Forresterova analitičarka Eve Maler kaže da će lozinke biti metoda autentifikacije u doglednoj budućnosti, ali promjene u IT stavovima to mogu učiniti prihvatljivim.
Upravo kad nada i Mat Honan imao je lozinku nekoliko čavala od zatvorenog lijesa, tu riječ dobivamo od Eve Maler, koja ima impresivan životopis kao velika mislilac u zajednici identiteta i sada je u Forrester Researchu: "Ne vjerujem da je 'era lozinki gotova' stvar."
Budući da znam da je Maler pošten, staložen i temeljit, vrijedi stati poslušati.
"Ne vidim budućnost u kojoj statične dijeljene tajne ne čine dio strategije autentifikacije", rekla mi je. "To je rijetka strategija autentifikacije s više faktora koja ne uključuje lozinku ili PIN negdje duž linije kao jednu od 'stvari koje znate'", rekla je u svojoj najnovijoj blog.
Nije da se Maler želi zadovoljiti s onim što se pokazalo ranjivim računalnim naslijeđem koje se ne može suprotstaviti trenutnim hakerskim alatima. Ili za što misli da je desetljeće duga popularnost 12345 dokazuje svoju vrijednost kao sigurna lozinka.
To je zato što shvaća da lozinke, koje trenutno žive u svijetu vilica i baklji, imaju neke vrlo privlačne osobine koje nemaju nikakve veze s hakiranjem.
Na svom je blogu napisala: "Lozinke su previše korisne da bi u potpunosti nestale, i zato što je zgodno moći sinkronizirati podatke autentifikatora između surađujući sustavi (i ljudi) i zato što ljudi smatraju da je korištenje lozinki manje invazivno, nezgodno ili osobno identificirajuće od mnogih drugih opcije."
Činjenica da su "invazivno" i "osobno identificiranje" važni koncepti u zajednici privatnosti daje vjerodostojnost Malerovom argumentu.
Maler kaže da se IT udaljio od zdravog razuma autentifikacije i da ona pozdravlja ovu rastuću raspravu oko lozinki jer potiče nove ideje koje IT treba istražiti.
"Ako na lozinke gledate široko, pobrinite se da ne ovisite o njima više nego što ih možete baciti", rekla je. "Ili ako ovisite o njima, počnite graditi na način da ih rutinski rotirate i pobrinite se da pravila koja imate za njihovu 'nepogađanje' i 'neprovalivost' imaju smisla [krajnjim korisnicima]."
Maler počinje čuti da tvrtke koje su primijenile dvofaktorsku autentifikaciju počinju dugo razmišljati o dodavanju projekta federacije u kombinaciju.
“Vjerojatno ćemo vidjeti više federacije kao rezultat manjeg oslanjanja na lozinke i prelaska na dodatne stvari u lancu autentifikacije. Ne nužno mijenjati lozinke, već ih dodavati", rekla je.
Natrag na staloženost i temeljitost, Maler ne govori samo svijetu da se "ohrabri".
Iznijela je tri prijedloga za početak 2013. i možda će to postati neka vrsta mema grupe za podršku dok prijave (autentifikacija) i kontrola pristupa (autorizacija) ne dođu na bolje mjesto.
Evo njezinih prijedloga (ako želite potpuno objašnjenje, posjetite njezin blog):
- Ne oslanjajte se samo na lozinke za osjetljive operacije. Iskoristite provjeru autentičnosti temeljenu na riziku kako biste stavili u igru više čimbenika provjere autentičnosti na način koji što je moguće manje neugodan za vaše korisnike.
- Prestanite prisiljavati korisnike da ubadaju konac u iglu vaših pravila o lozinkama. Politike lozinki imaju dobre namjere, ali su često pogrešne.
- Razmotrite "push" modele za osvježavanje korisničkih lozinki. Ljudi stvarno, stvarno mrze mijenjati lozinke. To je zato što smo na njih stavili teret da obave sav posao.