Η ιστορία των passwords πηγαίνει πολύ πίσω στο χρόνο. Πολύ περισσότερο από τους υπολογιστές. Για σκέψου… για όσους έχουν κάνει θητεία στο στρατό, θα ξέρουν ήδη την έννοια του password: τα γνωστά σε όλους μας σύνθημα και παρασύνθημα δεν είναι κάτι άλλο από ένα password! Το πρόβλημα είναι πως, όπως ο οποιοσδήποτε μπορεί να στήσει αυτί και να ακούσει το σύνθημα και το παρασύνθημα, έτσι και κάποιος μπορεί να… στήσει μάτι και να δει το password. Ή και να το μαντέψει. Τώρα, η Microsoft θέλει να ξεφορτωθεί τα passwords μια και καλή και να προχωρήσει σε νέες μεθόδους ταυτοποίησης.
Ακριβώς όπως και ένας ωτακουστής που δεν χρειάζεται να ακούσει ξεκάθαρα το σύνθημα – ακόμη και έναν γενικό ήχο να ακούσει, πολλές φορές αρκεί, γνωρίζοντας πως το σύνθημα είναι μια κανονική λέξη – για να το εκμαιεύσει, έτσι και στην πληροφορική υπάρχουν τρόποι για να εκμαιεύσει κάποιος το password, ακόμη κι αν δεν το έχει δει. Οι περισσότεροι άνθρωποι δεν ασχολούνται καν με το να βάλουν passwords μακρόσυρτα και εντελώς τυχαία (πχ aKv!93vDF@v8%|3bbΒ[/o424lVl7) αλλά επιλέγουν κάτι μικρό που μπορούν να θυμόνται και να πληκτρολογούν εύκολα (πχ maria1994), τα οποία passwords μπορούν να σπάσουν χωρίς ιδιαίτερη προσπάθεια, μέσα σε δευτερόλεπτα. Το ίδιο και «εξυπνάδες» του τύπου pa$$w0rd!23.
Η μόδα της εποχής, όσον αφορά το login, είναι τα SMS επιβεβαίωσης, στα πλαίσια του λεγόμενου two-factor authentication (2FA), αλλά οι ειδικοί έχουν αποδείξει πως η υποκλοπή SMS (SIM spoofing) είναι πολύ απλή υπόθεση, διότι τα δίκτυα κινητής δεν σχεδιάστηκαν εξ αρχής για να παρέχουν τέτοιου επιπέδου προστασία.
Η πορεία που έχει διαλέξει η Microsoft είναι η δική της τεχνολογία (προφανώς) ασφαλείας, η οποία υλοποιείται μέσω ενός app για smartphone, το Microsoft Authenticator, αν και δεν απορρίπτει τεχνολογίες όπως το Windows Hello, κλειδιά ασφαλείας ή κωδικοί επαλήθευσης τους οποίους στέλνει στο e-mail σου.
Εδώ βέβαια ίσως θα έχεις παρατηρήσει μια ανακολουθία: στην ουσία η Microsoft δεν έχει εφεύρει κάποια νέα μέθοδο ταυτοποίησης αλλά απλά μετακυλεί το πρόβλημα της ταυτοποίησης σε μια άλλη εφαρμογή ή μέθοδο. Για παράδειγμα, αν έχεις όντως το Microsoft Authenticator στο κινητό σου το οποίο κάποιος έχει κλέψει, η ασφάλεια των δεδομένων σου μεταφέρεται στη μέθοδο ασφαλείας του κινητού! Ομοίως, με κωδικούς επαλήθευσης στο e-mail, το βάρος της ταυτοποίησης μεταφέρεται στον πάροχο του λογαριασμού e-mail. Βέβαια, εδώ μπορεί να παρατηρήσεις πως τα σύγχρονα smartphones διαθέτουν βιομετρικές μεθόδους ταυτοποίησης, όπως ο σαρωτής δακτυλικού αποτυπώματος ή η κάμερα με αναγνώριση προσώπου – το ίδιο έχουν και τα Windows με το Windows Hello – όμως η ασφάλεια αυτών των μεθόδων και το πόσο εύκολο είναι να παρακαμφθούν είναι ένα άλλο θέμα συζήτησης. Εάν, για παράδειγμα, δεν χρησιμοποιείς κάποια μέθοδο βιομετρικής ταυτοποίησης (δακτυλικό αποτύπωμα, αναγνώριση προσώπου, σάρωση ίριδας κλπ) αλλά εξακολουθείς κι έχεις το smartphone σου ξεκλείδωτο (ή έστω με ένα υποτυπώδες PIN), τότε τα οράματα της Microsoft για εξάλειψη των passwords απλώς είναι όνειρα θερινής νυκτός και απλώς κρύβουν το πρόβλημα κάτω απ’ το χαλί. Τουλάχιστον, όμως, κάνουν μια κάποια προσπάθεια.