Μια ισχυρή λύση Αυθεντικοποίησης με προσιτό κόστος και ευκολία, αποτελεί το βέλτιστο τρόπο μείωσης των ανησυχιών των καταναλωτών και ελαχιστοποίησης της απάτης στις ηλεκτρονικές συναλλαγές.
Όλο και συχνότερα βλέπουν το φως της δημοσιότητας περιστατικά σχετικά με τις διαδικτυακές (online) υποκλοπές στοιχείων και ταυτοτήτων καταναλωτών. Πρόσφατο παράδειγμα είναι ένα περιστατικό στο Ηνωμένο Βασίλειο, κατά το οποίο η κυβέρνηση απώλεσε δεδομένα προσωπικού χαρακτήρα καταναλωτών, ότανδύο CDs, τα οποία διακινούνταν από το ταχυδρομικό σύστημααπωλέσθηκαν από το ταχυδρομικό σύστημα.
Το περιεχόμενο των CDs ανακοινώθηκε πως ήταν προσωπικά δεδομένα 25 εκατομμυρίων χρηστών, με πλήρη προσωπικά δεδομένα και στοιχεία τραπεζικών λογαριασμών. Απατεώνες θα μπορούσαν να τα χρησιμοποιήσουν, προκειμένου να παραβιαστούν τραπεζικοί ή άλλοι online λογαριασμοί των καταναλωτών. Πολύ χειρότερα όμως, οι πληροφορίες που περιείχαν τα CDs θα επέτρεπαν στον παράνομο κάτοχό τους να πραγματοποιήσει κάποια μορφή επίθεση υποκλοπής της ταυτότητας των χρηστών, είτε αποκτώντας πρόσβαση σε λογαριασμούς χρηστών, είτε δημιουργώντας ψεύτικους λογαριασμούς, χρησιμοποιώντας τα στοιχεία τους.
Όπως και να έχει όμως, αυτή η διαρροή στοιχείων, η οποία μάλιστα πραγματοποιήθηκε σε ένα εκτός δικτύου (offline) περιβάλλον, είχε σημαντικές συνέπειες ως προς την εμπιστοσύνη του κοινού στις διαδικτυακές υπηρεσίες.
Τα παραπάνω δεν αποτελούν κινδυνολογία. Άλλωστε θεωρούμε ότι τα μέσα ενημέρωσης κάνουν πολύ καλή δουλειά στο να φοβίζουν το κοινό σχετικά με την ασφάλεια των online δραστηριοτήτων τους. Αυτό που πρέπει να τονίσουμε είναι το αυξανόμενο πρόβλημα το οποίο έχει και θα συνεχίσει να έχει αντίκτυπο για τις εταιρίες με παρουσία στο internet, καθώς οι υποκλοπές στοιχείων θα συνεχίζουν να υφίστανται.
Το διαδίκτυο έχει εξελιχθεί σε μέσο κερδοφορίας για πολλές επιχειρήσεις, καθώς διακρίνεται από το χαμηλό κόστος εφαρμογής και την υψηλή ανάπτυξη σε σχέση με τα παραδοσιακά μέσα. Αυτό όμως διακυβεύεται λόγω της «αλλαγής πορείας» των καταναλωτών. Στην πραγματικότητα σύμφωνα με την Forrester, πάνω από 5 εκ. Ευρωπαίοι έχουν σταματήσει να χρησιμοποιούν υπηρεσίες ηλεκτρονικής τραπεζικής, οι περισσότεροι λόγω της ανησυχίας για τις διαδικτυακές απάτες. Επίσης, σύμφωνα με την Gartner, περίπου $ 2 δις χάνονται ετησίως από τις επιχειρήσεις ανά τον κόσμο, επειδή οι καταναλωτές ανησυχούν για την online ασφάλεια. Ένα νούμερο, το οποίο θα αυξάνεται μετά από κάθε παραβίαση που γίνεται στο διαδίκτυο, καθώς.
