Почему пароли могут (наконец-то) исчезнуть | Бен Диксон

В 2012 году Мэтт Хонан из Wired написал о катастрофических последствиях привязки всей вашей цифровой жизни к последовательности букв, цифр и символов. Хонан - лишь один из бесчисленных людей, чьи онлайн-аккаунты были взломаны после того, как хакеры обнаружили их пароли; Список жертв также содержит высокопоставленных технических руководителей, в том числе Марк Цукерберг.

В течение многих лет мы говорили о необходимости замены паролей более безопасными и надежными методами. Совсем недавно, в прошлом месяце, Организация Объединенных Наций случайно раскрыла пароли сотрудников на общедоступных досках Trello и в Документах Google. Даже недавний взлом Facebook был связан с плохими системами аутентификации на основе паролей. И миллиарды украденных паролей переходят из рук в руки на рынках темных сетей.

И все же пароли остаются основным методом защиты онлайн-аккаунтов.

Там не было небольшого количества инноваций в пространстве аутентификации. В 2016 году я писал о технологиях аутентификации, которые обеспечивали безопасные и простые в использовании альтернативы паролям, но до недавнего времени ни одна из них не получила массового внедрения.

Теперь, однако, есть надежда, что мы сможем наконец отказаться от длинных сложных паролей благодаря ряду правил и открытых стандартов, которые облегчают и поощряют внедрение методов аутентификации без пароля в онлайн-приложениях.

Что предотвращает парольную аутентификацию?

«Огромное количество паролей, необходимых в нашей повседневной жизни, стало бременем, поэтому мы видим так много повторных или слабых статических учетных данных», - говорит Стина Эренсвард, генеральный директор и основатель компании Yubico, которая производит ключи физической безопасности, такие как Yubikey 5 NFC., «Нам нужно было подумать о том, как решить эту проблему таким образом, чтобы упростить процесс входа в систему и добавить наивысший уровень безопасности. До настоящего времени не было способа успешно выполнить обе эти задачи».

Уязвимости паролей не теряются в организациях, которые продолжают их использовать. Но прежде чем рассматривать альтернативы, они должны учитывать безопасность, удобство использования, доступность и стоимость технологии.

«Причина, по которой мы до сих пор не заменили пароли чем-то более надежным, заключается в том, что все альтернативы, которые могли бы быть лучше для безопасности или удобства использования, не были повсеместно доступны для всех форм и размеров подключенных к Интернету устройств, и при этом они не были дорогостоящими. - эффективно, - говорит Бретт Макдауэлл, исполнительный директор FIDO Alliance, консорциума, разрабатывающего стандарты аутентификации.

Кроме того, ввод пароля является наименее дорогой и простой технологией аутентификации для внедрения в новые веб-сайты и мобильные приложения. И хотя альтернативы, такие как технология биометрической аутентификации, стали более доступными на мобильных устройствах, ввод пароля остается повсеместной функцией, которую поддерживают все устройства. Удаление этого запретило бы многим пользователям доступ к этим услугам.

Отсутствие стандартов также затрудняет уход от паролей. Накладные расходы по добавлению поддержки десятков различных технологий аутентификации в клиентских приложениях и серверных серверах - это то, что большинство организаций не выдержало бы.

И конечно, всегда есть человеческий фактор. «Некоторые компании и частные лица по-прежнему считают, что они не будут затронуты кибератаками и что они не представляют интереса для киберпреступников. Отсутствие желания и ресурсов для изменения существующих решений препятствует принятию новых решений для аутентификации без пароля», - говорит Алекс. Момот, генеральный директор REMME, стартапа, разрабатывающего децентрализованную систему аутентификации.

Федералы приходят стучать

В последние годы возросла осведомленность о сетевой безопасности и конфиденциальности пользователей, особенно среди государственных учреждений и регулирующих органов. В то время как ранее организации могли игнорировать нарушения данных и инциденты безопасности с небольшими юридическими и финансовыми последствиями, это уже не так.

«Регуляторные органы устали от заголовков взлома данных, как и все остальные, и они начинают предпринимать действия, в результате чего все больше компаний добавляют строгую аутентификацию в свои методы защиты данных», - говорит Макдауэлл.

