Пароли и двухфакторная аутентификация (2FA) стали привычными для многих благодаря банковским приложениям. Крупные клиенты пользовались аппаратными токенами для доступа к счетам. Найдётся ли место паролям в будущем и как скоро их заменит беспарольная аутентификация?
- Введение
- Новые вызовы, новые проблемы
- «Каталог совместимости» АРПП
- Многофакторная аутентификация
- Беспарольная аутентификация
- Выводы
Введение
Парольная защита до сих пор остаётся популярным инструментом для выстраивания системы безопасности. Эта технология имеет давнюю историю развития, отличается простотой в применении, содержит многочисленные улучшения, появившиеся за долгие годы. В то же время пароли давно признаны наиболее слабым звеном в системе защиты. По данным Hive Systems, на взлом восьмизначных паролей уходит менее одного часа.
Причина рисков кроется в самой природе паролей. Их применение обязано быть простым и понятным, а это порождает риск компрометации. Хотя длинные пароли обладают высокой надёжностью даже при использовании мощной системы взлома, корпоративные пользователи не пользуются ими.
В последние годы многое было сделано для повышения безопасности парольной защиты. Были внедрены различные методы многофакторной аутентификации. Уровень защищённости частных пользователей существенно вырос. Но в корпоративном секторе это породило организационные трудности, особенно когда количество пользователей исчисляется тысячами. Как оказалось, многие из них пользуются одними и теми же паролями.
Появление вспомогательных механизмов безопасности породило дополнительные издержки. Компаниям приходится вкладываться в поддержку систем управления политиками, существенно усложнились системы сброса паролей, особенно для компаний с территориально распределённой структурой.
Постоянный риск компрометации паролей порождает не только опасность несанкционированного доступа к корпоративным системам. Компании несут огромные имиджевые и финансовые издержки, даже при потере незначительной части паролей. Ходить далеко за примерами не приходится.
Новые вызовы, новые проблемы
Россия сегодня столкнулась с новыми проблемами из-за конфликта на Украине. Наглядным примером может служить история вокруг популярной программы 1Password. После введения ограничений на оплату с помощью банковских карт, эмитированных в России, за её пределами канадская компания AgileBits, разработчик этого менеджера паролей, сумела найти обходные пути. Но даже это не спасло от проблем её российских пользователей.
Действуя под давлением правительства Канады, которое рекомендовало национальным компаниям присоединиться к санкциям против России, AgileBits была вынуждена приостановить создание новых аккаунтов для пользователей из стран попавших под санкции. Владельцы действующих аккаунтов из России могут продолжать пользоваться сервисом, но после завершения срока подписки их тариф будет переводиться в режим «только чтение» с возможностью лишь просматривать и экспортировать пароли.
AgileBits обеспечила сохранность паролей пользователей из России и гарантии отсутствия их компрометации, но фактически люди оказались лишёнными возможности эффективной работы с ними.
«Каталог совместимости» АРПП
В новых условиях Ассоциация разработчиков программных продуктов «Отечественный софт» (АРПП) объявила 17 марта 2022 года о создании специального информационного ресурса «Российское ПО для импортозамещения». Это — каталог, в котором размещены ссылки на отечественные программы. АРПП рекомендует выбирать их взамен иностранных продуктов.
Рекомендации АРПП распространяются в первую очередь на представителей госсектора, о чём говорится в письме министра цифрового развития, связи и массовых коммуникаций РФ Максута Шадаева. Но рядовым пользователям и коммерческим компаниям тоже придётся принимать это во внимание.
Если говорить о рекомендациях по выбору отечественного менеджера паролей, то выбор определён: российская программа «Пассворк». Её рекомендуется применять взамен иностранных программ 1Password, BitWarden, Dashlane, KeePass, LastPass, Passbolt, Password Safe, Psono, SysPass, TeamPass, WebPass. Часто приходится слышать о «чудовищном» ценнике на российские программы на фоне их западных аналогов. В данном случае это не так: ценник «Пассворка» мало отличается от популярного 1Password, разве что в деталях.
Для поддержки двухфакторной аутентификации рекомендуется использовать программу Aladdin SecurLogon, взамен JaCarta SecurLogon.
Многофакторная аутентификация
Развитие парольной защиты продолжается и сейчас. Действенной мерой для наращивания её уровня безопасности стало внедрение технологии многофакторной аутентификации (MFA). И хотя, по данным Microsoft, только 22 % корпоративных клиентов используют этот инструмент, наращивание признаков контроля заметно сказалось на повышении надёжности и защищённости процедуры аутентификации.
