20 лютого 2015

Неверный пароль: почему стоит отказаться от обычных способов аутентификации

У паролей, как кодового слова или числа, которое позволит различить своих и чужих, – тысячелетняя история. Однако все чаще звучат утверждения, что пришло время отказаться от паролей. Или, по крайней мере, пора придумать им достойную альтернативу – более надежную, безопасную и простую в использовании. Какие есть варианты – в материале Platfor.ma.

 

Фотографія: shutterstock.com

Пароли в интернете использовались едва ли не со дня основания сети. Но с ростом количества интернет-сервисов, которыми активно пользуются наши современники, сама идея постепенно нивелировалась. У пользователей возникла необходимость создавать и запоминать пароли для каждого интернет-сервиса, и, чтобы упростить себе их запоминания, все чаще люди используют один и тот же для разных ресурсов. А это прямой путь к простому взлому акантов – по этой причине хакерам очень легко получить контроль над всеми учетными записями человека.

 

Также для упрощения использования паролей люди задают простые сочетания типа «12345» или «qwerty», что тоже является прямой дорогой к взлому и утере данных. Таким образом, само развитие интернета привело к необходимости отказаться от системы паролей и перейти на другой способ авторизации или, по крайней мере, использовать его в дополнение к паролям.

 

Сегодняшние попытки заменить традиционные пароли пока несколько хаотичны. То есть пока не появилось единственного принятого стандарта авторизации, коим стали пароли, но появилось большое количество попыток их заменить. Фактически, IT-сообщество сейчас тестирует альтернативу паролям. И пароли будут заменены той технологией или тем инструментом, который в результате этого тестирования покажет себя лучше других – удобнее в использовании, безопаснее, надежнее и дешевле.

 

Двухфакторная авторизация

Многие онлайн-сервисы предлагают пользователям перейти на так называемую двухфакторую авторизацию. Кроме логина и пароля эта система запрашивает код, который приходит на телефон в виде СМС. Разработчики этой системы считают, что взломать комбинацию пароль + СМС-код гораздо сложнее.

 

Компания «Яндекс» недавно представила свое видение системы двухфакторной авторизации – специальное мобильное приложение, которое будет считывать уникальный для каждого пользователя QR-код в комбинации с СМС-паролем. Такая система еще более надежна, ибо она исключает использование пароля в принципе.

 

Биометрика: организм как пароль

Идеи использовать биометрические показатели вместо или вместе с паролями использовались уже давно. Отпечатки пальца применялись для авторизации пользователей в защищенных USB-флеш-дисках или в корпоративных ноутбуках и компьютерах. Сейчас изучается возможность использовать биометрические показатели в более широком аспекте – для обычных пользователей.

 

В последних смартфонах iPhone от Apple присутствует специальный биометрический сенсор Touch ID, который анализирует отпечатки пальцев и позволяет в комбинации с резервным паролем заблокировать устройство. Биометрический сканер Touch ID также используется в платежной системе Apple Pay. Пользователю достаточно поднести свой смартфон к сканеру, после чего подтвердить платеж, приложив палец к сканеру Touch ID.

Фотографія: shutterstock.com
 

Кроме того, возможность биометрической аутентификации пользователей тестирует компания MasterCard, которая планирует использовать ее для подтверждения операций клиентов, проводимых через интернет. Несколько месяцев назад MasterCard заключила соглашение с компанией Zwipe, в рамках которого будет создана новая бесконтактная платежная карта с возможностью идентификации по отпечаткам пальцев. Правда, не ясна стоимость такой карты для конечного пользователя,

 

А платежная компания PayPal заявила, что ведет разработку технологии, которая будет авторизировать пользователя по сетчатке глаза. Такая технология уже в ближайшее время появится в некоторых банкоматах, в которых вместо ввода пин-кода пользователю будет предложено посмотреть в небольшую камеру, которая просканирует глаз и узнает человека.

 

Секрет в браслете: гаджеты для хранения паролей

Все чаще стала появляться информация о разработке устройств, которые заменят пароли, точнее, будут использоваться для их хранения.

 

Например, браслет EveryKey можно подключить к любому гаджету через Bluetooth и с помощью браслета авторизироваться на сайтах. Браслет со специальным программным обеспечением передаст на мобильное устройство пароль и введет его в нужное поле. Благодаря EveryKey не нужно помнить свои пароли. Однако пока разработчики не рассказали, как они решили проблему защиты данных в случае довольно очевидной неприятности – кражи гаджета.

 

Еще один гаджет для авторизации – браслет Nymi, который романтично узнает владельца по биению сердца – его электрической активности. Достаточно надеть браслет на руку, и он сам сможет «узнать» пользователя и авторизовать на разных сайтах или рабочих компьютерах, открыть автомобиль или предоставить свои данные системе безопасности аэропорта.

 

 

А в компании Google по-своему попытались решить проблему отказа от паролей и создали специальное кольцо, задача которого – быть своеобразным электронным ключом для аккаунтов. Ключ в форме кольца оснащен беспроводным чипом, который позволит использовать его в связке со смартфонами и планшетами. Внутри ключа записан статичный пароль, который используется для авторизации на сайтах или в устройствах.

 

Объединение технологий

В компании VivaInk разработали специальный нательный чип, который позволит отказаться от необходимости ввода паролей на смартфоне. Чип основан на технологии NFC и обладает защитой от влаги. Его нужно приклеить на тело человека. Для авторизации с его помощью достаточно прислонить гаджет к себе. Правда, пока сложно оценить, сколько людей согласятся носить на себе чип всего лишь для того, чтобы включать телефон и читать социальные сети.

Фотографія: shutterstock.com
 

Еще одна новинка, объединяющая биометрию и гаджеты – компактный сканер сетчатки глаза Myris. Устройство подключается к компьютеру по USB и может распознавать человека по снимку сетчатки глаза, после чего сгенерировать цифрую подпись, которую можно использовать, например, в банковских сервисах. 

 

Географические пароли

Специалист по компьютерной безопасности Зияд Аль-Саллум предложил использовать вместо паролей точку на географической карте. Пользователю при авторизации на сайте нужно будет просто показать нужную точку на показанной ему на экране карте.

 

Итак, работы по замене паролей на что-то иное ведутся более чем активно. Однако пока нельзя сказать, что появилась система, которая бы позволила отказаться от старых добрых паролей. Пройдет еще не один год, когда мы будем смеяться, вспоминая, как вводили комбинацию букв и цифр, чтобы авторизироваться на сайтах, пароли еще долго будут с нами. Поэтому лучше вспомнить, как правильно их использовать и побеспокоиться об их надежности уже сейчас. 

 

Матеріали в рамках розділу Media Innovations Lab виготовлені за сприяння Фонду розвитку українських ЗМІ посольства США в Україні.

Підписатися на новини проекту у Facebook можна тут.


comments powered by Disqus