Από τις λεπτομέρειες του περιστατικού που συνέβη στο Ηνωμένο Βασίλειο είναι φανερό πως όσο περισσότερο συχνότερα οι καταναλωτές ακούνε για υποκλοπή ταυτότητας, τόσο περισσότερο είναι πιθανό να μην επιθυμούναποφεύγουν να μεταφέρουν στοιχεία ή να συναλλάσσονται σε online περιβάλλον – κι εκεί ακριβώς είναι το σημείο στο οποίο το πρόβλημα αγγίζει όλες τις επιχειρήσεις του χώρου, ανεξαρτήτως του τομέα στον οποίο δραστηριοποιείται η κάθε επιχείρηση.
Αδύναμες μέθοδοι επαλήθευσης ταυτότητας έχουν οδηγήσει σε υποκλοπή ταυτοτήτων στο διαδίκτυο, σε περιστατικά phishing, και στην εξάπλωση των online απατών. Ο τραπεζικός τομέας αποτέλεσε τον κύριο στόχο τέτοιων επιθέσεων για πολλά χρόνια, αλλά καθώς η ασφάλεια στον τομέα αυτόν έχει βελτιωθεί, οι επιτήδειοι στρέφονται και σε άλλες περιοχέςάλλους τομείς με τις οποίες οι καταναλωτές πραγματοποιούν ηλεκτρονικές συναλλαγές. Πλέον, οποιαδήποτε επιχείρηση χρησιμοποιεί ή βασίζεται σε online μέσα και λογαριασμούς χρηστών, θα πρέπει να γνωρίζει τους κινδύνους που αντιμετωπίζει όχι μόνο λόγω των ανησυχιών για υποκλοπή ταυτότητας, αλλά και για τις επιπτώσεις κάποιου σφάλματος σχετικά με τα δεδομένα, τα οποία έχει στην κατοχή της. Αυτός ο κίνδυνος αυξάνεται καθώς οι περισσότεροι καταναλωτές χρησιμοποιούν υπολογιστές και κινητά τηλέφωνα για αγορές, για διαχείριση των λογαριασμών τους και για πρόσβαση σε πληροφορίες υγείας, με αποτέλεσμα τα δεδομένα όχι μόνο να πληθαίνουν, αλλά και να γίνονται περισσότερο ευαίσθητα.
Παρά το γεγονός ότι οι οικονομικές απώλειες είναι μεγάλες, η χειρότερη επίπτωση είναι ο αρνητικός αντίκτυπος που έχει για τις ίδιες τις εταιρείες η γνωστοποίηση του γεγονότος ότι οι πελάτες τους έχουν πέσει θύματα των επιθέσεων και η βλάβη που έχουν προκαλέσει αυτές οι επιθέσεις στη φήμη της εταιρείας. Δεδομένου λοιπόν του αντίκτυπου της υποκλοπής ταυτότητας στις online δραστηριότητες, όλο και περισσότερες επιχειρήσεις αξιοποιούν ή αναπτύσσουν λύσεις αυθεντικοποίησης για την online πελατειακή τους βάση.
Επαλήθευση Ταυτότητας
Η “Aυθεντικοποίηση” (Authentication) ορίζεται ως η διαδικασία επιβεβαίωσης του ισχυρισμού ότι ένας χρήστης είναι αυτός, που υποστηρίζει πως είναι. Διαδικασίες αυθεντικοποίησης βρίσκουν εφαρμογή σε κάθε περίπτωση, στην οποία υπάρχει ανάγκη να διακρίνονται οι εξουσιοδοτημένοι χρήστες ενός συστήματος από τους μη εξουσιοδοτημένους. Η εφαρμογή μιας μεθόδου αυθεντικοποίησης, πέρα από τη μείωση της πιθανότητας εκδήλωσης μιας επίθεσης, δημιουργεί και στον καταναλωτή την πεποίθηση ότι η επιχείρηση λαμβάνει σοβαρά υπόψη την ασφάλεια των καταναλωτών, πράγμα που τον προδιαθέτει θετικά στο να εμπιστευτεί την επιχείρηση και να συνεχίσει να χρησιμοποιεί τις υπηρεσίες της.
