Reklama.
Reklama.
Reklama.
Hasła to bzdura i ten polski start-up to udowadnia. Gdyby tylko banki użyły jego prostej sztuczki...
Informacje o kolejnych przeciekach z tajnych baz danych czy kradzieży kilku milionów haseł do logowania trwale wpisały się w medialny krajobraz. Dość wspomnieć atak na polskie banki, który miał miejsce na początku lutego. Takie wiadomości przestały już dziwić, ba, można je traktować z pewną dozą obojętności. Do czasu, aż nasze dane nie padną łupem hakerów. Hasła zatem to już przeszłość – taką teza postawili sobie założyciele Cyberus Labs. Krakowski start-up chce zrewolucjonizować uwierzytelnianie w internecie przy pomocy... dźwięku.
Reklama.
Marka Ostafila, współzałożyciela i dyrektora ds. operacji Cyberus Labs, łapię w momencie, kiedy akurat przebywa w Barcelonie. Nie uciekł jednak od nieciekawej aury w Polsce – wkrótce rusza Mobile World Congress. To największa impreza technologii mobilnych na świecie. Oprócz wystawców i wielkich firm, pojawią się tam również inwestorzy. I taka jest misja Ostafila – zainteresowanie partnerów rozwiązaniem prosto z Krakowa.
W zeszłym roku tylko w USA skradziono 20 milionów hasła i dane osobowe 20 milionów pracowników federalnych – mów Ostafil w rozmowie INN:Poland. – Z czego ponad 5 milionów to były dane biometryczne, które należały między innymi do tajnych agentów. Hasło można zmienić, ale swojej biometryki już nie. Zabezpieczenia, które są obecnie wykorzystywane, nie zapewniają bezpieczeństwa użytkownikom – podkreśla.
Zdaniem Ostafila, ciągłe ulepszanie haseł, opartych o starą metodologię, to nic innego jak walka z wiatrakami. Firmy bowiem wprowadzą nowe zabezpieczenia, jednak pozostaje tylko kwestią czasu, zanim hakerzy znowu je złamią. O czym zresztą boleśnie przekonały się banki w Polsce, które zaatakowali.
Dlatego przy tworzeniu swojego rozwiązania, Cyberus Labs zdecydowało się wykorzystać szyfr Vernama. Ta metoda nie jest niczym nowym, bo jej twórca, Gilbert Vernam, zaproponował ją już w 1917 roku. Technika ta polega na wysyłaniu niepowtarzalnych kodów jednorazowych o losowym ciągu znaków. Metoda ta jest właściwie nie do złamania, ale problemem w jej implementacji jest bardzo duża długość klucza, która czasem może być większa od samej wiadomości. Tutaj jednak pojawia się myśl techologiczna z Krakowa.
Mianowicie, Jack Wolosiewicz, współzałożyciel Cyberus Labs, opracował ten szyfr w formie dźwiękowej. Wolosiewicz ma 25 lat doświadczenia we wdrażaniu rozwiązań z zakresu kodowania informacji audio. Dlatego rozwiązanie polskiego start-upu pod nazwą CYBERUS KEY ma być bezpieczne i wygodne.
Po instalacji aplikacji mobilnej CYBERUS KEY na smartfonie lub tablecie, wchodzimy z drugiego urządzenia na stronę, na którą chcemy się zalogować. Może to być, poczta elektroniczna, sklep internetowy, bank – wszystko, co wymaga jakiejś formy weryfikacji naszej tożsamości. W momencie logowania, widget zainstalowany w przeglądarce operatora wysyła sygnał dźwiękowy. Aplikacja z telefonu rozpoznaje go nawet wtedy, gdy jesteśmy w gwarnym miejscu) i odblokowuje nam dostęp do strony. Bez zapamiętywania i wpisywania haseł.
– Człowiek z natury jest leniwy – mówi Ostafil. – Hasło dostępu do komputera stworzono na MIT w latach 70., kiedy tych maszyn było dosłownie kilka na kampus. Teraz, kiedy tych urządzeń jest są miliardy na całym świecie (a my korzystamy z wielu serwisów internetowych), musimy często pamiętać dane logowania do kilkunastu różnych stron. I co zazwyczaj robimy? Ustawiamy podobne lub takie samo hasło. W przypadku udanego ataku hakerzy mają dostęp do naszych danych i pieniędzy– argumentuje.
Rozwiązanie CYBERUS KEY jest wygodnie, bo wymaga jednego kliknięcia, i bezpieczne. Pytanie tylko, co się stanie, kiedy cyberprzestępcy przechwycą transmisję? Zasadniczo nic. Ostafil mówi, że ta informacja po prostu nic im nie powie. Nie mają punktu odniesienia, dokąd chcieliśmy się zalogować, ani nawet kto go użył. A jeśli padniemy ofiarą bardziej „offlineowego” ataku, wtedy na stronie start-upu wystarczy zablokować telefon.
Rozwiązanie CYBERUS KEY wyłącza z przestępczego równania dwie popularne formy ataku – phising oraz tak zwany Man In The Middle (modyfikacja wiadomości między dwiema stronami bez ich wiedzy). Ten pierwszy jest bardzo popularny: jak czytamy w raporcie Kaspersky Lab, do takiego ataku dochodziło w 2016 roku co sekundę.
Cyberus KEY weryfikuje obie strony połączenia – wiadomo, kto chce się połączyć, i z kim się łączy. Dodatkowo, dane logowania, w przeciwieństw do biometrycznych, nie są przechowywane i gromadzone. W efekcie trudno ukraść coś, czego de facto nie ma.
Aplikacja Cyberus KEY jest gotowa do użytku i trwają prace nad komercyjnymi wdrożeniami. Start-up pracował nad nim przez trzy lata, mówi Ostafil. Zespół, choć z polskim rdzeniem, ma w swoim składzie również programistów i inżynierów z Doliny Krzemowej (gdzie Wolosiewicz szlifował swoje umiejętności przez kilkanaście lat). Zresztą każdy z trójki założycieli ma ponad dwudziestoletnie doświadczenie w biznesie. Zapytany o plany na przyszłość i to, jak pracuje się w start-upie osobom z takim doświadczeniem, uchyla rąbka tajemnicy.
– Mamy już gotowe rozwiązanie, teraz pracujemy nad wdrożeniami a potem planujemy znaleźć inwestora na rowój firmy. Nasze rozwiązanie nada się zarówno dla małych i średnich przedsiębiorstw z branży e-commerce, jak i dużych graczy, pokroju banków czy instytucji finansowych. Dzięki temu mogą sporo zaoszczędzić, na przykład na obsłudze klienta, bo nie będzie trzeba dzwonić i resetować hasła, tylko od razu widać, kto się logował. A nasz wiek? Cóż, mam znajomych po sześćdziesiątce, którzy założyli start-up. Taka forma nam odpowiada, bo jest elastyczna. Wiek nie wyklucza – śmieje się.
Napisz do autora: grzegorz.burtan@innpoland.pl
Reklama.