Parola e depășită, dar metodele mai sigure de autentificare nu sunt folosite

Chiar dacă tehnologia progresează, comportamentul utilizatorilor este greu de influențat, mai ales când nivelul de cunoștințe digitale este scăzut. Chiar dacă noile tehnologii aduc beneficii, consumatorii nu se adaptează rapid la el.

De câte ori nu ți s-a întâmplat să-ți uiți parola sau să privești nervos cerințele sufocante pentru crearea uneia noi? Dacă, pe vremuri, o parolă alcătuită din primele șase cifre putea fi folosită pe o mare parte din site-uri, acum portalurile web necesită un cod de autentificare mult mai ingenios, cu caractere mici, dar și mari, cu simboluri speciale și cu numere. Pentru mulți oameni, parolele pentru platformele digitale sunt doar o bătaie de cap în plus, după ce de-abia se obișnuiseră cu memorarea PIN-ului de la cardul bancar. La fel cum încă sunt persoane care-și scriu PIN-ul pe o foiță pe care o țin în portofel sau lipită de card, sunt și unii care își notează parola pe o agendă.

Trăind cu frica de-a pierde accesul la un cont esențial, oamenii nu doar că-și lasă parolele pe unde apucă, dar le și refolosesc de pe o platformă pe alta, pentru a nu fi nevoiți să memoreze prea multe. Un studiu Google din 2018 arată că jumătate din români folosesc aceeași parolă pentru mai multe conturi.„Google: 1 din 2 romani foloseste aceeasi parola pentru mai multe conturi online”, consultantaa.ro Pentru aceștia, capacitatea de a-și aminti parola este mult mai importantă decât securitatea. În anumite cazuri, cei care nu pun accent pe securitatea digitală afirmă că nu au nimic de ascuns și că dacă cineva le va intra în conturi nu va găsi informații de interes. 

Din cauza faptului că mediul digital este pentru mulți un fenomen încă străin, destui oameni nu tratează informațiile digitale cu la fel de multă grijă precum le tratează pe cele fizice. Problema e și mai accentuată în România. Conform Eurostat,„Which European countries have the most digital skills?”, weforum.org doar 28% dintre români au competențe digitale, comparativ cu media europeană care este de 50%.  

O cercetare academică„The Importance of Cybersecurity Education in School”, semanticscholar.org pe importanța securității cibernetice în școli arată că o schimbare de paradigmă este necesară, deoarece de-acum înainte tot mai multe dintre activități se vor întâmpla în mediul digital, iar datele generate acolo sunt la fel de importante ca obiectele din viața reală. 

Cum s-a întărit securitatea conturilor?

În ultimul deceniu, s-au dezvoltat mai multe unelte de autentificare care să ofere un grad ridicat de protecție utilizatorului. Autentificare în doi pași e poate cea mai importantă modificare. În plus, producătorii de telefoane mobile au introdus autentificarea biometrică, prin amprentă sau scanarea feței, lucru indispensabil oricărui smartphone actual. Cheile fizice de autentificare, folosite mai întâi de programe specializate ca o formă de DRM,Digital rights management, o serie de măsuri prin care unele programe, aplicații sau device-uri se asigură că nu pot fi folosite fără acordul producătorului, wikipedia.org sunt din ce în ce mai prezente, mai ales în companii. Aceste chei fizice sunt acum operate prin intermediul portului USB, având forma unui stick de memorie, și conțin o cheie virtuală care este generată unic. Astfel de chei pot fi create acum și de orice utilizator Google, de exemplu, dacă dorește o securitate mai bună.

Și chiar dacă din perspectiva utilizatorului nu e importantă, securitatea cibernetică nu stă pe loc, iar companiile tech încearcă să ducă siguranța autentificării la un nivel cât mai sofisticat. De aceea, în 2013, mai multe companii au lansat Alianța FIDO„FIDO Alliance”, fidoalliance.org care promovează standarde de autentificare universale. Sunt parte a FIDO firme precum Apple, Alphabet (compania din spatele Google), Microsoft, Amazon, Paypal și Meta (compania mamă Facebook). Recent, marile companii de tehnologie au anunțat„Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins”, fidoalliance.org că vor să accelereze procesul prin care le oferă utilizatorilor posibilitatea de a accesa platformele preferate fără a mai fi nevoie să tasteze o parolă.  