Η απλούστερη και πλέον κοινή μέθοδος επαλήθευσης της ταυτότητας στους υπολογιστές είναι η χρήση μοναδικών συνδυασμών ονόματος χρήστη και κωδικού πρόσβασης (user name και password). Η ιδέα είναι ότι ο χρήστης «κατέχει» ένα μοναδικό παράγοντα: έναν μυστικό κωδικό πρόσβασης. Ο χρήστης εισάγεται στο σύστημα με ένα όνομα χρήστη και έναν κωδικό πρόσβασης. Το όνομα χρήστη προσδιορίζει το λογαριασμό. Εάν μόνο ο πραγματικός χρήστης γνωρίζει τον μυστικό κωδικό, και ο τρέχων χρήστης αποδεικνύει ότι γνωρίζει τον μυστικό κωδικό πρόσβασης, τότε ο συγκεκριμένος χρήστης πρέπει να είναι ο πραγματικός χρήστης. Έτσι, ο κωδικός πρόσβασης αποδεικνύει ότι ο χρήστης είναι αυτός που ισχυρίζεται ότι είναι.
Προβλήματα με τους Κωδικούς Πρόσβασης
Η απλούστερη και πλέον κοινή μέθοδος επαλήθευσης της ταυτότητας στους υπολογιστές, είναι η χρήση μοναδικών συνδυασμών ονόματος χρήστη και κωδικού πρόσβασης (user name και password). Θεωρητικά, το σύστημα αυτό θα μπορούσε να λειτουργήσει τέλεια. Ιδεατά, όλοι οι τελικοί χρήστες θα επέλεγαν κωδικούς πρόσβασης που θα ήταν δύσκολοι για τους τρίτους να τους μαντέψουν, θα επέλεγαν διαφορετικό κωδικό πρόσβασης για κάθε λογαριασμό και δεν θα μοιράζονταν ποτέ με οποιονδήποτε άλλο. Δυστυχώς όμως, στην πράξη, οι τελικοί χρήστες σπάνια επιλέγουν καλούς κωδικούς πρόσβασης ή χρησιμοποιούν διαφορετικούς κωδικούς πρόσβασης για διαφορετικούς λογαριασμούς ή κρατάνε μυστικούς τους κωδικούς πρόσβασης. Οι περισσότεροι χρήστες συχνά επιλέγουν απλούς κωδικούς πρόσβασης οι οποίοι απομνημονεύονται εύκολα, χαρακτηρίζονται από συχνά χρησιμοποιούμενα ονόματα, κοινές λέξεις, και ημερομηνίες. Οι επιτιθέμενοι το γνωρίζουν αυτό, και μπορούν να μαντέψουν τον κωδικό πρόσβασης ενός χρήστη χρησιμοποιώντας πληροφορίες που ξέρουν (όπως την ημερομηνία γέννησης του, τα ονόματα των παιδιών του, ή άλλες πληροφορίες), ή μαντεύοντας απλώς τυχαίες λέξεις και ημερομηνίες.
