INCOGNITO – cum să îți protejezi identitatea atunci când te autentifici pe site-urile web
Viețile noastre digitale și fizice sunt din ce în ce mai mult legate de aplicații, servicii și dispozitive pe care le folosim pentru a accesa un set complex de experiențe. Această transformare digitală ne permite să interacționăm cu sute de companii și mii de alți utilizatori în moduri de neimaginat acum câțiva ani.
Odată cu aceste noi moduri de a interacționa au apărut și provocările, care generează pe de altă parte soluții, astfel că lumea digitală este în permanentă schimbare și perfecționare.
O astfel de provocare o reprezintă autentificarea pe site-urile web prin metode care ar trebui să fie din ce în ce mai sigure. Însă, la o privire mai atentă se pot constata multe deficiențe.
În ultimii ani s-a descoperit un număr în creștere de utilizatori cu conturi online multiple, ce reflectă diferențe în aspectele ce țin de identitate, iar parolele, ca singur mod de autentificare, sunt în continuare cel mai utilizat instrument, lucru care diminuează securitatea utilizatorilor finali.
Scopul proiectului INCOGNITO dezvoltat de certSIGN este acela de a crea o platformă de autentificare si autorizare prin care utilizatorii să poată accesa servicii online divulgând doar acele atribute ale identității lor care sunt necesare. Pentru a realiza acest lucru, se folosește un software mobil avansat pentru a transforma criteriile de identitate online și fizice în dovezi de identitate validate și puternice din punct de vedere criptografic.
Obiectivul este păstrarea intimității utilizatorului în procesul de autentificare, astfel încât acesta să nu fie nevoit să divulge informații despre identitatea lui mai mult decât este necesar, implementând două concepte – “unlinkability” și “untraceability”.
Unlinkability – proprietatea prin care o entitate nu poate să își dea seama că ești aceeași persoană care aaccesat același site în zile diferite
Untraceability – proprietatea prin care o entitate nu poate să își dea seama că ești aceeași persoană care a intrat pe mai multe site-uri diferite
Cele două concepte se referă la faptul că unui utilizator nu îi poate fi urmărită activitatea online, nici dacă furnizorii de servicii hotărăsc la un moment dat să își împartă informațiile între ei.
Identitatea și cheia utilizatorului sunt păstrate în siguranță în telefonul mobil, în zona „Trusted Execution Environment”, acesta fiind unicul mijloc de autentificare.
În cazul în care utilizatorul vrea să se autentifice de pe desktop pe un site, nu este nevoie să fie emisă o parolă pe care să o introducă pentru a avea acces, ci îi va apărea un QR code, care prin scanare transmite serverelor că este aceeași persoană care utilizează telefonul mobil pe care are datele de identificare.
Există mai multe tipuri de autentificare, care nu sunt însă la fel de sigure:
- Pattern – oricine poate vedea modelul pe care îl desenezi atunci când activezi ecranul telefonului;
- Amprentă – nu ține cont de conștiință (poți dormi și cineva să îți folosească amprenta);
- Face recognition – este mai sigură, dar tot poate fi păcălită cu ajutorul mulajelor, de exemplu;
- Parole – ca mecanism în sine sunt sigure, însă managementul defectuos al parolelor îl face nesigur (ex: parola scrisă pe o foaie lipită pe spatele tastaturii).
Chiar și în cazul în care este folosită autentificarea multifactor, aceasta poate fi la rândul ei nesigură, atât timp cât fiecare factor de autentificare este la rândul lui nesigur.
Scenarii în care INCOGNITO poate fi utilizat:
- Interes de business
Poate fi implementat de către companiile care își doresc ca autentificarea utilizatorilor să fie sigură, dar și privată. Acestea pot fi: instituții financiare, instituții din zona medicală sau chiar furnizori de servicii destinate adulților. În oricare dintre situații, identitatea utilizatorilor este extrem de sensibilă și este important ca datele sau atributele personale să fie în siguranță.
- Interes personal
Accesarea de pe dispozitivele mobile îți permite să urmărești înregistrările de la TV, să îți accesezi camera video să vezi ce se întâmplă acasă sau să descarci documente de pe serverul de la birou atunci când ești la o conferință.
În contextul 5G vom fi din ce în ce mai conectați în mediul online, ceea ce necesită un sistem de autentificare din ce în ce mai sigur.
Conform cerinţelor Programului European de Cercetare Marie Skłodowska Curie H2020-MSCA-RISE-2018, GA 824015, din care INCOGNITO face parte, obiectivul principal al acestui proiect îl constituie schimbul de experiență între companiile private și universitățile europene, cu sprijinirea tinerilor cercetători în învăţarea noilor tehnologii și aplicarea acestora în proiecte inovatoare, noi sau existente.
Articol susținut de certSIGN