Одним из наиболее важных нормативных действий является Общее положение о защите данных (GDPR), свод правил, определяющих, как компании собирают, обрабатывают и защищают пользовательские данные. GDPR также определяет стандарты для строгой аутентификации пользователей. Компании, которые не соблюдают правила и не защищают данные своих клиентов, будут оштрафованы. GDPR применяется только к юрисдикции ЕС, но, поскольку многие компании, которые не базируются в ЕС, все еще ведут бизнес в регионе, теперь это считается золотым стандартом безопасности.

«В то время как все больше и больше компаний применяют строгую аутентификацию, и все больше и больше утечек данных вызвано компрометацией пароля, бизнесу будет все сложнее доводить до сведения регулятора GDPR, что аутентификация только по паролю надлежащей безопасности, потенциально подвергая их компанию штрафам, которые намного дороже, чем цена перехода от паролей к настоящей строгой аутентификации », - говорит Макдауэлл.

В других отраслевых нормативных документах более четко говорится об использовании технологии аутентификации. В качестве примера можно привести Директиву о платежных услугах 2 (PSD2), которая регулирует электронную коммерцию и онлайн-финансовые услуги в Европе и делает обязательной двухфакторную аутентификацию (2FA). PSD2 также поощряет использование карт безопасности, мобильных устройств и биометрических сканеров для улучшения взаимодействия с пользователем без ущерба для безопасности.

А Национальный институт стандартов и технологий (NIST), который определяет критерии для различных отраслей, в своих рекомендациях по цифровой идентификации заявляет, что организации должны отказаться от паролей и одноразовых паролей и принять современную строгую аутентификацию.

«В частности, NIST рекомендует выполнять аутентификацию, при которой ваше современное устройство создает и использует криптографические закрытые ключи в качестве учетных данных вашей новой учетной записи и надежно сохраняет их на своем персональном устройстве таким же образом, как большинство смартфонов теперь надежно хранят ваши данные отпечатков пальцев», - говорит Макдауэлл.

Есть дебаты о том, будет ли государственное регулирование препятствовать или поощрять инновации. Но на этом этапе нам может потребоваться нормативный толчок к принятию более безопасных механизмов аутентификации.

«Правительства могут сыграть решающую роль в принятии открытых стандартов», - говорит Эренсвард. «Взгляните, например, на ремень безопасности. Это тоже открытый стандарт, и его использование регулировалось правительством. Из-за этого на дороге сегодня в 10 раз больше автомобилей, но общее число несчастных случаев со смертельным исходом составляет меньше. «.

На той же странице

Широко распространенная замена аутентификации только по паролю требует большего, чем регламент. Без набора стандартных протоколов организации и компании будут изо всех сил пытаться найти технологию аутентификации, которая будет держать их в соответствии с правилами безопасности, делая их приложения доступными для их пользователей.

Это была проблема, которую FIDO должен был решить. Аутентификация FIDO основана на наборе бесплатных и открытых технологических стандартов, разработанных в сотрудничестве с Консорциумом World Wide Web (W3C). Цель состоит в том, чтобы обеспечить взаимодействие между устройствами и услугами, позволяя всей индустрии бытовой электроники интегрировать технологию в свои продукты и платформы.

FIDO заменяет пароли криптографией с открытым ключом. Это означает, что вместо паролей пользователи идентифицируются с помощью пары открытых и закрытых ключей. Все, что зашифровано с помощью открытого ключа, может быть расшифровано только с помощью соответствующего закрытого ключа. Когда пользователь регистрируется в онлайн-сервисе, который поддерживает аутентификацию FIDO, сервис генерирует пару ключей и сохраняет открытый ключ на своих серверах. Закрытый ключ хранится только на устройстве пользователя. При входе в систему клиентскому приложению предоставляется криптографическая задача, созданная с помощью открытого ключа, которая может быть решена только с помощью закрытого ключа. Пользователи должны подтвердить свою личность на своем устройстве (с помощью отпечатка пальца, лица или PIN-кода), чтобы разблокировать свой закрытый ключ и решить проблему.