Ο κύριος λόγος που οι χρήστες συμπεριφέρονται έτσι σχετικά με την επιλογή των συνθηματικών τους, είναι το γεγονός ότι έχουν πολλούς διαφορετικούς λογαριασμούς για διαφορετικές υπηρεσίες. Λίγοι είναι οι χρήστες που μπορούν να θυμούνται διαφορετικό κωδικό πρόσβασης για κάθε λογαριασμό, και επομένως επιλέγουν να χρησιμοποιούν έναν μοναδικό κωδικό πρόσβασης το οποίο χρησιμοποιούν σε όλους τους δικτυακούς τόπους. Εάν ο κωδικός πρόσβασης παραβιαστεί για ένα δικτυακό τόπο, τότε παραβιάζεται ο κωδικός αυτός για όλους τους δικτυακούς τόπους. Οι επιτιθέμενοι συνήθως εκμεταλλεύονται αυτή τη συμπεριφορά προσπαθώντας να αλιεύσουν συνθηματικά χρηστών, κάνοντας χρήση ψεύτικων sites (phising) ή με την εγκατάσταση προγραμμάτων καταγραφής (key loggers), ώστε αν καταφέρουν να μάθουν ένα μόνο συνθηματικό του χρήστη, να έχουν πρόσβαση σε ένα πλήθος λογαριασμών του.
Προσθέτοντας έναν Επιπλέον Παράγοντα Αυθεντικοποίησης
Η Ισχυρή Αυθεντικοποίηση (Strong Authentication) έχει σχεδιαστεί για να αντιμετωπίσει αυτά τα προβλήματα. Ένα σύστημα Ισχυρής Αυθεντικοποίησης, συνδυάζει ταυτόχρονα δύο τουλάχιστον διαφορετικούς παράγοντες αυθεντικοποίησης και μάλιστα διαφορετικής φύσης μεταξύ τους. Ακόμη και αν ένας επιτιθέμενος υποκλέψει τον πρώτο παράγοντα, δε θα είναι ικανός να γνωρίζει τον δεύτερο παράγοντα και επομένως δε θα μπορεί να επαληθεύσει την ταυτότητά του.
Γενικά, παράγοντας αυθεντικοποίησης μπορεί να είναι κάτι που ο χρήστης ξέρει (π.χ. το όνομα χρήστη και το συνθηματικό του), κάτι που ο χρήστης έχει (π.χ. μια κάρτα ή ένα ψηφιακό πιστοποιητικό) ή κάτι που ο χρήστης είναι από τη φύση του (π.χ. το δακτυλικό του αποτύπωμα ή οποιοδήποτε άλλο βιομετρικό χαρακτηριστικό του). Συγκεκριμένα, όΌποιος υλοποιεί μια λύση αυθεντικοποίησης, μπορεί να επιλέξει από μια σειρά παραγόντων αυθεντικοποίησης, όπως συσκευές tokens, ψηφιακά πιστοποιητικά και βιομετρικές συσκευές. Αυτή η ποικιλομορφία στους παράγοντες αυθεντικοποίησης μπορεί να χρησιμοποιηθεί για την αντιμετώπιση του προβλήματος της χαλαρής αυθεντικοποίησης, όπως αυτό ορίστηκε παραπάνω.Ανάλογα με τις ανάγκες που έχει κάθε οργανισμός, ένα σύστημα ισχυρής αυθεντικοποίησης μπορεί να απαιτεί περισσότερους από δύο παράγοντες. Για παράδειγμα, ένα σύστημα μπορεί να απαιτεί μία φράση πρόσβασης, ένα ψηφιακό πιστοποιητικό, και αισθητήρα δακτυλικού αποτυπώματος, που να συνδυάζει κάτι που χρήστης γνωρίζει, κάτι που κατέχει, και κάτι που ο χρήστης είναι. Κατασκευαστές προσωπικών υπολογιστών όπως η Toshiba, σήμερα ενσωματώνουν αισθητήρες δακτυλικών αποτυπωμάτων και πρόσφατα αναγνώριση προσώπων (face recognition).
