Есть ли жизнь без паролей?

Можете ли вы представить себе будущее, в котором мы сможем обезопасить себя в Интернете, не запоминая громоздкий список паролей? Сегодня все активнее появляются решения, которые помогают избавиться от необходимости запоминать наборы символов, однако неизбежно будут возникать другие проблемы с безопасностью, которые также придется решать.

Пароли представляют собой один из столпов безопасности и, особенно, аутентификации. Когда-то секретные слова использовались римской гвардией во время ночной смены стражей, а сегодня наборы цифр, букв и символов являются одним из краеугольных камней цифровой безопасности.

И хотя технологический спектр применения паролей значительно изменился со времен гладиаторских боев, за исключением некоторых рекомендаций по их сложности, правила использования паролей практически не изменились.

Чтобы полностью принять четвертую промышленную революцию, пришло время вернуть Кесарю кесарево, и внедрить решения для аутентификации, достойные нашего времени.

Больше паролей, меньше безопасности

Взрыв развития онлайн-сервисов привел к резкому увеличению числа личных и профессиональных учетных записей. Согласно исследованию, проведенному в 2017 году, на одного пользователя в среднем приходится 191 учетная запись в различных сервисах и на сайтах. В результате повторное использование паролей от одной учетной записи к другой или создание паролей по легкому угадываемому образцу – обычная, хотя и весьма дурная, практика.

Итак, как ИТ-менеджеры могут должным образом защитить доступ к корпоративной сети, когда половина сотрудников проходит проверку подлинности с использованием того же пароля, который они используют для входа в свои учетные записи Вконтакте или Gmail?

Это сложный вопрос, и переложение ответственности на пользователей путем введения все более сложных и разнородных правил к составлению паролей не помогает. В 2016 году на из всех скомпрометированных паролей «123456» использовался почти каждой пятой жертвой.

И даже когда пользователи соблюдают правила, компании, управляющие данными этих пользователей, могут этого не делать, в то время как сами они подвержены уязвимостям в технологиях, которые они не контролируют.

В ответ на резкое увеличение количества учетных данных некоторые компании начали предлагать службы проверки подлинности прокси-серверов или менеджеры паролей, однако при этом вводят единые точки отказа.

Менеджеры паролей - это программное обеспечение, а значит, они также могут иметь уязвимости. Взлом главного пароля такого программного «запоминателя» паролей предоставляет доступ ко всем сохраненным учетным данным. Что касается прокси-сервисов аутентификации, последнее нарушение данных, затронувшее Facebook, является примером последствий применения подобных решений.

По оценкам компании Gemalto (одной из ведущих мировых компаний по цифровой безопасности) за первые шесть месяцев 2018 года утекло более 4,5 миллиардов единиц персональных данных - почти 300 в секунду!

В подобном контексте закономерно возникает вопрос: возможно ли вообще аутентифицироваться безопасно?

Можем ли мы исправить пароли?

Подводя итог, можно сделать вывод: с одной стороны, у современных пользователей слишком много паролей, которыми нужно управлять, а с другой стороны, пароли ежедневно просачиваются из центров обработки данных.

На стороне пользователя таргетированные кампании по повышению осведомленности улучшают так называемую «гигиену паролей». Менеджеры паролей также предлагают оперативную помощь с возможностью генерировать сложные пароли, хотя сами программы полагаются на единый мастер-пароль. Однако глобальное воздействие информационных кампаний остается ограниченным, в то время как менеджеры паролей далеко не популярны среди неспециалистов.

Чтобы избежать риска перехвата или утечки пароля, одним из решений является выполнение аутентификации на стороне пользователя. Fast Identity Online (FIDO) - это консорциум компаний, объединенных этой концепцией. Сегодня более 1,5 миллиарда пользователей могут проходить проверку подлинности без передачи пароля со своего компьютера. Физическое устройство, принадлежащее пользователю, управляет процессом аутентификации и указывает совместимым онлайн-сервисам, что эти пользователи действительно являются теми, за кого себя выдают.

FIDO предлагает решение, которое устраняет необходимость запоминать каждый из наших паролей. Тем не менее, большинство реализаций все еще работают с ПИН-кодом. Как и в случае с кредитными картами, PIN-код может быть украден, даже если вероятность остается низкой.

Можем ли мы представить себе будущее, в котором мы будем аутентифицироваться, ничего не вспоминая? Можем ли мы жить без паролей?

Многофакторная аутентификация

Жизнь без паролей или любой другой информации, которую нужно запоминать, сегодня возможна. Однако для того, чтобы это было достаточно безопасно, требуется реализация самого фундаментального принципа современной безопасности: глубокоэшелонированной защиты.

Этот принцип, изобретенный в 17 веке французским военным инженером Вобаном, за время своего существования защищал как каменные замки, так и атомные станции и компьютерные сети. С точки зрения аутентификации реализация этого принципа зависит от трех типов факторов:

• Тип 1: Что-то, что мы знаем (например, пароль или PIN-код).
• Тип 2: Что-то, что у нас есть (например, ключ от двери или бесконтактная карточка доступа).
• Тип 3: Что-то, чем мы являемся (например, отпечатки пальцев или ДНК).

В настоящее время механизм аутентификации считается достаточно безопасным для публичного использования, если он опирается как минимум на два фактора из двух разных категорий. Сочетание пароля и временного кода, отправленного по SMS, является, пожалуй, самым известным примером.

И хотя верно, что обойти такой механизм непросто, важно, чтобы каждый фактор был «достаточно» безопасным. Коды, отправленные с помощью SMS, не являются безопасными, поскольку мобильные телефоны могут быть подделаны, а неправильно выбранные пароли также не годятся, как уже говорилось выше.

Добавление фактора третьего типа может стать решением задачи. И это действительно так в средах с высокой степенью безопасности, но для широкой публики подобный способ оказывается слишком громоздким.

Итак, можем ли мы жить без паролей и без ущерба для безопасности?

#B0lshe-Nikakih-Par0lei

Комбинация факторов второго и третьего типов предлагает решение для аутентификации, не требующее запоминания информации. Конкретным примером такого решения может стать FIDO-совместимый цифровой ключ со встроенным биометрическим датчиком. И такое устройство совсем недавно было выпущено на рынок.

Таким образом, решения для обеспечения безопасности существуют, но их широкое распространение явно не произойдет в одночасье.

Безопасность - это процесс, который развивается параллельно с угрозами. Сегодня пароли - это высшая ценность, которую злоумышленники отчаянно пытаются украсть, поскольку для цифровой безопасности они по-прежнему крайне важны. Завтра этой ценностью могут стать биометрические решения, которые, кстати, тоже не безотказны.

Новые протоколы аутентификации принесут новые дилеммы. Что мы будем делать, когда наши отпечатки пальцев станут частью общественного достояния?

Появятся другие решения для аутентификации, которые также будут взломаны, и так далее.

Тем временем, чтобы сегодня мы могли двигаться вперед и приняли четвертую промышленную революцию, нам требуется решить сегодняшнюю проблему и отказаться от своих паролей.