Найти тему
Интерсвязь

Пароли уходят в прошлое. Что с ними не так? И что будет вместо них?

Технологию авторизации без пароля на базе FIDO2 уже внедряют Google, Apple и Microsoft. В течение ближайших лет она распространится на большинство сервисов и приложений в интернете. Это значит, что запоминать десятки паролей (и подвергать себя угрозе фишинга) больше будет не нужно.

Недавно Массачусетский технологический институт (MIT) назвал отказ от паролей одним из ключевых трендов 2022 года наряду с одобрением вакцины от малярии и применением искусственного интеллекта для создания структуры белка. Иронично, что классические пароли в начале 1960-х придумал ныне покойный профессор MIT Фернандо Хосе Корбато, который в то время участвовал в создании операционной системы UNIX (предтечи Linux и даже macOS). Решая задачу совместного доступа к компьютеру нескольких пользователей, он применил идею «тщательно охраняемой секретной комбинации».

С широким распространением компьютеров, а позже и с появлением интернета эта концепция стала доминирующей для обеспечения безопасности. Настолько, что в мире ежегодно каждый первый четверг мая празднуется Международный день пароля. Но вопросы к ним оставались всегда.

Классические пароли невозможно сделать безопасными (причина в основном в людях)

Эксперты говорят, что вход с помощью пароля сейчас — одна из главных угроз безопасности в интернете. Пароли можно украсть, взломать и даже угадать, пишет MIT, тогда как аналитическая фирма Gartner уточняет, что 89% всех взломов приложений и сайтов вызваны именно наличием пароля как системы защиты данных.

Важная часть проблемы заключается в том, что пользователи выбирают очень простые пароли (например, набором «123456» пользуется 23 миллиона человек в мире), при этом более 50% из них используют одну и ту же комбинацию для разных сервисов: рабочих и личных. Программы для управления паролями вроде 1Password и Bitwarden могут частично решить проблему, но это полумера, как и двухфакторная аутентификация, которая, несмотря на повышенную защиту, обременительна для пользователей.

Так, в реалиях 2022 года пароль должен состоять минимум из 11 знаков и содержать буквы в верхнем (A-Z) и нижнем регистре (a-z), цифры (0-9) и специальные символы (вроде !, #, $) одновременно, иначе взломать его методом подбора можно почти мгновенно. Таких паролей нужны десятки — по числу сервисов, которые хранят данные. Но даже такая щепетильность не защитит от фишинговых атак — когда мошенники направляют пользователя на поддельный сайт, где воруют его пароль, каким бы сложным он ни был.

Неочевидное последствие сложных паролей — ущерб для бизнеса (а глобально — для экономики отдельных стран). Опросы показывают, что до 60% потребителей готовы отказаться от покупки на сайте, если забывают от него пароль, а 92% респондентов скорее покинут сервис, чем будут восстанавливать учетную запись. Это подпадает под понятие упущенной выгоды, не говоря о миллионах ущерба, которые наносят хакеры, ворующие данные. По информации Atlas VPN, в 2021 году было скомпрометировано около 6 миллиардов аккаунтов в интернете.

-2

Вместо паролей будет смартфон и данные биометрии

5 мая 2022 года (в тот самый Международный день пароля) три монополиста, операционные системы которых охватывают 96% телефонов и компьютеров на планете: Apple, Google и Microsoft — объявили, что в следующем году начнут внедрять авторизацию полностью без пароля. По сути это означает начало глобального отказа от паролей, и начнется он не с малоизвестных приложений, а с Windows, macOS, Android, iOS, Chrome, Edge и Safari.

Как отмечают руководители корпораций в комментариях The Verge, новая система обеспечит лучшую безопасность данных, избавив пользователей от необходимости запоминать десятки буквенных комбинаций. При этом фишинговые атаки будет гораздо сложнее организовать.

Google в своем блоге объясняет, что основным способом авторизации станет ваш смартфон — при входе на сайт (или в учетную запись) нужно будет разблокировать его одним из принятых способов, чтобы подтвердить личность:

  • С помощью графического ключа.
  • С помощью шестизначного PIN-кода.
  • С помощью отпечатка пальца или системы распознавания лица.
  • Могут быть и более экзотичные варианты: например, нажатие кнопки регулировки громкости, реализованное на смартфонах Google Pixel.

Технология работает на базе криптографических ключей доступа FIDO2, которые уже встроены во все современные смартфоны. Ее продвигает одноименный альянс Fast Identity Online Alliance, включающий сотни известных компаний: от PayPal и Lenovo до Samsung и Apple. Он же разработал близкую по духу спецификацию U2F, за счет которой работает двухфакторная аутентификация — когда кроме пароля нужен «второй фактор» подтверждения личности (скажем, код из SMS).

