O echipă de IT-işti din Cluj scoate din ecuaţie această vulnerabilitate şi, cu ajutorul aplicaţiei Unloq, reuşeşte să revoluţioneze felul în care conturile sunt accesate de utilizatori. IT-iştii de la Evozon au început proiectul gândindu-se la parole: „ce ar fi dacă n-ai avea parola şi ai avea doar ID-uri?”. Apoi au mers mai departe şi au încercat să găsească o soluţie cu privire la înlocuirea lor. „Dacă te uiţi la o companie sau la un serviciu online, modul în care îşi asigură securitatea e ca şi în cazul unui castel, în jurul căruia pui ziduri, un râu, încă un rând de ziduri. Dar dacă cineva intră în castel acolo găseşte depozitul de bani, lingourile. Modul în care încerci să protejezi bunurile e construind ziduri în jurul castelului. Problema pe care ne-am pus-o noi e cum ar fi dacă nu ar exista niciun stimulent? Dacă tu intri în acel castel dar nu eşti autorizat, nu găseşti nimic. În jurul acestei filosofii am lucrat noi”, a explicat Mircea Patachi, CEO Unloq şi developer la Evozon, compania care a dezvoltat Unloq.
Problema mare cu parolele e că sunt multe breşe de securitate şi conturi expuse dacă bazele de date sunt sparte, explică IT-iştii clujeni, care spun că oricât de bine te protejezi tu eşti dependent de cât de bine se protejează vecinul tău, respectiv cel căruia îi încredinţezi datele. Există undeva între 60-70% şanse ca şi utilizatorul să fie expus dacă există o lipsă de protecţie din partea companiilor.
Mai mult, parolele folosite de utilizatori nu respectă, de obicei, recomandările specialiştilor. „Statisticile arată că majoritatea parolelor sunt „1234” sau „password” şi altele de genul acesta. Problema nu e însă la utilizator. Atâta timp cât tu îl obligi să facă asta şi asta şi asta, e ca şi cu legiutorul în România, care îţi dă mii de pagini de legislaţie şi se aşteaptă să le ştii. Fii serios! N-ai capacitatea! Problema e la noi, cei care facem tehnologia, noi trebuie să le dăm un mijloc pe care utilizatorul poate să-l acceseze în condiţii de siguranţă. Media de conturi pentru fiecare persoană e între 50 şi 100, în funcţie de studiul pe care îl citeşti, dar creşte într-un ritm de 10-15% în fiecare an. Nu poţi să pretinzi omului să ştie o sută de parole, toate să fie diferite, din 12 caractere, cu lietere mari şi caractere speciale şi cifre. Responsabilitatea e a noastră, a dezvoltatorilor de tehnologie, nu a utilizatorilor”, a explicat Patachi.
Astfel, soluţia lor, Unloq, elimină tocmai această vulnerabilitate, printr-o aplicaţie pe smartphone. „E mai uşor să ai o soluţie pe mobil. Într-un browser sau într-o aplicaţie introduci doar e-mailul, ajunge la serverul care gestionează aplicaţia şi ne întoarce nouă un cod cu e-mailul respectiv, noi identificăm userul şi îi trimitem o notificare pe smartphone. Sistemul are în spate multe mecanisme de control, inclusiv un „city wall”, unde putem să restricţionăm accesul numai la Cluj sau orice alt oraş, sau doar de pe un IP sau o serie de IP-uri. Dacă intri într-un browser şi introduci contul şi parola, toate datele se transmit printr-un singur canal, de la browser la server. Asta lăsând la o parte faptul că nu toate serviciile folosesc criptare şi că există malware care poate intercepta datele. În cazul nostru confirmarea ID-ului se face pe un alt canal, care, cel puţin la nivel teoretic, e de zece ori mai bun din punct de vedere al securităţii”, susţin II-iştii clujeni.
Metoda poate fi, într-un fel, comparată cu felul în care acţionează hackerii, care îşi „pierd urmele” folosind diferite canale şi IP-uri „împrăştiate” pe tot globul. „Aici e un etaj de hackeri”, spune Mircea Patachi. „Să ajungi să penetrezi sistemele noastre trebuie să spargi mai multe părţi, inclusiv telefonul utilizatorului. Dacă tu ţii toate parolele în baza de date cine sparge baza de date are acces la toate parolele, cum a fost cazul LinkedIn. Sistemul Unloq funcţionează pe baza unor „chei” personale care decriptează datele. Datele sunt criptate întotdeauna, singurul loc unde nu sunt criptate sunt în browser. Parola este „hash”-uită (tocată – n.red.) de câteva sute de ori”, mai explică CEO-ul Unloq.
Partea de criptare ce ţine de Unloq e făcută la standarde internaţionale, recomandate inclusiv de FBI şi NSA, însă IT-iştii clujeni spun că partea interesantă e generarea de chei şi felul în care se creează cheile, pe straturi. „E ca un fel de cub Rubik”, explică Mircea Patachi.
Unloq e o aplicaţie ce poate fi implementată pe orice site, în orice aplicaţie desktop, însă ciclul de vânzare e de lungă durată şi, iniţial, se va merge pe proiecte pilot. „În schimb sunt multe firme mici care ar putea beneficia de asta iar preţul la care noi vindem securitatea e „jenant”. E mai ieftin decât să trimiţi un SMS de confirmare. În zona de IT este o vorbă: „Partea tehnică este uşoară, partea grea e să îţi dai seama cum se comportă utilizatorul şi ce îşi doreşte”. Oamenii s-au obişnuit cu parolele şi genul acesta de schimbare de comportament ia un timp. Avantajele pentru companii sunt multiple, susţine Mircea Patachi. Acesta a explicată că Unloq poate funcţiona sub brandul propriu al firmei, iar aplicaţia le va permite acestora să fie într-o relaţie şi mai directă cu utilizatorii, având posibilitatea să le trimită notoficări prin aplicaţie”, au precizat dezvoltatorii aplicaţiei Unloq.
Sursa: voceatransilvaniei.ro