Ένα σύστημα Ισχυρής Αυθεντικοποίησης, συνδυάζει δύο τουλάχιστον διαφορετικούς παράγοντες αυθεντικοποίησης και μάλιστα διαφορετικής φύσης μεταξύ τους. Ακόμη και αν ένας επιτιθέμενος υποκλέψει τον πρώτο παράγοντα, δεν θα είναι ικανός να γνωρίζει το δεύτερο παράγοντα και επομένως δεν θα μπορεί να επαληθεύσει την ταυτότητά του. Σε ένα ενδεικτικό σενάριο, ένας οργανισμός που επιθυμεί να ισχυροποιήσει τις μεθόδους αυθεντικοποίησης που χρησιμοποιεί, μπορεί να αξιοποιεί κατά την αυθεντικοποίηση μία φράση πρόσβασης, ένα ψηφιακό πιστοποιητικό κι έναν αισθητήρα δακτυλικού αποτυπώματος, ώστε να συνδυάζει κάτι που ο χρήστης γνωρίζει, κάτι που κατέχει και κάτι που ο χρήστης είναι. Κατασκευαστές προσωπικών υπολογιστών όπως η Toshiba, σήμερα ενσωματώνουν αισθητήρες δακτυλικών αποτυπωμάτων και, πρόσφατα, αναγνώριση προσώπων (face recognition).
Το πρόβλημα της Ισχυρής Αυθεντικοποίησης των Καταναλωτών
Αποδεχόμενοι λοιπόν ότι η Ισχυρή Αυθεντικοποίηση αποτελεί το βέλτιστο τρόπο μείωσης των ανησυχιών των καταναλωτών και ελαχιστοποίησης της απάτης, τότε γιατί δεν εφαρμόζεται ήδη παντού; Οι κυριότερες αιτίες είναι το κόστος και η αποδοχή από τους καταναλωτές.
Για μία επιχείρηση, το κόστος παροχής σε κάθε πελάτη της μίας συσκευής token, δεν είναι αμελητέο. Μια παραδοσιακή εφαρμογή και το κόστος της συνεχούς διαχείρισής της, αποτελούν ανασταλτικό παράγοντα για την απόκτηση συστήματος Ισχυρής Αυθεντικοποίησης. Επομένως, χρειαζόμαστε μεν ένα σύστημα Ισχυρής Αυθεντικοποίησης, αλλά σε ένα αποδεκτό επίπεδο κόστους. Το δεύτερο πρόβλημα είναι η αποδοχή από τους καταναλωτές. Οι καταναλωτές πραγματοποιούν αρκετές online συναλλαγές και συνεργάζονται με διαφορετικούς οργανισμούς και επιχειρήσεις. Εάν ο κάθε καταναλωτής αποκτούσε μία διαφορετική συσκευή token από κάθε μία επιχείρηση με την οποία συναλλάσσεται, θα κατέληγε να έχει ένα μεγάλο αριθμό συσκευών tokens, τον οποίο θα έπρεπε να κουβαλάει παντού. Αυτό είναι προφανώς μη αποδεκτό από τον καταναλωτή- και με μία επιλογή πολλαπλών συσκευών tokens για κάθε καταναλωτή, το κόστος θα ήταν αστρονομικό.
Επομένως, αυτό που απαιτείται είναι ένα σύστημα Ισχυρής Αυθεντικοποίησης με μία μοναδική συσκευή token, την οποία ο καταναλωτής θα μπορεί να χρησιμοποιήσει για όλες τις online συναλλαγές του. Τα καλά νέα είναι ότι κάτι τέτοιο είναι ήδη διαθέσιμο.
Μια καινοτόμα προσέγγιση στην Ισχυρή Αυθεντικοποίηση
Η VeriSign, η εταιρεία που διαχειρίζεται και διασφαλίζει τη λειτουργία της υποδομής του Internet (.com, .net. .tv κ.λπ.) εξυπηρετώντας καθημερινά μέχρι και 32 δις αιτήσεων – και προστατεύει πάνω από 900.000 εξυπηρετητές με πιστοποιητικά SSL, λανσάρισε πέρυσι τη λύση VIP η οποία αποτελεί την ενοποιημένη μέθοδο Ισχυρής Αυθεντικοποίησης στο Internet. Η λύση «VeriSign Identity Protection network (VIP)», αξιοποιεί ανοιχτά πρότυπα του οργανισμού OATH (www.openauthentication.org), προκειμένου:
- Να μπορεί ένας χρήστης να χρησιμοποιεί μία και μοναδική συσκευή σαν δεύτερο παράγοντα αυθεντικοποίησης, για όλες τις online συναλλαγές του.
