Как обрести спокойствие в мире, где царит парольная лихорадка

Елизавета Рыбакова31 марта 2015
Оцените:

В сентябре 2014 в открытый доступ утёк миллион паролей от Яндекс.Почты, за ними тут же последовали 4,5 млн паролей от ящиков Mail.Ru, и буквально через пару дней та же участь постигла 4,9 млн паролей от Gmail. До этого, в июне 2014, аналогичная история произошла с LinkedIn (взломано 6,5 млн паролей) и мессенджером Yahoo Voice (450 тыс. паролей). Что характерно, самыми типичными среди этих украденных паролей были: "123456," "welcome," и извечный пароль "password".


Фундаментальная проблема заключается не в том, что эти сервисы должны были лучше заботиться о безопасности данных своих пользователей (хотя должны были). И не в том, что пользователи выбрали пароли, которые слишком легко взломать, а потом ещё многократно использовали те же самые ненадёжные пароли на каждом сайте, где регистрировались (хотя они так и делали).



Проблема в том, что пароли сами по себе стали беспомощными, обречёнными на провал инструментами в великой схеме цифровой безопасности. Нам приходится создавать слишком много паролей, и чем они надёжнее, тем сложнее их запомнить. «Сегодня, чтобы пользоваться Сетью, нужно иметь тонны логинов и паролей, — говорит Терри Хартманн, вице-президент направления по решениям глобальной безопасности компании Unisys. — Каждый раз, когда ты возвращаешься на какой-либо сайт — создаётся впечатление, будто у них появляются всё новые правила для усложнения паролей. В итоге, пользователи сдаются и используют один и тот же пароль для всех сайтов сразу».



Проще говоря, система паролей себя не оправдала. Все пароли в Gmail, LinkedIn, Яндексе, Mail.Ru и Yahoo преобразовывались методом хеширования — когда настоящие пароли заменяются сгенерированным по определённому алгоритму кодом. Далее пароли, хранимые на сервере (и украденные хакерами) трансформируются в буквенно-цифровую абракадабру. Но если у вас очень простой пароль (что-то вроде "officepc"), то хакер может его легко взломать даже в захешированном виде, используя атаку полного перебора или радужные таблицы.


Но не всё потеряно. Сложные пароли, включающие цифры и спецсимволы (и не напоминающие настоящие имена или слова) дают возможность бороться с хакерами, а хранить их можно в удобных приложениях для управления паролями. В то же время, сайты делают всё возможное для максимального усиления безопасности, применяя многоступенчатую аутентификацию. Да и биометрические технологии уже появляются на массовом рынке.


Проблема паролей никуда не денется в ближайшее время, и пока это не случилось, нам придётся полагаться на приложения, сервисы и новые технологии, о которых мы расскажем ниже, — только так мы сможем быть на шаг впереди негодяев.


Менеджеры паролей


Программы для управления паролями — это как спам-фильтры: занудны, но необходимы для управления вашей цифровой деятельностью. Хороший менеджер паролей помнит все ваши логины, заменяет простые пароли на сложные и позволяет легко заменить их, если сайт взломан.



Самое приятное: вместо необходимости запоминать кучу уникальных паролей, нужно помнить всего один — главный пароль для вашего приложения. И если вы не залогиниваетесь всегда с одного и того же компьютера и из одного и того же браузера, вам потребуется облачная программа вроде  LastPass, 1Password, or Roboform, которая применяет ваши логины к любому вашему компьютеру, смартфону или планшету.


Но есть и другая сторона медали: даже в этом случае всё равно придётся помнить главный пароль, и он должен быть по-настоящему надёжным, собранным из комбинации цифр, строчных и заглавных букв, знаков препинания.


«Конечно, хакер, способный внедрить в вашу систему кейлогер, всё равно сможет разнюхать ваш пароль, пока вы его печатаете, — отмечает Роберт Сичилиано, эксперт по онлайн-безопасности из McAfee, который сам хранит в менеджере паролей более 700 логинов. — Опять же, если мошенники взломают облачный менеджер паролей (как это случилось с LastPass в мае 2011 г.), то вы можете проиграть. К счастью для клиентов LastPass, в атаке 2011 года никакие существенные данные не пострадали. Но при следующем более успешном посягательстве (а это обязательно где-нибудь когда-нибудь произойдёт) пользователям может уже не так повезти.


Итого: менеджеры паролей приносят огромную пользу и являются необходимым инструментом для всех, кто ценит цифровую безопасность.


