Почему Пароль до сих пор жив

Редакция 14 июля 2021
Оцените:

Есть такие научно-фантастические обещания, которые будущее обязательно должно исполнить: реактивные ранцы, летающие автомобили, колония на Марсе. Но другие, казалось бы, более достижимые цели, почему-то всегда остаются на горизонте. Одна из самых мучительных — это конец эпохи паролей. Хорошая новость: инфраструктура всех основных операционных систем и браузеров уже поддерживает авторизацию без пароля. Есть и плохая новость: вы по-прежнему каждый день вводите пароли для входа на сайты и веб-сервисы. И будете так делать еще долгое время.


Беспарольная авторизация


Без сомнения, пароли — это абсолютное зло с точки зрения безопасности. Создание и управление ими раздражает, поэтому люди часто используют их повторно или выбирают легко угадываемые комбинации, а часто — и то, и другое. Такое положение вещей на руку хакерам, и они этим активно пользуются. Беспарольная же авторизация аутентифицирует пользователя через его врожденные данные, которые труднее украсть — такие как биометрия. Никто не угадает твой отпечаток большого пальца.


Скорее всего, вы уже пользуетесь такой авторизацией, когда разблокируете свой смартфон, скажем, сканируя свое лицо или палец вместо ввода кода доступа. Эти механизмы работают локально на вашем телефоне и не требуют от компаний хранить пользовательские пароли или биометрические данные на своих серверах. В некоторых случаях можно использовать  автономные физические токены для удаленного входа без пароля. Идея в том, что когда-нибудь вы сможете делать это практически для всего.


«Все наработки в этом направлении уже достигли того уровня зрелости, когда они готовы перейти от первых пользователей-технофилов к мейнстриму», - говорит Марк Ришер, директор по развитию продуктов Google для идентификации и безопасности. — «Раньше мы как отрасль даже не представляли, как избавиться от паролей. Теперь мы знаем, как мы это сделать, хоть это и займет время». 


В конце июня 2021 корпорация Microsoft анонсировала более глубокую интеграцию беспарольной авторизации в Windows 11 для входа на устройства с использованием биометрических данных или ПИН-кода. Аналогично, Apple объявила несколькими неделями ранее, что ее новые операционные системы iOS 15 и macOS Monterey включат новую опцию  «Ключи доступа» в связке ключей iCloud, а это шаг к использованию биометрических данных или ПИН-кодов устройств для входа в другие службы. А в мае Google рассказала о своих усилиях по продвижению безопасного управления паролями, в то же время работая над тем, чтобы увести клиентов от использования паролей.


Но несмотря на эти и другие усилия отрасли по приучению разработчиков и пользователей к работе без паролей, остаются две основные проблемы. Одна из них заключается в следующем:  хотя пароли повсеместно презираются, они глубоко привычны и абсурдно распространены. Нелегко избавиться от привычек, выработанных десятилетиями.


Безопасность паролей


«Это приобретенный рефлекс: первое, что вы делаете, — это устанавливаете пароль», - говорит Эндрю Шикиар, исполнительный директор Альянса FIDO — давней отраслевой ассоциации, которая работает над безопасной аутентификацией. «Проблема в том, что мы строим наши разработки на плохом фундаменте и зависим от него. Нужно это разорвать эту зависимость».


Это был болезненный детокс. Рабочая группа FIDO изучала пользовательский опыт на протяжении всего прошлого года, чтобы дать рекомендации не только по самой технологии авторизации без пароля, но и о том, как представить ее обычным людям и разъяснить ее преимущества в плане безопасности. По словам ФИДО, при внедрении их беспарольных стандартов разработчики сталкиваются с тем, что пользователи попросту не хотят использовать эту функцию.  


Второе препятствие еще сложнее. Большинство беспарольных схем работают только на новейших устройствах и требуют владения смартфоном в паре еще c как минимум одним устройством. На практике это довольно узкий сегмент использования. Многие люди во всем мире пользуются устройствами совместно и не могут часто обновлять их или используют кнопочные мобильные телефоны.


И хотя внедрение беспарольной авторизации все более стандартизируется, восстановление учетных записей — нет. Когда контрольные вопросы или ПИН-коды используются для резервного копирования, вы, по сути, всё еще используете пароли, только в другом формате. Получается схема, когда ранее аутентифицированное вами устройство может объявить новое надежным.


«Допустим, вы оставили свой телефон в такси, но у вас дома есть ноутбук», — говорит Ришер из Google. «Вы покупаете новый телефон, авторизуете его через ноутбук и восстанавливаете старый аккаунт на новом устройстве. А потом, когда кто-нибудь найдет ваш потерянный телефон, он все равно будет защищен локальной блокировкой устройства. Мы не хотим просто перекладывать проблему с паролем на восстановление учетной записи». Это, безусловно, проще, чем записывать коды для восстановления резервных копий на бумаге, но это снова поднимает вопрос о возможностях для людей, которые не могут поддерживать несколько персональных устройств.


По мере распространения беспарольной преемственности устройств эти практические вопросы остаются нерешенными. Менеджер паролей 1Password, который, естественно, заинтересован в продолжении правления паролей, говорит, что он рад использовать беспарольную аутентификацию везде, где это имеет смысл. Например, в iOS и macOS от Apple вы можете разблокировать хранилище 1Password с помощью TouchID или FaceID вместо ввода мастер-пароля.


Авторизация по биоиметрии


Однако существуют некоторые различия между мастер-паролем, который блокирует менеджер паролей, и паролями, хранящимися внутри него. Копии всех хранимых паролей живут на серверах. Главный пароль, который блокирует всё хранилище, — это ваш личный секрет; 1Password его не знает не хранит.


Из-за этого отличия беспарольная авторизация в ее нынешнем виде подходит далеко не для любого сценария, говорит директор по продуктам 1Password Акшай Бхаргава. Он отмечает, что некоторые давние опасения по поводу альтернативной авторизации остаются актуальными. Например, биометрические данные идеально подходят для аутентификации во многих отношениях, потому что они буквально передают ваши уникальное физические параметры. Но широкое использование биометрии открывает вопрос: что произойдет, если данные, скажем, о ваших отпечатках пальцев или лице будут украдены и злоумышленники будут манипулировать ими, чтобы выдать себя за вас. И если пароль можно изменить в любой момент (это их единственное преимущество в качестве аутентификаторов), то ваше лицо, палец, голос или сердцебиение неизменны.


Потребуется больше времени и экспериментов, чтобы создать экосистему без паролей, которая сможет заменить всю функциональность паролей. В особенности, с учетом миллиардов людей, у которых нет смартфона или нескольких устройств. В мире без паролей сложнее делиться учетными записями с доверенными людьми, а привязка всего к одному устройству еще больше стимулирует хакеров компрометировать это устройство.


До тех пор, пока пароли полностью не исчезнут, не пренебрегайте правилами безопасности,  используйте надежные, уникальные пароли, менеджеры паролей и двухфакторную аутентификацию везде, где возможно. 


Источник: WIRED

Оцените: