Kyçja me apo pa fjalëkalim
Kur kyçemi në një llogari – qoftë ajo online, në një sistem, apo në një bazë të dhënash – zakonisht shënojmë një emër përdoruesi dhe një fjalëkalim. Me kalimin e kohës, vërejmë që tashmë kemi disa llogari në disa sisteme të ndryshme, derisa të na bëhen aq shumë sa të kemi të vështirë të mbajmë në mend të gjitha llogaritë dhe të gjithë fjalëkalimet e tyre.
Një raport i vitit 2017 nga LastPass tregon që një njeri mund të ketë deri në më shumë se 190 fjalëkalime të ndryshme.
Sikur të mos mjaftonte kjo, shumica e sistemeve që përdorim, na detyrojnë të zgjedhim fjalëkalime të vështira duke kombinuar shkronja, numra dhe karaktere të tjera. Si rrjedhojë e kësaj – pasi e kemi të vështirë të mbajmë në mend fjalëkalime të përziera – shohim që jemi duke përdorë të njëjtin fjalëkalim për disa llogari në sisteme apo faqe të ndryshme në ueb.
Në një sondazh të kryer në vitin 2019 nga “Google Online Security” është gjetur që 52% e të anketuarve kanë ri-përdorë të njëjtin fjalëkalim për disa llogari të ndryshme.
Kjo në vete përmban rreziqe të mëdha, pasi që kurdo që një faqe të komprometohet dhe fjalëkalimi ynë aty është ekspozuar, na rrezikohen të gjitha llogaritë që i kemi në faqe të tjera ku e kemi përdorë të njëjtin fjalëkalim.
Për të zgjidhur këtë problem mund të përdorim një menaxher të fjalëkalimeve, i cili do të ruaj fjalëkalimet tona, dhe ne duhet të mbajmë në mend vetëm fjalëkalimin kryesor i cili pastaj do të na tregoj fjalëkalimet e llogarive të tjera.
Edhe pse kjo mënyrë e ruajtjes së fjalëkalimeve duket mjaft e sigurt, në vitin 2015 menaxheri i fjalëkalimeve LastPass kishte pësuar një thyerje të sigurisë me ç’rast ishin ekspozuar të dhënat e shfrytëzuesve.
Për të shtuar sigurinë e llogarisë, përveç fjalëkalimit, mund të përdorim opsionin e verifikimit me dy faktorë (V2F), për të cilin kemi folur në një video që mund ta gjeni në kanalin tonë në youtube.com/milingona.
Në këtë metodë verifikimi, sistemi u dërgon me e-mail një kod 4 apo 6 shifrorë sa herë të shënoni një emër dhe fjalëkalim të saktë gjatë kyçjes në atë sistem. Për të komprometuar një sistemi të këtillë kyçje, një hakeri i duhet të hakoj edhe llogarinë tuaj e-mail – gjë që nuk është e pamundur. Pra, kjo metodë e sigurisë nuk është më e mira e mundshme. Përveç kësaj, kemi V2F ku në vend të e-mailit mund të pranojmë një mesazh në mobil, apo të përdorim një aplikacion në mobilin tonë si Google Authenticator apo një tjetër të ngjashëm.
Lexo më shumë për fjalëkalimet, ndërsa tani do të flasim për një metodë tjetër të identifikimit – atë pa fjalëkalim.
Verifikimi pa fjalëkalim është një mënyrë e verifikimit të identitetit të një përdoruesi, pa përdorur një fjalëkalim. Në vend të fjalëkalimit, kjo mënyrë e verifikimit shfrytëzon alternativa të tjera më të sigurta – siç janë elemente posedimi (fjalëkalimi një-përdorim, celulari), apo elemente biometrike (shenjat e gishtërinjve, retina). Një shembull i kësaj mënyre të kyçjes është aplikacioni Slack, i cili me rastin e kyçjes aty, aplikacioni u dërgon një link përmes e-mailit të cilin link duhet ta klikoni.
Janë disa mënyra se si mund të konfiguroni kyçjen pa fjalëkalim. Në vijim po paraqesim vetëm disa prej tyre:
Magic link: shfrytëzuesi shënon e-mail adresën, dhe aty pranon një link të cilin vetëm duhet ta klikoj për t’u kyçur.
Biometrike: Veçoritë fizike, si gjurmët e gishtërinjve apo skanimet e retinës së syrit, dhe tiparet e sjelljes, si shtypja dhe dinamika e ekranit me prekje, përdoren për të identifikuar në mënyrë unike një person. Megjithëse inteligjenca artificiale moderne u ka mundësuar hakerëve të mashtrojnë tipare të caktuara fizike, karakteristikat e sjelljes ende mbeten jashtëzakonisht të vështira për t’u simuluar.
Diçka që posedoni: verifikimi me diçka që shfrytëzuesi i shërbimit posedon dhe gjithnjë mban me vete. Për shembull, gjeneruesi i kodit të cilin e ka në celular, fjalëkalimi për një-përdorim që pranon me sms, apo një token harduerik.
Në shumicën e sistemeve që përdorin verifikimin pa fjalëkalim, e kombinojnë atë me verifikimin me dy-faktorë, siç janë Google Authenticator, apo të tjera.
Vërtetimi pa fjalëkalim mbështetet në të njëjtat parime si certifikatat digjitale: një palë çelësash kriptografik me një çelës privat dhe një çelës publik. Edhe pse të dy quhen çelësa, mendoni për çelësin publik si një dry dhe çelësin privat si çelësin aktual që e hapë atë.
Nëse vërtetimi pa fjalëkalim është i sigurt apo jo, varet nga përcaktimi juaj i sigurisë. Nëse me siguri nënkuptoni më e vështirë për t’u thyer dhe më pak i rezistueshëm ndaj sulmeve më të zakonshme në internet, atëherë po, vërtetimi pa fjalëkalim është i sigurt. Ndërsa, nëse me siguri nënkuptoni që është e pathyeshme nga hakerët, atëherë jo, nuk është e pathyeshme. Nuk ekziston asnjë sistem vërtetimi që nuk mund të hakohet. Ndoshta tani për tani nuk ekziston ndonjë mënyrë për ta hakuar atë, por kjo nuk do të thotë që hakerët më të sofistikuar nuk mund të gjejnë mënyra për thyerjen e mbrojtjes së tij.
Me sa u tha më lartë, verifikimi pa fjalëkalim në thelb është më i sigurt se fjalëkalimet. Për shembull, për të hakuar një sistem të bazuar në fjalëkalim, një sulmues mund të përdorë një sulm me fjalor[i], i cili shpesh konsiderohet teknika më elementare e hakimit. Edhe një haker amator mund të kryejnë një sulm me fjalori.
Nga ana tjetër, duhet një nivel shumë më i lartë i përvojës dhe sofistikimit të hakimit për t’u infiltruar në një sistem pa fjalëkalim. Për shembull, vetëm algoritmet më të avancuara të Inteligjencës Artificiale mund t’i mundësojnë një hakeri të mashtrojë një sistem me gjurmë gishtërinjsh.
[i] Sulm me fjalor – një përpjekje për hyrje të paligjshme në një sistem kompjuterik duke përdor një listë fjalësh të fjalorit për të gjeneruar fjalëkalime të mundshme.