Многоступенчатая аутентификация


Сложные пароли, хранимые в зашифрованном виде, — это только первый шаг. Некоторые сервисы внедряют второй уровень безопасности для идентификации пользователей. Как правило, это железо, доступ к которому имеет только пользователь с нужными правами. Таким образом, даже знающий ваш пароль хакер не сможет украсть ваши данные, не имея доступа, скажем, к вашему телефону или компьютеру.


«Финансовые организации по закону обязаны применять многоступенчатую аутентификацию для онлайн-транзакций, но они могут делать это в фоновом режиме — например, идентифицировать ваш компьютер или его расположение, — говорит Сичилиано. — Если, например, вы живете в Сан-Франциско, а кто-то пытается получить доступ к вашему банковском аккаунту из Шанхая, то эта транзакция может быть заблокирована, или у него будет запрошена дополнительная аутентификация».


Google and Facebook тоже предлагают двухступенчатую аутентификацию: можно настроить отправку одноразового PIN-кода на ваш мобильный при попытке залогиниться с незнакомого компьютера (этот PIN нужно ввести вместе с паролем, когда вы первый раз логинитесь с нового устройства).



Тем не менее, к сожалению, кроме банков и нескольких высокозащищённых сайтов, большинство онлайн-сервисов просто не предлагают многоступенчатую аутентификацию — отчасти потому, что это не очень удобно, и подавляющее большинство интернет-пользователей предпочтут поступиться безопасностью, чем заморачиваться с лишней авторизацией. «Двухступенчатая аутентификация часто не проходит “защиту от дурака”, — говорит Сичилиано. — Это значит, что увеличивается нагрузка на поддержку, число случаев сброса паролей и, соответственно, повышаются затраты. Поэтому, как правило, её применяют только те компании, для которых риск слишком велик».


Биометрия


Красота биометрии состоит в том, что вам не нужно запоминать ничего — в том числе, сложных паролей. Вместо этого, биометрическая система безопасности использует для аутентификации уникальные свойства вашей физической оболочки.


Чтобы определить, имеет ли человек доступ к сервису или устройству, биометрическая система может сканировать отпечатки пальцев, радужной оболочки глаза, лица и даже голоса. Крупнейшие банки уже используют биометрические технологии в своей деятельности.  


Как известно, Apple приобрела компанию AuthenTec, разработчика технологии сканирования  отпечатков пальцев, и внедрила её в свой iPhone, начиная с версии 5s. А компания Samsung еще в 2013 году запатентовала технологию сканирования радужной оболочки глаза и, по слухам, внедряет её в свои мобильные устройства.


Тем не менее, биометрия тоже несовершенна. Исследователи обдурили сканеры отпечатков пальцев при помощи желатиновых пальцев, системы распознавания лиц — при помощи фотографий, а сканнеры радужной оболочки глаза — путём воспроизведения данных изображения.


И, конечно же, хакеры могут взломать центральную базу данных, где хранятся биометрические данные, и получить доступ к нужной информации, заменив данные жертв на свои собственные. Так же, как и с паролями и другой распознающей информацией, безопасность будет полностью зависеть от компетенции специалистов, которые хранят данные (нам хорошо известно, как это сработало в случае с Яндексом, Mail.RU, Gmail и LinkedIn).


Несмотря на всё это, по прогнозу Джозефа Притикина (Joseph Pritikin), директора по маркетингу продукта в компании AOptix Technologies, разработчика сканнеров радужной оболочки глаза, внедряемой в аэропортах и на границах, в будущем смартфоны с биометрией будут одним из ключевых идентификационных устройств — в том числе, потому что данные могут безопасно храниться в самом устройстве.


Один ID, чтоб править всеми


В конечном счёте, идеальным лекарством от парольной усталости будет объединение всех наших многочисленных логинов и онлайн-идентификаций. В Штатах уже с 2011 года, в рамках «Национальной стратегии по высоконадёжной идентификации в киберпространстве», ведётся (и уже работает в нескольких штатах в пилотном режиме) разработка идентификационной экосистемы, которая позволит потребителям авторизоваться на любом сайте через любую систему верификации. «Такая система сможет подтверждать, что ваш возраст позволяет купить вино в интернет-магазине или что вы имеете право на студенческую скидку, без необходимости предоставлять всю вашу личную информацию на каждом сайте, — говорит Джим Фентон (Jim Fenton), главный специалист по безопасности OneID, системы управления интернет-идентификацией. — Система также позволит при необходимости работать под псевдонимом. Но все эти разработки развиваются очень медленно: перед тем, как что-либо будет запущено в массы, пройдут годы за обсуждениями различных деталей», — говорит Фентон.


Другими словами, помощь уже идёт, но дойдёт до нас нескоро. А нам пока придётся жить с паролями. Так что cоздавайте надёжные пароли и храните их под замком!


 


Источник: PCWorld

Оцените: