Автор Тим Брукс
Устали запоминать или управлять длинными списками паролей? Хорошие новости: будущее будет без паролей. Возможно, вы даже сможете обойтись без пароля (или почти без пароля) для некоторых сервисов, которыми вы уже пользуетесь прямо сейчас.
Что означает «без пароля»?
Вход без пароля избавляет от необходимости указывать пароль, будь то тот, который вы помните или отслеживаете в диспетчере паролей. Вам все равно нужно будет запомнить идентификатор, например имя пользователя или адрес электронной почты, но вы сможете подтвердить свою личность другими способами.
Существуют разные степени реализации сервиса без пароля. Конечная цель для многих - полностью удалить пароли, а это означало бы, что вообще невозможно войти в систему с паролем. Некоторые уже существующие подходы позволяют вам входить в систему с паролем в качестве опции, при этом позволяя вам подтвердить свою личность с помощью других средств.
Чтобы избавиться от паролей, используются различные методы, позволяющие проверить, являетесь ли вы тем, кем себя называете. Это может быть мобильное приложение-аутентификатор, доступ к которому есть только у вас, биометрические данные, такие как отпечаток пальца или сканирование лица, реальное физическое устройство, такое как карта-ключ или USB-накопитель, или менее безопасные подходы, такие как SMS или коды электронной почты.
Вам может потребоваться использовать более одного метода для подтверждения вашей личности. Двухфакторная аутентификация продемонстрировала важность многоаспектного подхода, и в зависимости от подхода, принятого какой-либо службой, к которой вы пытаетесь получить доступ, это может быть справедливо и в будущем без пароля.
Были достигнуты успехи в развертывании входа без пароля благодаря новым стандартам, таким как веб-аутентификация (WebAuthn). Такой подход устраняет необходимость в хранении биометрических данных, таких как записи отпечатков пальцев или изображения лиц, на центральном сервере, что может иметь разрушительные последствия для безопасности, с которыми невозможно справиться даже при взломе пароля.
Веб-аутентификация позволяет конфиденциальным данным оставаться на вашем устройстве, в то время как на сервер отправляется только ключ. Проверка происходит локально на вашем устройстве, а затем проверяется с помощью открытого ключа на сервере. Это избавляет от необходимости защищать секретную информацию на сервере (например, пароль), поскольку секрет должен существовать только на вашем локальном устройстве.
Какие преимущества дает отказ от пароля?
Одно из самых больших преимуществ отказа от пароля - простота. Хотя большинство людей уже привыкли к использованию менеджеров паролей, все же есть пароли (например, мастер-пароли), которые нужно держать в голове. В конце концов, вы не можете хранить пароль базы данных в базе данных, которая содержит ваши пароли.
Отказавшись от пароля, вы вместо этого можете подтвердить свою личность, ничего не запоминая. Возможно, вам потребуется пройти аутентификацию в мобильном приложении или отсканировать свое лицо или отпечаток пальца, и все.
Не все используют менеджер паролей, даже если должны. Некоторые по-прежнему полагаются на подход «маленькой черной книги», в то время как другие не используют уникальные пароли для каждой новой службы, на которую они подписываются. В то время как некоторые службы требуют двухфакторной аутентификации, многие этого не делают.
Взгляните на Have I Been Pwned, чтобы узнать, сколько утечек данных было связано с вашим адресом электронной почты, и вы быстро поймете, почему так много людей отчаянно пытаются избавить мир от паролей.
Полностью удаляя пароли, вы устраняете слабое место в безопасности учетной записи. Это не произойдет в одночасье, и многим потребуется время, чтобы смириться с будущим, в котором используются альтернативные методы проверки. Деловой мир уже принимает такие решения, как YubiKey, поскольку расходы, связанные с взломом паролей, могут быть очень высокими.
Эта стоимость не всегда означает деньги. Многие службы, например банки и пенсионные фонды, требуют, чтобы вы выполняли сброс пароля по телефону или даже по почте. Это требует времени как для банка, так и для клиента. Решения без пароля не всегда лишены трений, но они уделяют меньше внимания тому, чтобы конечный пользователь запомнил или защитил произвольную строку цифр, символов и букв.
Какие сервисы позволяют работать без пароля?
