Δε θυμάστε τον κωδικό σας; Ερευνητές του ΤΕΠΑΚ δίνουν την απάντηση

Είναι πλέον καθημερινό φαινόμενο για τους περισσότερους: Μπροστά από τον υπολογιστή να προσπαθούμε να ανοίξουμε τις διάφορες σελίδες στο διαδίκτυο αλλά και τους λογαριασμούς μας. Τράπεζες, ηλεκτρονικό ταχυδρομείο, σελίδες φορέων και Οργανισμών για να πληρώσουμε κάτι, ακόμα και τους προσωπικούς μας λογαριασμούς στα μέσα κοινωνικής δικτύωσης. Κωδικός για το ένα, κωδικός για το άλλο… κι όλα αυτά μέσα σε όλους τους άλλους αριθμούς που πρέπει να θυμόμαστε για χίλιες δυο ενέργειες και υποχρεώσεις. Πόσες φορές ο κωδικός μας που εμείς οι ίδιοι επιλέξαμε, μας δυσκόλεψε;

Πόσες φορές τον ξεχάσαμε μένοντας για ώρα να κοιτάμε την οθόνη του υπολογιστή μπας και θυμηθούμε τι επιλέξαμε για να κρατήσουμε μακριά τους «εισβολείς» από τους προσωπικούς μας λογαριασμούς αλλά στο τέλος μπερδευόμαστε κι εμείς; Είναι πλέον ευρέως γνωστό ότι η διατήρηση και αποθήκευση αυτού του μεγάλου φορτίου κωδικών μπορεί να γίνει χαοτική. Οι ειδικοί στα θέματα Πληροφορικής το ονομάζουν «πρόβλημα υπερφόρτωσης κωδικού πρόσβασης» και σημειώνουν ότι αυτό το φαινόμενο πολύ συχνά αναγκάζει τους χρήστες των διαδικτυακών υπηρεσιών να μπαίνουν σε έναν φαύλο κύκλο επαναφοράς του κωδικού πρόσβασής τους, αφού περίπου το 41% των χρηστών ξεχνά τους κωδικούς του τουλάχιστον μια φορά τον μήνα. 

Μια ομάδα ερευνητών του ΤΕΠΑΚ χρηματοδοτήθηκε από την Ευρωπαϊκή Ένωση, στα πλαίσια του προγράμματος Horizon 2020, για να λύσει το πιο πάνω θέμα. Οι ερευνητές πρότειναν το έργο ReCRED και δημιούργησαν μία νέα πλατφόρμα ελέγχου πρόσβασης και διαχείρισης ταυτότητας, η οποία συνδέει όλους τους ηλεκτρονικούς και φυσικούς λογαριασμούς του χρήστη με τη φυσική του ταυτότητα, καθιστώντας την κινητή συσκευή υπεύθυνη να αναλάβει όλο το βάρος της αυθεντικοποίησης του χρήστη χωρίς ο ίδιος να χρειάζεται να θυμάται οποιονδήποτε κωδικό πρόσβασης. 

Σύμφωνα με το ΤΕΠΑΚ, οι κινητές συσκευές τις οποίες όλοι σήμερα κουβαλούμε παντού μαζί μας έχουν αρκετά μεγάλη υπολογιστική δύναμη για να μπορούν να διαχειριστούν εκατοντάδες λογαριασμούς και εφαρμογές, χρησιμοποιώντας διάφορες ρυθμίσεις ασφαλείας, κρυπτογραφικά κλειδιά και βιομετρικά στοιχεία. Το έργο ReCRED παρήγαγε προηγμένες λύσεις λογισμικού για την αντιμετώπιση του προβλήματος υπερφόρτωσης κωδικού πρόσβασης, ώστε ο χρήστης να μπορεί να έχει πρόσβαση στους λογαριασμούς του χωρίς να χρειάζεται να θυμάται πολλαπλά password.

Ο στόχος του ReCRED

Ο στόχος του έργου ήταν η αντικατάσταση του κωδικού πρόσβασης, κάτι το οποίο ο χρήστης πρέπει να θυμάται, με κάτι που ο χρήστης είναι! Όπως για παράδειγμα ένα δακτυλικό αποτύπωμα ή ίριδα του ματιού του αλλά και κάτι που ο χρήστης έχει όπως είναι μία κινητή συσκευή. Έτσι το ReCRED, παρέχοντας προηγμένη και ευέλικτη αρχιτεκτονική, κινείται πέρα από την εποχή του κωδικού πρόσβασης βελτιώνοντας την ασφάλεια των χρηστών στο διαδίκτυο, αναδεικνύοντας τις κινητές συσκευές ως κύριους μεσολαβητές εξουσιοδότησης πρόσβασης στις διαδικτυακές υπηρεσίες βάσει βιομετρικών χαρακτηριστικών και ασφαλισμένων κρυπτογραφικών κλειδιών.

