OpenAI ottaa käyttöön uuden tason tilisuojauksen tuomalla fyysisiin turva-avaimiin perustuvan kirjautumisen osaksi ChatGPT:tä. Yhteistyössä Yubicon kanssa toteutettu ratkaisu perustuu laitteistopohjaisiin passkey-avaimiin, joita pidetään tällä hetkellä vahvimpana keinona estää tilikaappauksia.
- Avaimet ovat yksi parhaita tapoja suojata tili kalasteluyrityksiltä, sanoo OpenAI:n tietoturvajohtaja Dane Stuckey. Hänen mukaansa yhtiö on jo pitkään suojannut omat työntekijänsä vastaavilla avaimilla, ja nyt sama suoja tuodaan käyttäjille.
Uusi ratkaisu tarkoittaa käytännössä sitä, että pelkkä salasana tai tekstiviestivarmennus ei enää riitä kirjautumiseen, vaan käyttäjän on tunnistauduttava fyysisellä avaimella. Tarjolla on esimerkiksi NFC-yhteensopiva avain mobiilikäyttöön sekä USB-porttiin jäävä nanoavain kannettaville tietokoneille.
Tekniikka perustuu niin sanottuihin passkey-tunnisteisiin, joissa kirjautuminen sidotaan laitteen ja palvelun väliseen kryptografiseen avainpariin. Tämä tekee phishing-hyökkäyksistä käytännössä tehottomia, koska tunnistetietoja ei voi huijata väärälle sivustolle.
Ratkaisun taustalla on nopeasti kasvanut kiinnostus AI-tileihin hyökkäyskohteina. ChatGPT-tilit voivat sisältää arkaluonteista dataa, kehittäjien API-avaimia ja yrityskäytön aineistoa, mikä tekee niistä houkuttelevia kohteita kyberhyökkäyksille.
Yubicon toimitusjohtaja Jerrod Chongin mukaan tavoitteena on tuoda phishingin kestävä tietoturva skaalautuvasti koko AI-ekosysteemiin. Yhtiön kehittämät YubiKey-avaimet ovat laajasti käytössä yritysidentiteetin suojauksessa, ja nyt sama malli laajenee kuluttajapuolen AI-palveluihin.
OpenAI:n liike on osa laajempaa kehitystä, jossa kirjautuminen siirtyy pois salasanoista kohti laitteistopohjaisia ratkaisuja. Samalla AI-palveluiden tietoturva alkaa muistuttaa yhä enemmän kriittisen pilvi-infrastruktuurin suojaustasoa.
