ActivPass: niech Twoja aktywność będzie hasłem dostępu

O autorze

Łukasz Tkacz

Hasła są utrapieniem dzisiejszych czasów: z jednej strony musimy ich używać, z drugiej często zapominamy, lub nie stosujemy odpowiednio bezpiecznych. A co gdyby zamiast nich wykorzystać naszą codzienną aktywność i niektóre, czynności jakie wykonujemy? Na to pytanie postanowili odpowiedzieć badacze z USA i Indii, w efekcie powstał ActivPass.

System przez nich stworzony opiera się na wynikach badań, które pokazują, że ponad 95% użytkowników jest w stanie poprawnie odpowiedzieć na trzy proste pytania związane z ich ostatnią aktywnością. Z drugiej strony, z osób postronnych, a i to znajdujących się w naszym kręgu, zrobi to może już tylko 6% badanych. W efekcie można zadawać pytania dotyczące ostatniej aktywności, aby potwierdzić tożsamość. Pytania mogą dotyczyć choćby urządzeń, jakimi posługujemy się na co dzień – pytanie o nadawcę ostatniej wiadomości SMS, jaką otrzymaliśmy lub ostatnio odwiedzaną witrynę internetową to tylko dwa z wielu przykładów.

Pamięć ludzka dzieli się na dwa obszary: pamięci krótkoterminowej i długoterminowej. Informacje powtarzane lub bardzo dla nas istotne są przenoszone do „pamięci stałej”, inne zapamiętujemy tylko na chwilę, po czym o nich zapominamy. Twórcy projektu postanowili wykorzystać to w połączeniu z systemem, który wykrywa aktywności najbardziej nietypowe: atakujący mógłby się przecież domyślić, że dzwoniliśmy do domu. Nie będzie jednak w stanie odgadnąć, że rozmawialiśmy z jakąś dawno niewidzianą osobą, nam natomiast zapadnie to w pamięci jako coś nietypowego. ActivPass może do swojej pracy wykorzystywać najróżniejszą aktywność np. to, co robimy na Facebooku, połączenia, jakie wykonujemy, wysyłane wiadomości, a także analizowanie historii przeglądarki internetowej. Połączenie kilku różnych pytań ma z kolei zapewniać wysoki poziom bezpieczeństwa, wszystko to bez konieczności stosowania haseł.

Tutaj pojawia się pewien problem, który dla niektórych jest zupełnie nie do zaakceptowania. Aby system działał prawidłowo, konieczne jest monitorowanie naszej aktywności i zapisywanie informacji o tym, co robimy. Decydując się na ActivPass w zasadzie pozwalamy na działanie w tle swoistego „szpiega”, który wie o nas bardzo dużo i który dzieli aktywność na typową i nietypową, następnie służy do weryfikowania poświadczeń. Całość uczy się zachowania użytkownika, musi więc zbierać informacje na jego temat przez cały czas, co nie jest już takie bezpieczne, acz wymagane, aby system działał prawidłowo.

Choć ActivPass wydaje się rozwiązaniem całkiem ciekawym, traktować go należy raczej jako ciekawostkę, aniżeli prawdziwy zamiennik hasła. System ten mógłby posłużyć np. do wstępnej weryfikacji, ale w wielu przypadkach nadal będzie wymagane używanie siermiężnych haseł. To, co naprawdę jest nas w stanie ochronić to tak naprawdę połączenie kilku różnych składników: coś, co wiemy (np. łatwe hasło), coś, co posiadamy (np. token generowany na telefonie), a także to, czym jesteśmy (czyli biometria). Ich odpowiednie połączenie może zapewnić zarówno wygodę, jak i wysokie bezpieczeństwo.