Frá aldamótum hafa lykilorðin mætt margvíslegu mótlæti. Of mörg veik lykilorð eru í umferð auk þess sem fólk hefur ríka tilhneigingu til að samnýta þau á mörgum vefsíðum. Hakkarar hafa nú betri tæki en áður til að brjótast inn á læst vefsvæði með því að láta vélbúnað reikna út og prófa lykilorð. Þá verður að hafa í huga að lykilorð verja notanda aðeins meðan á innskráningu stendur. Eftir að inn á læsta svæðið er komið, veitir lykilorðið ekki vörn lengur. Lykilorðið veitir heldur ekki vörn þegar notandi er óinnskráður á læsta svæðið. Erfitt getur verið að muna löng og flókin lykilorð, sérstaklega þar sem alls ekki er mælt með því að samnýta lykilorð á mörgum ólíkum vefsvæðum.
Öryggiskerfi styðja við lykilorðin
Þeir sem reka læstar vefsíður leggja nú vaxandi áherslu á aðra þætti en eingöngu lykilorð, einkum á áhættumat sem byggir á hegðunarvenjum eða -mynstri notandans. Dæmi um slíkt áhættumat er ásláttareinkenni, þ.e. hversu hratt notendur rita á lyklaborðið, hvaða stöfum þeir hafa tilhneigingu til að hika á og hversu hratt þeir teygja eða færa fingur á milli stafa á lyklaborðinu.
Algeng birtingarmynd þessa er þegar verslunarvefur biður notandann að endurtaka lykilorðið eftir að inn á læsta svæðið er komið. Það gerist til dæmis þegar notandi uppfærir viðkvæmar upplýsingar eða staðfestir fjárhagslega aðgerð. Búið er að taka í notkun tækni sem greinir ásláttareinkennin áður en inn á læsta svæðið er komið, en á því augnabliki er notandinn auðvitað óþekktur. Þegar notandinn er búinn að slá inn lykilorðið kannar kerfið hvort ásláttareinkennin komi heim og saman við önnur auðkenni, s.s. lykilorð. Þetta er mögnuð tækni.
Fjölþátta öryggi: Eitthvað sem þú veist, hefur, gerir og ert.
Úr eins þáttar öryggi í fjölþátta öryggi
Í stuttu máli má lýsa þróunarsögu lykilorða á eftirfarandi hátt:
- Í upphafi var svonefnt eins þáttar öryggi: Lykilorð.
- Síðan kom tveggja þátta öryggi: Lykilorð og auðkennislykill (eða ígildi hans).
- Þá kom þriggja þátta öryggi: Lykilorð, auðkennislykill og hegðun (þar á meðal aðstæður).
Þróuninni má einnig lýsa svo:
- Eitthvað sem notandinn veit (t.d. lykilorð).
- Eitthvað sem notandinn hefur (t.d. auðkennislykill, kort, SMS).
- Eitthvað sem notandinn gerir (t.d. mynsturgreining).
Í reynd er þriggja þátta auðkenning ekki réttnefni og réttara að tala um fjölþátta auðkenningu (e. multilayer). Mynsturgreiningin er aðeins eitt dæmi um þetta þriðja lag og einskorðast einkum við umhverfisgreiningar (vafra, viðbætur, tæki, stýrikerfi, skjáupplausn, tímasetningu, staðsetningu o.fl.). Öryggisheimurinn hefur verið gagnrýndur fyrir að tefla fram lausnum sem eru ekki sérlega notendavænar. Fjölþátta auðkenningu er einmitt ætlað að setja þægindi notandans í öndvegi.
Raddgreining eða augnskönnun í farsíma
Hraðar tækniframfarir, ekki síst í gerð farsíma, valda því að brátt má búast við að notast verði við auðkenningu sem byggir á líftækni, t.d. fingrafaraskönnun, augnskönnun eða raddgreiningu. Notandi mun þá þurfa að staðfesta auðkenni sitt með því að bera fingur að skanna, setja myndavélina á símanum upp við auga eða með því að tala í raddgreiningarforrit.
Því er hægt að bæta við fjórða punktinum:
4. Eitthvað sem notandinn er (t.d. fingraför, augnsteinar og rödd)
Í vaxandi mæli er síðastnefndu þáttunum spyrt saman: Eitthvað sem notandinn gerir – og eitthvað sem hann er. Í stað þess að tala um fjögurra þátta auðkenningu, fimm þátta og þannig koll af kolli, er talað um fjölþátta auðkenningu. Hún er í dag eitt sterkasta vopnið í þágu netöryggis – og erfiðasta viðfangsefni hakkara.
