Пароли, являющиеся самым распространенным способ аутентификации пользователей по всему миру, на протяжении последних лет десяти постепенно устаревают, все хуже и хуже справляясь с возложенными на них задачами. Билл Гейтс еще в 2004 году говорил о том, что «со временем люди будут все меньше полагаться на пароли, так как они просто не справляются со своей задачей».
- Введение
- Токены (Security tokens)
- Биометрия
- Аутентификация с использованием телефона (двухэтапная аутентификация)
- Выводы
Для поддержания приемлемых стандартов безопасности, согласно которым будут защищаться активы и сотрудники компаний, предприятиям необходимо серьезно задуматься над имплементацией более защищенных систем аутентификации.
Введение
Основная претензия к паролям заключается в том, что они просто не в состоянии обеспечить достойный уровень защищенности конфиденциальной информации. Несмотря на то, что каждая крупная компания использует пароли для авторизации своих клиентов, последние исследования показывают, что слабые или легко угадываемые пароли являются основной причиной утечки информации.
Небрежные практики хранения паролей также ставят под угрозу рабочие аккаунты и чувствительную информацию. В это, возможно, трудно поверить, однако многие сотрудники записывают на отрывном листке пароль от своей рабочей учетной записи, а затем прикрепляют его к монитору, или же оставляют его в ящике стола.
Существует множество примеров, которые доказывают, что пароли легко украсть. В 2017 году онлайн-сервис загрузки, хранения и обмена изображениями Imgur пострадал от компрометации паролей пользователей из-за слабых протоколов безопасности. В результате этой утечки пострадали 1,7 миллиона учетных записей.
Уже в этом году была публично раскрыта информация о критических уязвимостях Meltdown и Spectre, затрагивающая практически все процессоры и способная также стать причиной утечки учетных данных. Кроме этого, эксперты также наткнулись на вредоносную программу Zyklon, которая эксплуатирует бреши в приложениях Microsoft для кражи паролей.
Еще одна претензия к паролям — необходимость запоминать огромное количество комбинаций букв, чисел и символов. Для каждого сайта этот набор, как правило, свой, что делает эту задачу — давайте говорить прямо — невыполнимой. Ограничить количество паролей, используя один-два-несколько для всех сайтов — тоже не выход, это только увеличит риск компрометации.
В настоящее время крупные компании продолжают использовать пароли, однако за последнее время появилось много альтернатив этому способу аутентификации, которые, как полагают специалисты, вскоре полностью вытеснят пароли из нашей жизни. Рассмотрим же этим альтернативы.
Токены (Security tokens)
Токены, как софтовые, так и аппаратные, обеспечивают достойный уровень безопасности, поскольку они требуют наличия какого-либо элемента при попытке авторизоваться. Токены не подключаются к сети, а генерируют одноразовые пароли, основанные на «первоначальной записи» («seed record»), синхронизированной с центральным сервером. Многие современные токены даже не требуют от пользователя ввода пароля вручную, используя технологию Near field communication, NFC («коммуникация ближнего поля», «ближняя бесконтактная связь»).
Одной из ведущих компаний, производящей токены, является Tokenize, офис которой располагается в Нью-Йорке. Tokenize предлагает синхронизацию полного спектра устройств и операций, который помогут как в отношении покупок с помощью кредитных карт, так и по части разблокировки компьютера.
Рисунок 1. Токены, использующиеся для авторизации
Несмотря на преимущества, внедрение токенов представляет собой серьезную головоломку для бизнеса. Прежде всего, это касается стоимости внедрения токенов на предприятии, так как это требует, чтобы у каждого сотрудника было свое устройство. Также наличие при себе этих устройств является обязательным условием, если сотрудники хотят иметь возможность авторизоваться в системе.
Биометрия
Биометрия использует для аутентификации такие данные, как отпечатки пальцев или сканирование лица. Этот метод стал очень популярным у пользователей после того, как компания Apple реализовала Touch ID и Face ID в своих устройствах. Что выгодно отличает биометрию от других способов авторизации, так это то, что она основана на идентификации того, чем пользователь, по сути, является.