Σύμφωνα με την επεξήγηση του ερευνητικού έργου, ένα άλλο πρόβλημα που κλήθηκε να λύσει ήταν η εύκολη απόδειξη συνιδιοκτησίας διαδικτυακών λογαριασμών. Το ReCRED προσφέρει στον χρήστη τη δυνατότητα να έχει ασφαλή πρόσβαση σε όλες τις διαδικτυακές υπηρεσίες, ανεξάρτητα από την εφαρμοζόμενη μέθοδο αυθεντικοποίησης της κάθε υπηρεσίας. Η «Μονάδα Ανάκτησης Ηλεκτρονικής Ταυτότητας» δεσμεύει τους διάσπαρτους ηλεκτρονικούς λογαριασμούς των χρηστών αφού πρώτα λάβει ρητή εξουσιοδότηση από τον χρήστη. Έτσι, το έργο θέτει τέλος σε ακόμη ένα γνωστό πρόβλημα, το πρόβλημα της κατακερματισμένης ταυτότητας στο διαδίκτυο. Με αυτόν τον τρόπο οι χρήστες του ReCRED είναι πλέον σε θέση να αποδείξουν την ιδιοκτησία διάφορων λογαριασμών από διαφορετικούς παρόχους ταυτότητας, να τις συνδέσουν μεταξύ τους και να ενοποιήσουν όλα τα χαρακτηριστικά της ηλεκτρονικής αλλά και της φυσικής ταυτότητάς τους κάτω από έναν μοναδικό λογαριασμό ReCRED.

Προστατεύεται η ιδιωτικότητα;

Εκτός από το πρόβλημα της υπερφόρτωσης κωδικών πρόσβασης και της κατακερματισμένης ταυτότητας, οι ερευνητές ήρθαν αντιμέτωποι με ακόμη ένα πρόβλημα. Πώς μπορούμε να προστατεύσουμε την ιδιωτικότητα του χρήστη απέναντι σε διάφορες υπηρεσίες; Ένα τυπικό σενάριο έκθεσης της ταυτότητας και ιδιωτικότητας του χρήστη σχετίζεται με ορισμένες ηλεκτρονικές υπηρεσίες οι οποίες απαιτούν από τους χρήστες να συνδεθούν με υπηρεσίες όπως  το Facebook ή τη Google για να τους δοθεί πρόσβαση. Με τη σύνδεσή τους οι χρήστες εκθέτουν διάφορα χαρακτηριστικά του λογαριασμού τους τα οποία ίσως να μην είναι αναγκαία για τον πάροχο της υπηρεσίας.

Η πρόσβαση βάσει χαρακτηριστικών ταυτότητας φαίνεται να είναι μια από τις καλύτερες λύσεις για την ασφάλεια της ιδιωτικότητας του χρήστη. Τα διάφορα χαρακτηριστικά της ταυτότητας του χρήστη, όπως η ηλικία, η εθνικότητα ή το επάγγελμα, μπορούν να χρησιμοποιηθούν για την πρόσβαση σε δεδομένα, πόρους ή υπηρεσίες, χωρίς να εκτεθεί ολόκληρη η ταυτότητά του.

Όπως επισήμανε ο τεχνικός συντονιστής του προγράμματος δρ Μιχάλης Σιριβιανός, επίκουρος καθηγητής ΤΕΠΑΚ, το ReCRED ζητά τη ρητή συγκατάθεση του χρήστη πριν να εκθέσει συγκεκριμένα χαρακτηριστικά της ταυτότητάς του σε μια υπηρεσία για να χρησιμοποιηθούν σαν ανώνυμα διαπιστευτήρια. Έτσι, διασφαλίζεται ότι ο χρήστης μπορεί ανά πάσα στιγμή να ελέγξει τι δεδομένα ξέρει ο κάθε παροχέας για το πρόσωπό του, δίνοντάς του επίσης τη δυνατότητα να ανακαλέσει την πρόσβαση στα χαρακτηριστικά της ταυτότητάς του από συγκεκριμένες υπηρεσίες.