Безпарольний світ – наскільки це реально

Розмови про безпарольне майбутнє ведуться вже давно, але довгий час багато компаній були ще не готові до переходу на нові технології. У них залишалися питання безпеки, стандартизації, вартості розробки та підтримки технологій, можливості кінцевих споживачів використовувати ці ресурси.

Проте за останні кілька років у цій галузі стався певний прорив. Завдяки стандартизації W3C було прийнято та впроваджено стандарт аутентифікації FIDO (Fast Identity Online – «швидка ідентифікація онлайн»). І за підрахунками FIDO Alliance вже 4 мільярди пристроїв, а також 88% браузерів сьогодні готові підтримувати новий стандарт. Основний його плюс в архітектурі, що дозволяє використовувати пристрої для розпізнавання власника, не передаючи біометричні дані на сервер. Тим самим вони залишаються захищеними від розкрадання зловмисниками.

Давайте подивимося, як працює безпарольна автентифікація на практиці, і який вибір є у розробників при її реалізації та які методи автентифікації пропонуються кінцевим споживачам.

Види безпарольної аутентифікації

Безпарольна аутентифікація дуже схожа на двофакторну аутентифікацію (2FA), лише без першого кроку. Якщо вам доводилося захищати пристрої за допомогою двофакторної аутентифікації, то ви вже знайомі з такими методами перевірки ваших облікових даних як OTP-паролі в програмах або SMS, підтвердження входу за допомогою телефону або електронної пошти. Але є й інші способи:

• Соціальний вхід чи можливість увійти через довірений сайт.
• Вхід через Windows Hello.
• Аутентифікація за допомогою зовнішнього пристрою (ключ безпеки).

Розглянемо їх докладніше.

Вхід через соцмережі

Напевно, ви вже користувалися посиланнями в електронній пошті, щоб безпосередньо потрапити в акаунт якогось сервісу без введення пароля. Цей спосіб заснований на генерації унікального, тимчасового URL, що відкриває вашу програму тільки тоді, коли вам це потрібно. Достатньо бути зареєстрованим користувачем Google або популярних соціальних мереж, щоб мати можливість входити в облікові записи таким чином. Деякі сервіси так само відкривають вхід через банкінг.

Windows Hello

З появою Windows 10 для користувачів став доступним новий спосіб ідентифікації: біометрія. За наявності датчиків розпізнавання обличчя, голосу, сітківки ока або відбитків пальців на ваших пристроях ви можете встановити відповідну перевірку. Цей спосіб дозволяє захистити операційну систему та доступ до сервісів Microsoft, не тільки в умовах, коли комп’ютер постійно знаходиться в офісі або коли вам потрібно увійти з чужого пристрою, а й у випадках, коли потрібно захищати корпоративну або іншу конфіденційну інформацію на персональному комп’ютері.

Зовнішні пристрої

Близько 15 років тому почали набувати популярності  зовнішні пристрої, токени або ключі безпеки з асиметричним шифруванням для двофакторної автентифікації. Маленькі й легкі, візуально схожі на флешку, але такі, що принципово відрізняються за функціональністю, вони працюють як ключі від будинку або автомобіля: за наявності ключа ви можете відкрити замок, без нього — ні. Ключі можна використовувати не тільки для двофакторної аутентифікації, але й замість входу паролем за умови підтримування пристроями протоколів FIDO.

Давайте подивимося, наскільки надійні перелічені вище методи та чому вони досі не прийшли на зміну паролям.

Вибір між безпекою та зручністю

Паролі

Парольна автентифікація — скоріше звичка, яка складалася роками. Така автентифікація тільки здається найбезпечнішою, оскільки принцип її дії найбільш зрозумілий пересічному користувачеві. Однак у ній є серйозний недолік: прості паролі швидко зламуються хакерами, а складні (надійніші) — найчастіше забуваються. Якщо їх записати на папері, або навіть зберегти на пристрої, одного разу їх хтось побачить або витягне за допомогою шпигунських програм. Виходить, записувати паролі не можна, але постає питання, де їх зберігати?

Менеджери паролів

Одного разу на допомогу користувачам прийшли менеджери паролів — сервіси, що зберігають паролі. Достатньо запам’ятати один єдиний пароль, щоб решту надійно захистити. Але тут виникає інша проблема: так само хакер, отримавши доступ до одного пароля, може відкрити всі ваші акаунти.