К примеру, отпечатки пальцев нельзя украсть или взломать как другие методы аутентификации. Кроме этого, биометрия предлагает более приятный пользовательский опыт, позволяя авторизовываться гораздо быстрее и удобнее. В настоящее время многие технические гиганты предлагают биометрические решения для авторизации. Например, Microsoft Hello для настольных компьютеров имеет функции распознания отпечатков пальцев и лиц пользователей. Компания планирует сделать Microsoft Hello совместимым с гораздо большим количеством устройств в будущем.
Рисунок 2. Биометрические средства контроля доступа
Однако и биометрия имеет свои недостатки. Многие современные биометрические системы все еще имеют проблемы с точностью распознования, а также являются довольно дорогим удовольствием. Биометрия также уязвима для действий киберпреступников. Проведенные японскими специалистами в прошлом году исследования показали, что некоторые биометрические данные можно подделать с помощью фотографий с высоким разрешением.
Также важно отметить, что инфраструктура, поддерживающая биометрию, за последние годы была децентрализована, чтобы избежать наличия центральной базы данных биометрической информации, которая может быть похищена киберпреступниками. В результате весь процесс аутентификации фактически сводится к обмену закрытым и публичным ключом, это значит, что украв ключ, злоумышленник украдет и личность пользователя, без надобности подделывать биометрические данные.
Учитывая все эти факторы риска, неудивительно, что Национальный институт стандартов и технологий рекомендует не использовать биометрию в качестве единственного метода аутентификации.
Аутентификация с использованием телефона (двухэтапная аутентификация)
В эту категорию попадают сразу несколько методов аутентификации, которые быстро становятся основными решениями. Мы рассмотрим три метода, в которых для аутентификации используется мобильный телефон.
Приложения, поддерживающие Push-уведомления. Когда пользователь делает запрос на сервер, ему мгновенно приходит уведомление, в котором содержится либо вопрос для подтверждения личности, либо просто информация о том, что был произведен вход. Основным преимуществом этого метода является приятное юзабилити, так как нет необходимости использовать одноразовые пароли, либо постоянно носить с собой какой-то девайс.
Этот метод требует только того, чтобы пользователь ответил на Push-уведомление, которое приходит прямо на его мобильное устройство. Из подобных решений можно отметить Secret Double Octopus.
Мобильные токены. По принципу работу они походят на аппаратные токены. Однако вместо того, чтобы носить с собой дополнительное приспособление, этот метод использует смартфон для вычисления одноразового пароля. В процессе вычисления учитываются часы смартфона, а также алгоритм, заложенный в установленном на устройстве специальном приложении.
Лидером в области подобных предложений является датская компания CM.com Она предлагает целый спектр различных приложений, способных генерировать одноразовые пароли, которые специально разработаны для использования на предприятиях.
Однако и тут не обошлось без минусов. Поскольку одноразовые пароли размещаются на подключенном к Сети устройстве, они автоматически становятся более уязвимы к краже киберпреступниками.
SMS-аутентификация. Этот метод представляет собой отправку одноразового пароля в коротком сообщении на устройство пользователя. Эта схема изначально использовалась в дополнение к обычным паролям, но поскольку пароль можно сбросить при помощи SMS, их польза становилась все более сомнительной. Результатом стало использование многими приложениями SMS в качестве альтернативы паролям.
Самым очевидным плюсом этого метода является отсутствие необходимости устанавливать на устройство пользователя какого бы то ни было дополнительного приложения. Среди недостатков можно отметить довольную слабую надежность, так как доставляемые по SMS пароли могут быть скомпрометированы тремя способами: злоумышленник выдает себя за владельца устройства, взламывает сеть или же устанавливает на устройство вредоносную программу.
Выводы
Есть все основания предполагать, что пароли скоро канут в лету. Техгиганты в последнее время разрабатывают различные альтернативные способы, и сами пользователи ищут надежду замену паролям. Учитывая все плюсы и минусы каждого из альтернативных способов, компании и пользователи смогут решить для себя, какой же для них наиболее подходящий. Не исключено, что в будущем будет изобретен совершенный способ аутентификации, однако пока мы имеем описанные нами здесь альтернативы.