Беспарольный мир — насколько это реально

Разговоры о беспарольном будущем ведутся уже давно, но долгое время многие компании были всё ещё не готовы к переходу на новые технологии. У них оставались вопросы по безопасности, стандартизации, стоимости разработки и поддержки технологий, возможности конечных потребителей использовать эти ресурсы.

Однако за последние несколько лет в этой области произошёл определённый прорыв. Благодаря стандартизации W3C был принят и внедрён стандарт аутентификации FIDO (Fast Identity Online – «быстрая идентификация онлайн»). И по подсчётам FIDO Alliance уже 4 миллиарда устройств, а также 88% браузеров сегодня готовы поддерживать новый стандарт. Основной его плюс в архитектуре, которая позволяет использовать устройства для опознавания владельца, не передавая биометрические данные на сервер. Тем самым они остаются защищёнными от хищения злоумышленниками.

Давайте посмотрим, как работает беспарольная аутентификация на практике, и какой выбор есть у разработчиков при её реализации и какие способы аутентификации предлагаются конечным потребителям.

Виды беспарольной аутентификации

Беспарольная аутентификация очень похожа на двухфакторную аутентификацию (2FA), только без первого шага. Если вам приходилось защищать устройства с помощью двухфакторной аутентификации, то вы уже знакомы с такими методами проверки ваших учётных данных как OTP-пароли в приложениях или SMS, подтверждение входа с помощью приложения телефона или электронной почты. Но есть и другие способы:

• Социальный вход или возможность войти через доверенный сайт.
• Вход через систему Windows Hello.
• Аутентификация с помощью внешнего устройства (ключа безопасности).

Рассмотрим их подробнее.

Вход через соцсети

Наверняка вы уже пользовались ссылками в электронной почте, чтобы напрямую попасть в аккаунт какого-то сервиса без ввода пароля. Этот способ основан на генерации уникального, временно действующего URL, открывающего ваше приложение только тогда, когда вам это нужно. Достаточно быть зарегистрированным пользователем Google или популярных социальных сетей, чтобы иметь возможность входить в аккаунты таким способом. Некоторые сервисы точно так же открывают вход через банкинг.

Windows Hello

С появлением Windows 10 для пользователей стал доступен новый способ идентификации: биометрия. При условии наличия датчиков распознавания лица, голоса, сетчатки глаза или отпечатков пальцев на ваших устройствах, вы можете установить соответствующую проверку. Данный способ позволяет защитить операционную систему и доступ к сервисам Microsoft, не только в условиях, когда компьютер постоянно находится в офисе или когда вам нужно войти с чужого устройства, а и в случаях, когда вам нужно защищать корпоративную или другую конфиденциальную информацию на персональном компьютере.

Внешние устройства

Около 15 лет назад появились внешние устройства, токены или ключи безопасности с ассиметричным шифрованием для двухфакторной аутентификации. Маленькие и лёгкие, визуально похожие на флешку, но принципиально отличающиеся по функциональности, они работают как ключи от дома или автомобиля: при наличии ключа вы можете открыть замок, без него — нет. Ключи можно использовать не только для двухфакторной аутентификации, но и вместо входа по паролю при условии поддерживания устройствами протоколов FIDO.

Давайте посмотрим, насколько надёжны перечисленные выше методы и почему они до сих пор не пришли на смену паролям.

Выбор между безопасностью и удобством

Пароли

Парольная аутентификация — скорее привычка, которая складывалась годами. Такая аутентификация только кажется самой безопасной, поскольку принцип её действия наиболее понятен рядовому пользователю. Однако в ней есть серьезный недостаток: простые пароли быстро взламываются хакерами, а сложные (более надёжные) — чаще всего забываются. Если их записать на бумаге, или даже сохранить на устройстве, то однажды их кто-то увидит или извлечёт с помощью шпионских программ. Получается, записывать пароли нельзя, но возникает вопрос, где их хранить?

Менеджеры паролей

Однажды на помощь пользователям пришли менеджеры паролей — сервисы, хранящие пароли. Достаточно запомнить один единственный пароль, чтобы все остальные надёжно защитить. Но тут возникает другая проблема: точно так же хакер, получив доступ к одному паролю, может открыть все ваши аккаунты.

