Ваш телефон вскоре может заменить многие ваши пароли
На этой прошлой неделе компании Apple, Google и Microsoft объявили о том, что вскоре они будут поддерживать подход к аутентификации, который позволяет полностью отказаться от паролей, а вместо этого требует от пользователей просто разблокировать смартфон для входа на сайты или в онлайн-сервисы. Эксперты говорят, что эти изменения должны помочь победить многие виды фишинговых атак и облегчить общее бремя паролей для пользователей Интернета, но предупреждают, что до настоящего беспарольного будущего для большинства веб-сайтов еще несколько лет.
Технологические гиганты являются частью усилий отрасли по замене паролей, которые легко забываются, часто похищаются вредоносными программами и фишинговыми схемами, а также утекают и продаются в Интернете в результате утечек корпоративных данных.
Apple, Google и Microsoft являются одними из наиболее активных участников стандарта входа без пароля, разработанного Альянсом FIDO ("Быстрая идентификация онлайн") и Консорциумом Всемирной паутины (W3C) - группами, которые в течение последнего десятилетия работали с сотнями технологических компаний над созданием нового стандарта входа в систему, одинаково работающего в различных браузерах и операционных системах.
Согласно FIDO Alliance, пользователи смогут входить на веб-сайты с помощью тех же действий, которые они совершают каждый день по несколько раз для разблокировки своих устройств - включая PIN-код устройства или биометрические данные, такие как отпечаток пальца или сканирование лица.
"Этот новый подход защищает от фишинга, а вход в систему будет радикально более безопасным по сравнению с паролями и устаревшими многофакторными технологиями, такими как одноразовые коды, отправляемые по SMS", - написал альянс 5 мая.
Сампат Шринивас, директор по аутентификации безопасности в Google и президент FIDO Alliance, сказал, что в новой системе ваш телефон будет хранить учетные данные FIDO, называемые "ключом доступа", который используется для разблокировки вашего онлайн аккаунта.
"Ключ доступа делает вход в систему гораздо более безопасным, поскольку он основан на криптографии с открытым ключом и отображается только для вашей учетной записи в Интернете, когда вы разблокируете свой телефон", - написал Шринивас. "Чтобы войти на веб-сайт на компьютере, достаточно иметь телефон поблизости, и вам просто предложат разблокировать его для доступа. Как только вы это сделаете, телефон вам больше не понадобится, и вы сможете войти в систему, просто разблокировав компьютер".
Как отмечает ZDNet, Apple, Google и Microsoft уже поддерживают эти беспарольные стандарты (например, "Sign in with Google"), но пользователям необходимо регистрироваться на каждом сайте, чтобы использовать беспарольную функциональность. Согласно новой системе, пользователи смогут автоматически получать доступ к своему паролю на многих своих устройствах - без необходимости заново регистрировать каждую учетную запись - и использовать свое мобильное устройство для входа в приложение или веб-сайт на соседнем устройстве.
Йоханнес Ульрих, декан по исследованиям Технологического института SANS, назвал это объявление "на сегодняшний день самым многообещающим усилием по решению проблемы аутентификации".
"Наиболее важной частью этого стандарта является то, что он не потребует от пользователей покупки нового устройства, вместо этого они могут использовать устройства, которыми они уже владеют и умеют пользоваться, в качестве аутентификаторов", - сказал Ульрих.
Стив Белловин, профессор информатики в Колумбийском университете и один из первых исследователей и пионеров Интернета, назвал усилия по внедрению беспарольной аутентификации "огромным прогрессом" в аутентификации, но сказал, что многим веб-сайтам потребуется очень много времени, чтобы догнать ее.
Белловин и другие говорят, что один потенциально сложный сценарий в этой новой схеме беспарольной аутентификации - что произойдет, если кто-то потеряет свое мобильное устройство, или его телефон сломается, и он не сможет вспомнить свой пароль от iCloud.
"Я беспокоюсь о людях, которые не могут позволить себе дополнительное устройство или не могут легко заменить сломанное или украденное устройство", - сказал Белловин. "Я беспокоюсь о восстановлении забытых паролей для облачных аккаунтов".
Google утверждает, что даже если вы потеряете телефон, "ваши пароли будут надежно синхронизированы с новым телефоном из облачной резервной копии, что позволит вам продолжить работу с прежнего устройства".
У Apple и Microsoft также есть облачные решения для резервного копирования, которые клиенты, использующие эти платформы, могут использовать для восстановления потерянного мобильного устройства. Однако, по словам Белловина, многое зависит от того, насколько надежно управляются такие облачные системы.
"Насколько легко добавить открытый ключ другого устройства в учетную запись без авторизации?" задается вопросом Белловин. "Я думаю, что их протоколы делают это невозможным, но другие с этим не согласны".
Николас Уивер, преподаватель кафедры информатики Калифорнийского университета в Беркли, считает, что веб-сайты все равно должны иметь какой-то механизм восстановления для сценария "вы потеряли телефон и пароль", который он назвал "действительно сложной проблемой для безопасного решения и уже одним из самых больших недостатков нашей нынешней системы".
"Если вы забыли пароль, потеряли телефон и можете его восстановить, то теперь это огромная цель для злоумышленников", - сказал Уивер в электронном письме. "Если вы забыли пароль, потеряли телефон и не можете его восстановить, то теперь вы потеряли токен авторизации, который используется для входа в систему". Это должно быть последнее. У Apple есть инфраструктура для поддержки этого (iCloud keychain), но неясно, поддерживает ли это Google".
Несмотря на это, по его словам, общий подход FIDO стал отличным инструментом для повышения безопасности и удобства использования.
"Это очень, очень хороший шаг вперед, и я рад видеть это", - сказал Уивер. "Использовать преимущества надежной аутентификации владельца телефона (если у вас есть приличный пароль) - это очень здорово. И, по крайней мере, для iPhone это можно сделать устойчивым даже к компрометации телефона, так как этим будет заниматься безопасный анклав, а безопасный анклав не доверяет основной операционной системе".
Технологические гиганты заявили, что новые беспарольные возможности будут включены в платформы Apple, Google и Microsoft "в течение ближайшего года". Однако, по мнению экспертов, скорее всего, потребуется еще несколько лет, чтобы небольшие веб-узлы приняли эту технологию и полностью отказались от паролей.
Недавние исследования показывают, что слишком много людей по-прежнему используют пароли повторно или перерабатывают их (слегка изменяя один и тот же пароль), что создает риск захвата учетной записи, когда эти учетные данные в конечном итоге становятся известны в результате утечки данных. Отчет, подготовленный в марте компанией SpyCloud, специализирующейся на кибербезопасности, показал, что 64 процента пользователей повторно используют пароли для нескольких учетных записей, а 70 процентов учетных данных, скомпрометированных в результате предыдущих утечек, все еще используются.
