Пора забыть онлайн пароли?


Нарушение в системе протоколов Heartbleed вызвало хаос в интернет-сообществах, предоставив доступ к паролям пользователей за более чем последние два года. Пришло ли время отказаться от паролей? Еще в прошлом году стало известно, что ведется разработка проектов, которые смогут заменить нам пароли – включая разработку съедобной электронной капсулы.

Остались считанные дни, пока мы должны хранить свои пароли в голове. Через несколько лет вы сможете войти в  свой онлайн банк–аккаунт, используя электронную татуировку на руке или таблетку, проглотив которую всего однажды, стенки вашего желудка будут излучать ваш пароль

В мире уже существуют действующие прототипы этих разработок. Татуировка состоит из гибких и эластичных компонентов – сенсоров и антенн, которые имплантируются в кожу. Передача пароля к электронному считывающему устройству происходит посредством антенны, когда вы снимаете трубку или сидите за компьютером. Кислота желудочного сока будет питать кислотные батарейки таблетки. Это крошечное устройство смоделировано, чтобы передавать закодированный сигнал на сенсор вашего компьютера, сразу же, как она окажется в пищеводе

Стимулом к разработке таких необычных технологий послужила довольно распространенная проблема: существующие системы идентификации, через которые мы получаем доступ к онлайн услугам, полагаются на использование паролей, а пароли не всегда в состоянии качественно защищать наш аккаунт

«Бессмысленные и нереальные»

И этому есть много причин. Когда преступники взламывают онлайн хранилище паролей  – сервис, с помощью которого провайдер шифрует все пароли – с помощью специальной программы они могут взломать  практически тысячи закодированных паролей

Брешь в системе безопасности протоколов Heartbleed снова столкнулась с проблемой незащищенности паролей. За последние два года эти недостатки системы позволили хакерам похитить огромное количество персональных данных с большинства используемых нами сайтов –  а некоторые из них могли содержать наши пароли. Некоторые компании теперь советуют сменить пользователям  пароли на всех используемых ресурсах, особенно это касается электронной почты, хранилищ информации и банковских сервисов.

Пароли также могут быть «выловлены». Это происходит, если пользователь переходит по ссылке на сайт злоумышленников, который внешне выглядит, как настоящий. Около 50 000 законных сайтов в месяц атакуют подобным образом, что позволяет похитить онлайн около $1,5 миллионов за год. К сожалению, пользователи зачастую выбирают пароли, которые легко запомнить. Это значит, что их легко угадать. Одна такая брешь в протоколе позволяет «слить» около 32 миллионов паролей, более 290 000 тысяч из которых оказывается пароль «123456» (по данным Калифорнийской Компании Интернет Безопасности Imperva).

Пароль из шести строчных букв можно взломать за долю секунды. Но чтобы взломать пароль более длинный, состоящий из 11 случайным образом подобранных строчных и заглавных букв, цифр и знаков препинания, потребуется более сотен лет. Для этого программе придется перебрать огромное количество комбинаций разной длины. Действует очень простое правило: чем сложнее пароль, тем большую безопасность он гарантирует. Но практически невозможно представить  человека, который смог бы держать в голове длинную, лишенную смысла комбинацию

Зачастую пользователи применяют один и тот же пароль на нескольких сайтах, что очень плохо. Если однажды вы зарегистрировались на каком-либо развлекательном сайте, который затем был взломан, ваш пароль вполне может попасть в руки мошенников, которые с его помощью могут войти в вашу банковскую онлайн – систему. По мнению Майкла Баррета, шефа информационной безопасности PayPal, проблема заключается в том, что нам приходится запоминать слишком много паролей. «Десять лет назад пользователи говорили, что им приходится запоминать четыре или пять пар логинов и паролей. Теперь же они пристально смотрят на меня и говорят, что таких пар стало 35». Согласно данным исследования, проведенного в 2012году компанией Experian (занимается предоставлением кредитов), среднестатистический молодой человек в возрасте 25-34 лет имеет до 40 аккаунтов.