На момент написания статьи в ноябре 2021 года только Microsoft позволяет вам полностью отказаться от пароля. Это означает, что вы можете полностью удалить свой пароль из своей учетной записи и использовать службы Microsoft, включая Xbox, Microsoft 365 и Windows, без необходимости вводить или вставлять пароль.
Вы можете сделать это, загрузив приложение Microsoft Authenticator Android или iOS, а затем войдя в свою учетную запись Microsoft в веб-браузере. После входа в систему выберите «Дополнительные параметры безопасности», затем прокрутите вниз до «Дополнительная безопасность» и нажмите «Включить» рядом с опцией для учетной записи без пароля.
В рамках этого процесса вам будет предложено сохранить несколько резервных кодов, которые вы можете использовать для входа в свою учетную запись Microsoft, если вы потеряете доступ к приложению Microsoft Authenticator. Вы всегда можете повторно посетить веб-сайт параметров безопасности Microsoft и отключить эту функцию, которая позже восстанавливает пароль для входа в вашу учетную запись.
Google также движется к беспарольному будущему: в мае 2021 года компания объявила, что «создает будущее, в котором однажды вам вообще не понадобится пароль». Если у вас есть устройство Android, вы можете использовать свой смартфон для входа в Интернет, просто войдите в свою учетную запись Google, нажмите «Безопасность», затем выберите «Настроить» рядом с «Использовать телефон для входа».
Apple также предприняла шаги по внедрению беспарольных входов через Интернет в Safari с iOS 15 и macOS 12, выпущенными в конце 2021 года. Новая функция «пароли в связке ключей iCloud» теперь доступна для разработчиков, чтобы начать тестирование, хотя ничего не готово или доступно в потребительских сборках пока что.
Гаррет Дэвидсон из Apple объяснил на сессии WWDC 2021, как его подход использует WebAuthn с использованием пары открытых и закрытых ключей:
При использовании пар открытого и закрытого ключей вместо пароля ваше устройство создает пару ключей. Один из этих ключей является общедоступным; так же общедоступно, как и ваше имя пользователя. Им можно поделиться с кем угодно, и это не секрет. Другой ключ является личным… когда вы создаете учетную запись, ваше устройство генерирует эти два связанных ключа. Затем он передает открытый ключ серверу.
Теперь на сервере есть копия открытого ключа ... закрытый ключ остается на вашем устройстве, и только это устройство отвечает за его защиту. Позже, когда вы захотите войти в систему, вы не отправите серверу ничего секретного. Вместо этого вы доказываете, что это ваша учетная запись, доказывая, что вашему устройству известен закрытый ключ, связанный с открытым ключом вашей учетной записи.
Проще говоря: ваше устройство использует открытый ключ, чтобы локально на вашем устройстве проверить, что вы являетесь тем, кем себя называете, посредством «подписи». Поскольку только ваш закрытый ключ может создать действительную подпись, только устройство, которое знает ваш закрытый ключ, может пройти тест. Затем сервер сравнивает вашу подпись с открытым ключом и решает, предоставить ли вам доступ.
Это базовый обзор того, как работает WebAuthn и как Apple намеревается использовать его для замены паролей на своих устройствах в сочетании с такими технологиями, как распознавание лиц и сканирование отпечатков пальцев.
Вы уже можете отключить требования к паролю для платежей Apple Pay, входа в систему и загрузок из App Store на вашем iPhone, iPad и Mac, но это делает тот же подход еще дальше и распространяет его на другие службы.
Подход без пароля не идеален
Ни одно решение не является идеальным, защищенным от взлома или полностью защищенным от дурака. Вы можете потерять доступ к устройству или оставить в системе что-то, что может поставить под угрозу ваши учетные записи. Даже Face ID и Touch ID могут быть использованы на спящих или без сознания лицах или путем создания реалистичных копий биометрических данных, которые они ищут.
Возможно, самым большим препятствием будет принятие и убеждение большинства людей в том, что им лучше отказаться от своих паролей в пользу нового способа работы.
Но несовершенное решение - еще не повод отказываться от него вообще. Пароли устарели и непрактичны, и пора двигаться дальше. Двухфакторная аутентификация тоже не идеальна, но есть причины, по которым такие компании, как Apple (а вскоре и Google) требуют ее.
То же самое и с менеджерами паролей. Узнайте, почему использование вашего веб-браузера в качестве менеджера паролей может быть плохой идеей.
