
[3] https://fidoalliance.org/passkeys/