З усім тим, цей спосіб зберігання інформації набагато краще описаного вище і багато IT-компаній зобов’язують співробітників ним користуватися, з їх допомогою передають необхідні доступи. Однак для рядового користувача він може здатися складним або дорогим, адже, як правило, за надійні послуги необхідно постійно вносити абонементну плату. Є й інша проблема — не всі звичайні користувачі можуть розібратися з інструментарієм таких сервісів.

Мобільні пристрої

Більшість способів підтвердження здійснюється за допомогою мобільного телефону. Спочатку це були SMS, потім вікна в додатках, що спливають, нарешті, додатки для генерації одноразових кодів.

А 2013 року, коли компанія Apple вперше представила свою розробку Touch ID, стався справжній прорив. Тепер біометрична автентифікація доступна мільярдам користувачів.

Здавалося б, за наявності пристрою користувачам інтернету можна повністю захиститися від кібершахраїв, і нарешті всі компанії можуть перейти на безпарольну аутентифікацію. Але залишилися питання:

• SMS можуть бути перехоплені зловмисниками;
• як бути, якщо користувач втратить телефон або смартфон потрапить до рук шахраїв;
• що робити, якщо пристрій зламається;
• як користуватимуться послугами люди, які досі використовують кнопкові телефони, оскільки не мають можливості чи бажання придбати смартфони.

Єдиний вхід

Єдиний вхід через соціальні мережі чи банкінги є дуже зручним та надійним способом аутентифікації, але також має свої недоліки:

• потрібно надійно зберігати складний пароль;
• при кібератаці шахрай, зламавши один пароль, може отримати доступ до всіх сервісів.

Ключі безпеки

За умови, що ви вибираєте сертифіковані ключі безпеки від перевіреного виробника, ви отримуєте безліч переваг перед іншими способами автентифікації:

• Ви купуєте ключі безпеки один раз і використовуєте постійно. Немає передплати, як у випадку з менеджерами паролів. Але якщо ви хочете використовувати останнє, то надійно захистіть один єдиний пароль, який, якщо є ключ, вам не доведеться запам’ятовувати.
• Ви можете використовувати клавіші безпеки не лише для захисту всіх популярних послуг, де доступна можливість їх підключення, але й для захисту операційної системи.
• Щобільше, за допомогою ключів безпеки ви можете створити умови для одного входу на всі облікові записи, не створюючи паролів, де ви не захочете їх пам’ятати.

Головне! Без ключів безпеки шахраї не мають жодної можливості потрапити у ваші облікові записи, навіть якщо вони отримають доступ до менеджерів паролів та/або викрадають усі ваші паролі.

Єдиний недолік ключів — це можливість їх втратити. Але в цьому випадку виробники рекомендують придбати пару ключів, щоб у разі втрати ви могли відкрити доступ з іншим ключем.

Який метод аутентифікації є найбільш зручним та безпечним

Багато експертів з безпеки рекомендують зовнішні пристрої — токени або ключі  безпеки  YubiKey. Їх переваги:

• Ключі виробництва YubiKey користуються заслуженою довірою мільйонів користувачів у 160 країнах.
• Відповідно до ціни та якості ключі YubiKey визнані одними з найкращих. Ними користуються співробітники Google, Facebook та навіть співробітники державних органів США.
• Ключі YubiKey підтримують протоколи FIDO2 і FIDO U2F, тому ви можете використовувати їх як для 2FA, так і замість пароля.
• Ключі YubiKey мають різні формфактори, тому їх можна легко підібрати для будь-яких пристроїв.
• Нещодавно виробник випустив окрему серію ключів YubiKey із біометричним захистом. Вони відрізняються ще більшою надійністю, адже шахраю не потрапити в обліковий запис, навіть якщо якимось чином йому представиться можливість викрасти фізичний ключ.
• Широкий вибір запропонованих пристроїв задовольнить будь-якого користувача: є недорогі варіанти з мінімальним набором функцій домашнього користування та професійні пристрої для закриття надскладних завдань, де потрібен посилений захист.

Фахівці нашої компанії, які працюють у галузі безпеки понад 30 років, вважають, що безпарольний світ не просто можливий — це найближче майбутнє. Звичайно, багато компаній намагатимуться зробити цей перехід плавним — можливо, протягом певного часу користувачі забезпечать вибір між старим та новим способом підтвердження особистості.

У будь-якому випадку безпарольна автентифікація дуже скоро замінить парольну, тому рекомендуємо вже зараз задуматися про те, які способи та пристрої для неї вибрати. І якщо вам потрібна допомога у цьому питанні, ви завжди можете звернутися до нас!