Totuși, genul acesta de noi tehnologii nu ajunge imediat la utilizatori, deoarece adaptarea la un nou produs este un proces de lungă durată, dacă sunt luați în calcul toți utilizatorii de internet. În timp ce persoanele pasionate de tehnologie văd introducerea unui nou mod de autentificare ca un pas bine venit, oamenii care folosesc internetul strict pentru conversații pe Facebook sau pentru plata facturilor nu sunt așa impresionați de o nouă schemă tehnică.

Un comportament rigid al utilizatorilor

Chiar dacă introducerea amprentei biometrice pe iPhone a fost prezentată ca un moment de simplificare a interacțiunii dintre dispozitiv și om, adoptarea acesteia nu a fost chiar imediată. Însă, spre deosebire de recunoașterea facială, care a fost propusă pentru prima dată pe telefoanele cu Android, scanarea amprentei a fost mai rapid acceptată de către utilizatori.„Biometric authentication on iPhone and Android: Usability, perceptions, and influences on adoption”, smu.edu.sg 

Pentru a înțelege preferințele utilizatorilor pentru un mod de autentificare în detrimentul altuia, studiile din domeniu spun că analiștii nu trebuie să privească autentificatorul ca fiind interesat de securitatea contului. Utilizatorului îi pasă în mare parte doar de ușurința utilizării acelei metode.„The password is dead, long live the password – A laboratory study on user perceptions of authentication schemes”, sciencedirect.com

E drept că utilizatorii cu adevărat interesați de securitate adoptă și metodele mai complexe. În  Statele Unite, conform companiei de securitate cibernetică Duo,„The 2019 State of the Auth Report: Has 2FA Hit Mainstream Yet?”, duo.com s-a înregistrat o creștere a utilizării autentificării prin doi pași (2FA). Dacă în 2017, doar 28% dintre americani foloseau 2FA, în 2019 procentul a crescut la 53%.  

Însă un studiu al Universității Rice din Texas,„2FA Might Be Secure, But It’s Not Usable: A Summative Usability Assessment of Google’s Two-factor Authentication (2FA) Methods”, sagepub.com. care prezintă Google 2FA ca având imense beneficii, semnalează faptul că utilizatorii Gmail nu au adoptat încă masiv această metodă de autentificare. Dincolo de o minoritate, utilizatorii se gândesc primordial la simplitatea tehnologiei, la cât de intuitivă este tranziția, iar abia mai apoi la gradul de protecție pe care-l oferă împotriva unor atacuri. Prin urmare, cercetătorii recomandă dezvoltarea unui mecanism de autentificare mai simplu, care să fie intuitiv și să nu necesite un nivel de educație superior pentru a fi folosit. 

Prezumția de la care ar trebui să plece companiile de tehnologie când implementează 2FA este că utilizatorul nu are cunoștințe tehnice, iar totul ar trebui explicat într-un limbaj cât mai accesibil. Un grup de cercetători de la Universitatea din North Carolina sugerează că„Why would Someone Hack Me out of Thousands of Students”: Video Presenter’s Impact on Motivating Users to Adopt 2FA”, acm.org explicarea acestui nivel adițional de protecție ar trebui făcut de o persoană, printr-un videoclip informativ care să-i facă pe utilizatori să simtă că sunt într-un dialog. 

Protejarea conturilor e tot mai importantă

Nevoia de securitate a autentificării crește pe măsură ce tot mai mulți oameni au aplicații ale băncilor pe telefon. Protejarea banilor îi face mai atenți pe utilizatori. Mai mult, la instalarea aplicațiilor bancare, utilizatorul este obligat să folosească un cod primit prin SMS sau să utilizeze amprenta pentru a tranzacționa banii dintr-un cont în altul. Acest tip de interacțiune cu nivelul suplimentar de securitate de la bancă poate contribui la familiarizarea multor persoane cu noi metode de autentificare. 