- Να μπορούν οι online επιχειρήσεις να μοιράζονται το κόστος που συνοδεύει μια λύση Ισχυρής Αυθεντικοποίησης (π.χ. κόστος υλοποίησης, κόστος συσκευών και κόστος υποστήριξης).
- Να μην περιορίζονται ούτε οι χρήστες, ούτε οι επιχειρήσεις στο είδος της συσκευής που θα χρησιμοποιούν σαν δεύτερο παράγοντα αυθεντικοποίησης και να μπορούν να χρησιμοποιήσουν συσκευές σε μορφή πιστωτικής κάρτας, συσκευές USB, εφαρμογές ενσωματωμένες στις εργαλειοθήκες των προγραμμάτων και εφαρμογές που λειτουργούν σε κινητά τηλέφωνα.
Η λύση VIP της VeriSign υποστηρίζεται από ένα δίκτυο, το οποίο αποτελείται από μεγάλο αριθμό δικτυακών τόπων-μελών, στους οποίους οι καταναλωτές μπορούν να χρησιμοποιήσουν την ίδια συσκευή Ισχυρής Αυθεντικοποίησης, προκειμένου να αυξήσουν το επίπεδο ασφάλειας των συναλλαγών τους, επιλέγοντας οποιαδήποτε συσκευή Ισχυρής Αυθεντικοποίησης επιθυμούν. Ήδη στο δίκτυο αυτό ανήκουν μεγάλες εταιρείες του χώρου των ηλεκτρονικών συναλλαγών, όπως μεταξύ άλλων, το PayPal και το eBay, οι οποίες δίνουν τη δυνατότητα στους χρήστες – πελάτες τους να χρησιμοποιούν όποια συσκευή θέλουν, προκειμένου να βελτιώσουν το επίπεδο ασφάλειας των συναλλαγών τους.
Η ενοποίηση της Ισχυρής Αυθεντικοποίησης δύο παραγόντων μέσω της υπηρεσίας VIP, αποτελεί μία λύση ισχυρή, οικονομική και εύκολη, τρεις συνιστώσες οι οποίες οδηγούν σε επιτυχία. Η αίσθηση ασφάλειας που παρέχει, σε συνδυασμό με τη λειτουργικότητα, τη φιλικότητα στη χρήση των συσκευών και τη διευκόλυνση της μίας μοναδικής κάρτας για όλες τις συναλλαγές (δηλαδή σαν ένα είδος ψηφιακής ταυτότητας), δίνουν μια νέα πνοή ζωής στο διαδίκτυο ως εμπορικό μέσο, το οποίο ειδάλλως θα αντιμετωπίσει την αυξανόμενη αμφισβήτηση από όλο και περισσότερους καταναλωτές, οι οποίοι πέφτουν θύματα- ή απλά ανησυχούν για τη διαδικτυακή απάτη. Αυτό αποτελεί ευχάριστο νέο σχετικά με τις online συναλλαγές – τόσο για τους καταναλωτές, όσο και για τις επιχειρήσεις που δραστηριοποιούνται μέσω του διαδικτύου.
Η ΑΝΤΑΚΟΜ, ως ο συνεργάτης (Affiliate) της VeriSign για την Ανατολική και Νότια Ευρώπη, έχει ξεκινήσει από τον Απρίλιο την προώθηση της υπηρεσίας VIP με ειδικά προνομιακά προγράμματα για τις επιχειρήσεις που θα αποφασίσουν να εγγραφούν έως τις 30 Σεπτεμβρίου 2008 (e-mail: vip-sales@adacom.com , τηλ.: 210- 5193730).