Generativna umjetna inteligencija značajno mijenja način na koji nastaju i izvode se kibernetički napadi. Napadačima omogućuje brže prikupljanje informacija o ciljevima, optimizaciju zlonamjernog koda te izradu vrlo uvjerljivih i lokaliziranih phishing poruka. Time ne postaju nužno pametniji, već brži i učinkovitiji u već poznatim tehnikama socijalnog inženjeringa.
Takvi napadi sve češće ciljaju ljude, a ne sustave. Lažni audio i video sadržaji izrađeni pomoću tehnologije “deepfake”, uvjerljive poruke o plaćanju ili lažne potvrde identiteta često dovode do kompromitacije upravo zato što korisnik sam odobri radnju. U tom kontekstu lozinke i tradicionalne metode autentifikacije postaju najslabija karika.
Slabosti lozinki
Lozinke i druge slabe metode autentifikacije, poput jednokratnih kodova putem SMS-a ili e-pošte, i dalje predstavljaju jedan od najslabijih elemenata zaštite identiteta. Često se ponavljaju, lako kompromitiraju i teško ih je sigurno upravljati u većim sustavima. Napadi, međutim, ne ciljaju samo tehničke vjerodajnice – ljudski faktor ostaje presudan. Prema Verizon Data Breach Investigations Reportu (DBIR), koji se smatra industrijskim standardom u analizi sigurnosnih incidenata, više od 40 % svih proboja povezano je s ljudskim pogreškama, phishingom i kompromitiranim vjerodajnicama. Drugim riječima, većina napada uspijeva iskorištavanjem povjerenja i nepažnje korisnika, često kroz slabosti samih mehanizama autentifikacije.
Zbog toga se sigurnosna praksa pomiče s onoga što korisnik zna (lozinka) prema onome što korisnik ima i jest – uređaj, sigurnosni ključ i biometrija. Standard FIDO2 (Fast IDentity Online 2) omogućuje autentifikaciju bez lozinki, temeljenu na kriptografskim ključevima koji ne napuštaju korisnikov uređaj. Takav pristup onemogućuje krađu vjerodajnica i značajno smanjuje rizik manipulacije. FIDO2 danas podržavaju svi najveći pružatelji digitalnih usluga, uključujući Google, Microsoft, Metu i druge, a njegova implementacija nije tehnički zahtjevna, što ga čini izvedivim rješenjem i za manje organizacije.
Važno je naglasiti da je autentifikacija bez lozinki jedina provjerljivo otporna na phishing napade. Čak i ako napadač prevari korisnika, ne može potvrditi identitet bez fizičkog sigurnosnog elementa. Klasična višefaktorska autentifikacija – osobito ona koja koristi SMS, e-mail ili obavijesti za odobrenje – može biti zaobiđena. Napadi poput “umora od MFA zahtjeva” (MFA fatigue) ili “proxy napada u stvarnom vremenu” iskorištavaju naviku korisnika da odobrava zahtjeve bez dodatne provjere.
Zbog toga prelazak na prijavu bez lozinki nije samo tehnološka nadogradnja, već nužan sigurnosni standard. U kombinaciji s naprednim sustavima za otkrivanje prijetnji koji koriste strojno učenje i analizu ponašanja, organizacije mogu znatno smanjiti rizik od kompromitacije korisničkih računa i financijskih prijevara.
Obrana u slojevima
Tehnologija sama po sebi nije dovoljna. Sigurnosni sustav mora biti projektiran prema načelu slojevite obrane (obrana u dubinu), pri čemu se više zaštitnih mehanizama nadopunjuje kako bi se smanjila vjerojatnost proboja ili ljudske pogreške. Uz to, pristup “sigurnost po dizajnu” (security by design) znači da se sigurnost ugrađuje u svaku fazu razvoja informacijskog sustava – od arhitekture i planiranja do implementacije i održavanja – umjesto da se naknadno dodaje kao zaštitni sloj.
Sigurnosni proces mora uključivati i stalnu edukaciju korisnika, posebno u prepoznavanju socijalnog inženjeringa. Većina incidenata i dalje započinje ljudskom pogreškom, a ne tehničkim propustom.
U okruženju u kojem umjetna inteligencija omogućuje masovno generiranje uvjerljivih obmana, jedini vjerodostojan dokaz identiteta postaje onaj koji je kriptografski potvrđen i tehnički neponovljiv. Autentifikacija bez lozinki nije trend, nego nužan korak prema stvarnoj otpornosti na moderne prijetnje.