Преимущество этой модели состоит в том, что она обеспечивает многофакторную аутентификацию, не требуя хранения и обмена паролями. Даже если хакерам удастся взломать серверы поставщика услуг, они получат доступ только к открытым ключам, которые бесполезны без соответствующих закрытых ключей, хранящихся на устройствах пользователей. Если хакеры украдут устройство пользователя, им все равно придется обойти локальную проверку личности, чтобы получить закрытый ключ. С точки зрения пользователя, это избавляет от необходимости запоминать длинные и сложные пароли для каждой учетной записи, обеспечивая при этом превосходную безопасность.

Но большим достижением FIDO является широкая поддержка со стороны технологической индустрии. Альянс объединил известные компании, такие как Google, Microsoft, Amazon и Intel, для разработки стандартов, которые было бы легко внедрить на различных типах устройств и операционных системах.

«Компании, которые собрались вместе, чтобы создать FIDO Alliance, понимали, что замена паролей для онлайн-аутентификации может стать коммерчески жизнеспособной только в масштабах благодаря сочетанию бесплатных и открытых технологических стандартов, чрезвычайно превосходного пользовательского опыта и принципиально другого подхода к модели безопасности. "Макдауэлл говорит.

FIDO недавно выпустила FIDO2, расширение к своему стандарту, которое добавляет поддержку аутентификации с открытым ключом для браузеров и широкого спектра сред приложений. Стандарт поддерживается Windows 10, Google Play Services на Android, а также веб-браузерами Chrome, Firefox и Edge. WebKit, технология, лежащая в основе браузера Apple Safari, также может вскоре добавить поддержку FIDO2.

«Стандарт FIDO2 позволяет заменять слабую аутентификацию на основе пароля надежной аппаратной аутентификацией, использующей криптографию с открытым ключом», - говорит Эренсвард, чья компания Yubico входит в число ключевых членов FIDO. «Этот стандарт допускает аутентификацию без пароля в нескольких формах, в том числе через USB и NFC, которые обеспечивают оптимальное взаимодействие с пользователем и значительно повышают безопасность и производительность».

Когда пароли наконец уйдут?

Хотя индустрия прошла долгий путь к разработке альтернативных методов аутентификации, пароли не исчезнут в одночасье. «Мы должны учитывать, что у нас много« устаревших »программных и информационных систем. Поэтому не всегда возможно легко изменить установленные правила аутентификации, в том числе те, которые основаны на пароле», - говорит Момот, исполнительный директор REMME.

Другие эксперты, такие как Сандор Палфи, технический директор LogMeIn, считают, что пароли останутся главным аспектом идентификации пользователей. Он также считает, что отрасль должна сосредоточиться на улучшении работы с паролями.

• Лучшие менеджеры паролей на 2019 год Лучшие менеджеры паролей на 2019 год
• Какой пароль? Слушать музыку и войти через мозговые волны Какой пароль? Слушать музыку и войти через Brainwaves
• Bogus Porn электронные письма, использующие старые пароли для мошенничества с наличными

«До тех пор, пока не будет обеспечено универсальное покрытие с многофакторной аутентификацией (или даже поведенческой или контекстной аутентификацией), компаниям необходимо инвестировать в укрепление служб, защищенных паролем, которые используются во всей организации», - говорит Палфи.

«Запоминание уникальных, сложных паролей для всех наших рабочих и личных учетных записей не согласуется с естественным поведением человека. При использовании таких инструментов, как диспетчеры паролей, запоминание нескольких паролей должно быть делом прошлого, а пользователям необходимо запоминать только один мастер-пароль». «говорит Пальфи, чья компания является разработчиком менеджера паролей LastPass.

Но для Макдауэлла, который стоит у руля FIDO с 2014 года, стремление искоренить пароли, наконец, достигает своей последней стадии. «Сегодня будущее без пароля становится реальностью, по одному приложению за раз. Я ожидаю, что через несколько лет формы ввода пароля будут встречаться на веб-страницах так же редко, как публичные телефонные будки в общественных местах в наши дни, и для По той же причине - у нас есть рентабельная, вездесущая альтернатива, которая предлагает гораздо лучший пользовательский опыт », - говорит он.