Totuși, chiar dacă în lumea urbană se pare că aplicațiile de banking sunt adoptate pe scară largă, folosirea lor e limitată atât de numărul de persoane care folosesc cardul pentru a plăti  – 67% dintre români„Câţi români deţin un card bancar şi câţi îl folosesc”, adevarul.ro –, dar și de aptitudinile digitale ale populației. 

Presiunea va crește, acum că Meta, Roblox, Fortnite dar și alte companii promovează ideea de Metavers. Acesta se diferențiază de un simplu joc MMORPG, în care utilizatorul are un personaj, îl crește, îi oferă de mâncare și îl cosmetizează, prin faptul că viața virtuală va continua într-un mod foarte fluid și în viața reală. În acest context, ecranul de introducere a utilizatorului și a parolei pare să împiedice viziunea lui Zuckerberg de-a convinge lumea să-și mute afacerile, dar și relațiile amoroase în spațiul virtual. Pentru a oferi experiența continuă dintre viața reală și cea virtuală, companiile trebuie să vină cu o soluție de autentificare care să permită o trecere fluidă, cum este amprenta, care să devină metoda primordială de logare.

CITEȘTE ȘI: Metaversul, promisiunea unei tranziții fluide între lumea reală și cea virtuală

Doar că va fi greu să convingă utilizatorii. O analiză prezentată în 2020 în cadrul unei conferințe de tehnologie din Dubai arată că,„Should We Rush to Implement Password-less Single Factor FIDO 2 based Authentication?”, ieee.org indiferent de cât de multe beneficii ar avea tehnologiile de autentificare care nu necesită introducerea unei parole scrise, implementarea lor și mai ales schimbarea infrastructurii vor fi dificile.  

Pe lângă infrastructurile digitale și fizice care ar trebui să fie modificate, utilizatorii vor trebui să-și schimbe și comportamentul pentru a se acomoda cu noua tehnologie. Dacă metodele de autentificare în doi pași nu au fost implementate cu succes în masă, așa cum ar fi dorit companiile, de ce ar fi diferită situația în cazul unei metode alternative de logare?

Mai mult, în implementarea unor noi tehnologii de autentificare, precum ar fi acelea lipsite de parole tastate mecanic, un grup de cercetători avertizează că„An Interoperable Architecture for Usable Password-less Authentication”, surrey.ac.uk nu trebuie ignorat hardware-ul de care beneficiază utilizatorii. Chiar dacă oamenii își schimbă dispozitivele în mod regulat, ei nu o fac pentru că se gândesc la gradul de protecție suplimentar oferit, iar realitatea confirmă că mulți consumatori așteaptă până la defectarea acestora pentru a achiziționa unele noi.„Getting a new iPhone every 2 years makes less sense than ever”, cnet.com Cu un număr ridicat de oameni care încă se bazează pe o tehnologie învechită, grupul de cercetători recomandă companiilor să se gândească la tehnologii cloud care să permită oricărei persoane, indiferent de cât de vechi are telefonul, să aibă acces la un grad ridicat de securitate.

Chiar dacă în spatele scenei, în companiile de tehnologie, în grupurile de lucru și în instituțiile de cercetare lucrurile se mișcă repede, iar specialiștii se gândesc la cum să facă interacțiunea cu internetul mai sigură, factorul uman nu trebuie să fie uitat. Indiferent dacă o tehnologie arată bine pentru ingineri, se prezintă ca fiind sigură pe hârtie, nu înseamnă că va ajunge să fie adoptată de majoritatea utilizatorilor. Adesea, aceste tehnologii vin cu un jargon cărora multora le este străin, iar într-o țară ca România, unde rata de alfabetizare digitală este încă mică, adoptarea unor metode noi de autentificare nu o să fie prea curând o poveste de succes.