Для понимания сути технологии MFA надо различать типы применяемых факторов. Они делятся на несколько групп. Первая отражает фактор знания: секретная информация, которая известна только пользователю (пароль, PIN-код, кодовое слово, набор секретных вопросов и ответов на них).
Вторая группа связана с использованием фактора владения, т. е. введением проверки на наличие у пользователя определённого физического устройства. Это может быть аппаратный токен, смарт-карта, смартфон. Через них осуществляется генерация одноразового пароля или одноразового кода доступа (OTP). Его ввод работает как «второй пароль».
Наконец, существует третья группа, которая охватывает факторы персональной неотъемлемости. Это — различные биометрические данные, от отпечатков пальца, сетчатки глаза, распознавания лица или голоса до проверки признаков, которые трудно фальсифицировать, таких как скорость набора текста или динамика перемещения пальца по экрану.
Различают двух- и многофакторную аутентификацию. Двухфакторная аутентификация (2FA) уже давно применяется, например, в электронных системах. В 2022 году 2FA станет обязательной для входа на портал госуслуг. Её название отражает то, что предоставляемые данные должны относиться ко двум различным группам. Например, это могут быть ввод пароля и ввод кода полученного через SMS.
Многофакторная аутентификация (MFA) охватывает более широкий набор признаков. Чаще всего они относятся к биометрическим технологиям: сканирование отпечатков пальцев, распознавание лиц, снятие показаний биометрических датчиков смарт-устройствами, контроль уникальных тактильных особенностей человека (ритм нажатий на клавиши, динамика перемещений мыши, жесты смахивания с экрана и др.).
В последнее время наблюдается появление новых каналов аутентификации. Например, для подтверждения банковских транзакций всё активнее применяется запатентованная технология визуального контроля Cronto. Внешне она напоминает использование QR-кода необычной цветной структуры. Пользователю достаточно отсканировать его с помощью камеры своего ранее зарегистрированного смартфона. Вся проверка делается автоматически и учитывает внутренние особенности устройства. Это делает её очень безопасной.
Рисунок 1. Цветной код Cronto напоминает QR-код
Для доступа, например, к некоторым криптобиржам применяется инструмент, получивший название «программный токен или аутентификатор». Он генерирует одноразовый PIN-код для входа, поддерживающий очень короткий срок жизни (обычно не более 60 секунд). Затем происходит его обновление, «чувствительное» только к определённому онлайн-порталу. Этот токен не может быть считан автоматическим путём, его можно только увидеть.
Рисунок 2. Google Authenticator — пример программного токена
Список отечественных приложений, поддерживающих функции многофакторной аутентификации, доступен здесь.
Беспарольная аутентификация
Переход компаний на гибридный тип работы породил направление, получившее название беспарольной аутентификации. Причиной стало то, что при массовом удалённом доступе к корпоративным системам управлять безопасностью паролей стало очень трудно. Традиционные системы MFA, как и раньше, предполагали применение пароля в процессе аутентификации, а уязвимость паролей при удалённой работе возросла.
Решением в этой ситуации может быть только полный отказ от парольной защиты. В частности, к такому выводу пришли в Microsoft. Этому способствовал резкий рост теневого рынка торговли паролями, который стал знаковым отличием «эпохи пандемии».
Дополнительным стимулом для развития направления беспарольной аутентификации стало широкое внедрение платформенных аппаратных криптографических модулей TPM (Trusted Platform Module). Благодаря стараниям аппаратных вендоров и поддержке со стороны Microsoft TPM-модули стали по сути стандартом де-факто для комплектации Windows-ноутбуков и компьютеров.
«Необходимость» установки TPM-модулей продолжает расти. Этот чип используется уже не только для задач аутентификации и хранения паролей, он применяется как модуль диагностической аттестации готовности устройства к работе. Пока проверка не стала блокирующей, но тренды показывают, что ситуация в будущем может измениться. Это вызывает множество вопросов для России, где поддержка TPM-чипов законодательно запрещена ФСБ (хотя до недавних пор запрет на ввоз укомплектованных TPM-чипом устройств фактически не соблюдался).
Выводы
Технология беспарольной защиты является по сути развитием многофакторной аутентификации без использования пароля. Это освобождает компании от необходимости поддержки защищённых баз данных с паролями и хешами, потребности в средствах контроля прохождения парольной проверки по сети.
Достоинство систем беспарольной аутентификации состоит в том, что они не содержат данных, кража которых даёт злоумышленникам возможность взлома корпоративных систем. Стоит также отметить простоту и удобство использования.