Пара слов о работе FIDO2. Система предполагает наличие двух ключей доступа. Один из них, закрытый, хранится на смартфоне пользователя в безопасной зоне памяти, недоступной для хакеров. Второй, открытый, регистрируется в сервисе или приложении, к которому нужно получить доступ. Во время аутентификации ключи сопоставляются. О технической части можно прочесть тут (на русском) или здесь (на английском).
-3

Авторизация по телефону надежнее пароля

У спецификации FIDO2 много преимуществ:

  1. Это открытый стандарт (то есть прозрачный для пользователей и бесплатный для разработчиков), который использует сильные стороны криптографии с открытым ключом. Его внедрение сильно повышает безопасность и пользователей, и компаний, при этом не требует больших финансовых затрат.
  2. FIDO2 работает на базе технологий, которые уже реализованы в современных смартфонах, от бюджетных до премиальных моделей. Сканерами отпечатка пальца и распознаванием лица люди активно пользуются, поэтому обучать новым методам авторизации не нужно.
  3. Распознавание биометрических данных происходит на смартфоне локально. Без физического доступа к вашему смартфону мошенники не смогут ничего сделать.
  4. Подделать биометрические данные (отпечаток пальца или радужку глаз) гораздо сложнее, чем подобрать пароль.
  5. FIDO2 защищен от хакерских атак, включая фишинговые. Даже если вы не распознаете мошенников, система сама это сделает и просто не даст вам пройти авторизацию на неблагонадежном сайте.
  6. Система не зависит от одного конкретного смартфона. Если вы потеряете или смените телефон, ключи доступа синхронизируются с новым устройством из резервной копии в облаке.

Но у технологии есть и существенный минус — сейчас сопоставление ключей на телефоне и втором устройстве (например, на компьютере при входе в аккаунт YouTube) проходит только по Bluetooth- или NFC-соединению (или с помощью USB, если использовать специальные ключи-флешки). Следовательно, ПК (или планшеты / ноутбуки) тоже должны поддерживать эти соединения.

Технология уже работает в смартфонах, ее можно использовать (в этом параграфе объясняем как)

FIDO2 можно считать развитием U2F, но даже эта технология не совсем новая. Google говорит, что альянс работал над ней более 10 лет (и одним из ее двигателей была защита людей, для которых безопасность данных особенно важна: журналистов, политиков, активистов, госслужащих, руководителей бизнеса и так далее). Так, она уже больше года доступна на смартфонах под управлением ОС Android версии 7.0 и выше, ее можно использовать на устройствах с Chrome OS, iOS, macOS и Windows.

Но если раньше для первого входа в аккаунт все-таки нужно было вводить пароль (что сохраняло угрозу фишинга), в будущем, следует из пресс-релизов, стандарты FIDO2 будут усовершенствованы — беспарольный вход можно будет осуществить на всех этапах без ввода пароля вообще.

Оценить работу FIDO2 (пока в усеченном виде — как элемент двухфакторной аутентификации) можно с помощью Android-смартфона при входе в Google на втором устройстве: компьютере или планшете. Чтобы настроить аутентификацию без пароля:

  • Откройте управление аккаунтом Google в настройках телефона.
  • Перейдите в настройки безопасности → раздел «Вход в аккаунт Google». Далее выберите «Двухфакторную аутентификацию» (она должна быть подключена).
  • Найдите раздел «Электронный ключ» и выберите один из привязанных к аккаунту смартфонов. Готово! Вы увидите сообщение, что FIDO подключен.
  • Теперь при входе в аккаунт Google на стороннем устройстве для авторизации нужно будет подтвердить действие через ваш смартфон.
  • Напомним, что устройства (ПК, на котором вы осуществляете вход в аккаунт, и смартфон, который является вашим ключом доступа) должны поддерживать соединение по Bluetooth.

В некоторых смартфонах ключи доступа FIDO2 можно подключить еще быстрее в настройках телефона (а не только аккаунта Google). Например, в моделях Huawei это делается через шторку быстрого доступа — там есть соответствующая иконка. После активации текст на экране уведомит, что устройство будет определяться как защитный ключ автоматически:

-4

Для глобального беспарольного доступа нужно, чтобы технология FIDO2 работала не только на смартфонах, но и на сайтах, где пользователь хочет авторизоваться. Их число растет с каждым годом. Уже сейчас стандарт поддерживают (помимо Google, Apple и Microsoft) платформы GitHub, Twitter, Coinbase, eBay, Oracle и еще пара десятков (актуальный список здесь). Классические пароли, конечно, тоже останутся и просуществуют еще не один десяток лет. Но на волне роста интереса самих пользователей к безопасности данных они все-таки должны стать пережитком.