Многие эксперты признают, что защита аккаунтов в интернете при помощи числовых или буквенных паролей сильно устарела. Преступники взламывают тысячи пользователей в день, занимаясь вымогательством, похищением личных данных и другими мошенническими операциями. Хакерские инструменты разлетаются как горячие пирожки у вокзала, а в результате защититься от целенаправленного проникновения достаточно сложно. Если речь идёт об аккаунте состоятельно бизнесмена, то сюда, как правило, вообще не привязываются данные, которые можно использовать для извлечения выгоды. Для этого существуют закрытые каналы, но и здесь доступ осуществляется при помощи традиционного пароля. Считается, что мы находимся на пути разработки более эффективных инструментов защиты, которые позволят решить проблему массовых взломов, обнулив значительную часть деятельности хакеров.
Называется несколько перспективных технологий, на основании которых и будет генерироваться защита данных в будущем. Самый простой способ заключается в выделении каждому пользователю уникальной цифровой метки. Нечто подобное реализуется в Китае, позволяя упростить аутентификацию, поскольку вход осуществляется при помощи цифрового отпечатка. И всё бы ничего, но в этом случае эксперты опасаются, что контролирующие органы получают в свои руки слишком много власти. При помощи специализированных программ будет доступна единая карта действий каждого пользователя в интернете, ну а это нарушает конфиденциальность. Предлагается создать уникальный отпечаток смартфона, за счёт встроенного уникального кода IMEI, который присваивается на этапе производства. Риски вторжения в личную жизнь и злоупотребления полномочиями существуют и здесь, поэтому эксперты констатируют, что без определённых компромиссов не обойтись. Скорее всего, у рядовых пользователей ничего спрашивать не станут, но даже в этом случае согласование единых правил сталкивается с массой противоречий. Как стало известно, небольшую революция затеяли руководители Национального института стандартов и технологий США (NIST).
Представители данного учреждения полагают, что сегодня пользователи обременены целым сводом правил и требований, многие из которых противоречат здравому смыслу. Например, под сомнение поставлена необходимость регулярной смены пароля на многих ресурсах, а также правило о наличии в составе пароля одного или нескольких специальных символов. В NIST считают практику использования контрольных вопросов при аутентификации устаревшей, настаивая на том, что всё это неудобно и не предоставляет никакой пользы для конечного пользователя. Ну а учитывая, что речь идёт о федеральном регуляторе, обладающем правом устанавливать технологические стандарты, то предложения точно не останутся проигнорированы ведущими участниками интернета. Рекомендации NIST обязательны для государственных органов США, тогда как частные компании, как правило, ориентируются на те или иные нормы при создании собственного свода правил. В большинстве случаев меняются только слова, дополняя свод требования со стороны регулятора. Не так давно представители NIST выпустили обновлённую версию стандарта SP 800-63-4. В проекте указаны ключевые рекомендации, которые нужно учитывать владельцам сайтов при составлении новых требований к аутентификации пользователей. До проверки подлинности по новым правилам речь не идёт, но цифровые идентификаторы действительно могут стать гораздо проще.
Прежде всего в NIST настаивают на том, чтобы сайты перестали оказывать давление на пользователей. Это касается регулярной смены пароля. Раньше защищённость данных была ниже, но рекомендация сильно устарела, поэтому дальнейшее использование её считается обременительным. Эксперты также обращают внимание, что сегодня значительная часть паролей генерируется случайным образом при помощи популярных инструментов. Например, это умеет делать Google, при использовании аутентификации с помощью электронной почты. Вот только когда ресурсы требуют менять пароль каждые полгода, то многие пользователи предпочитают единый пароль для всех сайтов, ведь его проще запомнить. В этом случае взлом одного аккаунта влечёт за собой каскадное проникновение и на другие ресурсы, что ставит безопасность под угрозу нового уровня. Специалисты NIST намерены отказаться и от использования специальных символов в названии паролей. Известно, что современные случайно генерируемые пароли нечитабельны и достаточно сложны, поэтому плохо запоминаются. Исключение лишних знаков упростит задачу запоминания для рядовых пользователей.
Особенно это актуально, если пользователь теряет смартфон и не знает пароль к основному аккаунту. Представители NIST предлагают отказаться от излишней сложности, заменив её здравым смыслом. В пример приводятся обновлённые требования к верификаторам о снижении количества символов в пароле с 15 до 8. Кроме того, пользователям должны разрешить использовать пароли длиннее 64 символов, если это позволит усилить безопасность аккаунта. Ну и авторы проекта уверены, что необходимо дать пользователям больше свободы. Если человек считает, что для защиты ему нужны специальные символы, то требуется дать ему полный доступ к таблицам «Юникод» и ASCII, а не ограничивать несколькими популярными символами. В документе предлагается ввести запрет на контрольные вопросы и подсказки для паролей, поскольку они помогают только мошенникам. В настоящее время ведутся общественные слушанья, а текст документа открыт для предложений до 7 октября. После этого регулятор выслушает все идеи и внесёт финальные правки. Ну а поскольку большая часть контента контролируется американскими компаниями, то изменения непременно заметят пользователи по всему миру.