Тем не менее этот способ хранения информации гораздо лучше описанного выше и многие IT-компании обязывают сотрудников им пользоваться, с их помощью передают необходимые доступы. Однак для рядового користувача він може здатися складним або дорогим, адже, як правило, за надійні послуги необхідно постійно вносити абонементну плату. Є й інша проблема — не всі звичайні користувачі можуть розібратися з інструментарієм таких сервісів.

Мобильные устройства

Большинство способов подтверждения осуществляется с помощью мобильного телефона. Сначала это были SMS, затем всплывающие окна в приложениях, наконец приложения для генерации одноразовых кодов.

А в 2013 году, когда компания Apple впервые представила свою разработку Touch ID, случился настоящий прорыв. Теперь биометрическая аутентификация доступна миллиардам пользователей.

Казалось бы, при наличии устройства пользователям интернета можно полностью защититься от кибермошенников, и наконец-то все компании могут перейти на беспарольную аутентификацию. Но остались вопросы:

• SMS могут быть перехвачены злоумышленниками;
• как быть, если пользователь потеряет телефон или смартфон попадёт в руки мошенников;
• что делать, если устройство сломается;
• как будут пользоваться услугами люди, которые до сих пор используют кнопочные телефоны, так как не имеют возможности или желания приобретать смартфоны.

Единый вход

Единый вход через социальные сети или банкинги является очень удобным и надёжным способом аутентификации, но также имеет свои недостатки:

• требуется надёжно хранить сложный пароль;
• при кибератаке мошенник, взломав один пароль, может получить доступ ко всем сервисам.

Ключи безопасности

При условии, что вы выбираете сертифицированные ключи безопасности от проверенного производителя, вы получаете множество преимуществ перед другими способами аутентификации:

• Ключи безопасности вы покупаете один раз и используете постоянно. Не нужна абонементная оплата как в случае с менеджерами паролей. Но если вы пожелаете пользоваться последними, то надёжно защитите один единственный пароль, который при наличии ключа не придётся запоминать.
• Вы можете применять ключи безопасности не только для защиты всех популярных сервисов, где доступна возможность их подключения, но и для защиты операционной системы.
• Более того, с их помощью вы можете создать условия для единого входа во все аккаунты, не создавая пароли там, где вы не хотите их запоминать.

Главное! Без ключей безопасности у мошенников нет ни единой возможности попасть в ваши аккаунты, даже если они получат доступ к менеджерам паролей и/или украдут все ваши пароли.

Единственным недостатком ключей остается возможность их потерять. Но на этот случай производители рекомендуют приобретать пару ключей, чтобы в случае утраты вы смогли открыть доступы другим ключом.

Какой способ аутентификации самый удобный и безопасный

Многие эксперты в области безопасности рекомендуют выносные устройства — токены или ключи безопасности YubiKey. Их преимущества:

• Ключи производства YubiKey пользуются заслуженным доверием миллионов пользователей в 160 странах.
• По соответствии цены и качества ключи YubiKey признаны одними из лучших. Ими пользуются сотрудники Google, Facebook и даже сотрудники государственных органов США.
• Ключи YubiKey поддерживают протоколы FIDO2 и FIDO U2F, поэтому вы беспрепятственно можете использовать их как для 2FA, так и вместо пароля.
• Ключи YubiKey имеют различные форм-факторы, поэтому их легко можно подобрать для любых устройств.
• Недавно производитель выпустил отдельную серию ключей YubiKey с биометрической защитой. Они отличаются ещё большей надёжностью, ведь мошеннику не попасть в аккаунт, даже если каким-то образом ему представится возможность похитить физический ключ.
• Широкий выбор предлагаемых устройств удовлетворит любого пользователя: есть недорогие варианты с минимальным набором функций для домашнего пользования и профессиональные устройства для закрытия сверхсложных задач, где требуется усиленная защита.

Специалисты нашей компании, работающие в области безопасности более 30 лет, считают, что беспарольный мир не просто возможен — это ближайшее будущее. Конечно, многие компании постараются сделать этот переход плавным — не исключено, что некоторое время пользователям будет предоставляться выбор между старым и новым способом подтверждения личности.

В любом случае беспарольная аутентификация очень скоро заменит парольную, поэтому рекомендуем уже сейчас задуматься о том, какие способы и устройства для неё выбрать. И если вам нужна помощь в этом вопросе, вы всегда можете обратиться к нам!