Случайные данные

Одним из способов обойти эти недостатки является усовершенствование существующего способа идентификации (с помощью паролей) путем предоставления других возможностей зайти на сайт. Такие способы уже существуют, например, когда мы используем маркер доступа, генерирующий случайные числа, или же используем одноразовые СМС-пароли. Впервые такой подход стал использоваться ресурсом PayPal. И уже через несколько лет  к ней присоединились другие крупные интернет-компании, такие как Google, Apple, Facebook, LinkedIn и Twitte

Некоторые компании для идентификации пользователей пытаются использовать биометрию, как второстепенный способ, используя камеру или микрофон смартфона для узнавания лица или голоса пользователя – или даже для сканирования радужной оболочки глаз. Но  и использование биометрических данных вызывает беспокойства у пользователей. В отличие от паролей, невозможно изменить особенности голоса или черты лица. Волнение вызывает то, что, если киберпреступники смогут взломать вебсайт и похитить биометрические данные, они смогут использовать их, чтобы взломать и другие аккаунты пользователя, защита которых полагается на биометрию. Но это маловероятно, потому что обычно отпечатки наших пальцев представляют собой набор случайных данных, которые и используются для создания вашего биометрического пароля. Поэтому ни один взломщик, даже получив доступ к вашему паролю, не сможет взломать ваш аккаунт, защищенный биометрическим паролем

Но все-таки есть небольшая загвоздка, даже при использовании двух видов идентификации пользователя. Пусть это и усложняет работу преступникам, пользователям не нравятся дополнительные барьеры в доступе к сайту. Баррет: «Разрабатывая ключ безопасности для PayPal, мы обнаружили, что, если его хорошо рекламируете услугу, то прирост составляет 1-2%. Если же вовсе не рекламировать, то прирост составит около 0,1%. Потребители всего-навсего хотят совершить покупку, они ожидают, что вы сами позаботитесь о безопасности».

Ко мне, Фидо

В надежде облечнить жизнь пользователям, некоторые компании создали консорциум под названием  Союз быстрого онлайн доступа (по-английски сокращение ФИДО Fast Identity Online (Fido) Alliance)

Системные спецификации Фидо все еще находятся на стадии разработки, но уже известно, что частично работать эта система будет на устройствах под названием аутентикатор. Пользователи смогут использовать его для входа на любой сайт. Процесс подключения через аутентикатор подразумевает, что система Фидо будет обмениваться с сайтом цифровыми ключами, за счет чего и произойдет узнавание

Пользователь, посещая какой-либо сайт с ПК, который присоединен к аутентикатору – или, например, с телефона со встроенным аутентикатором, все равно должен будет пройти авторизацию. Разница заключается в том, что опознавание будет проходить через систему Фидо, а не через систему безопасности сайта. Пройдя авторизацию, Фидо будет гарантировать, что это именно вы. По сути, это устройство будет говорить сайту следующее: «ты меня знаешь, потому что я могу передать тебе цифровой код, который доказывает, кто я такой, я в свою очередь гарантирую, что перед тобой именно тот пользователь, так как он прошел мою систему авторизации»

Разработчики системы Фидо не стоят на месте, они предполагают использовать ее везде, где может потребоваться авторизация пользователя: PIN-код, устройство для определения отпечатков пальцев на USB-флешке, или на камере, или мобильном телефоне. Главным преимуществом этой системы является то, что никакую информацию не придется хранить удаленно: данные биометрии, цифры PIN-кода будут храниться исключительно на устройстве Фидо. И так как оно не будет перемещаться на просторах интернета, данные не будут храниться на каком-либо сайте, который можно было бы взломать. Такая система позволяет избежать необходимости в длинных и сложных паролях для обеспечения безопасности. Если несколько раз подряд ввести неправильный PIN-код к уатентикатору Фидо, то устройство автоматически заблокируется, точно также как это делает любой банкомат. А самое главное, что фишинг просто уйдет в прошлое, так как нам уже не придется вводить пароль для входа на сайт.

А уйдет ли? В любой системе есть свои слабые стороны. Что же до системы Фидо, то она наиболее уязвима в момент установки. Для правильной работы, система Фидо полагается на пользователя, на то, что он подключается к легальному сайту. Но что случится, если вы зайдете на фишинг-сайт? «Во время аутентикации вы должны зайти на домашнюю страницу или на сайт, легальность которого не вызывает у вас сомнений, вы должны быть предельно внимательны», – говорит Маянк Упадхай, инженер безопасности корпорации Google. «Если вы заняты какими-то другими вещами и совершенно отвлечены, тогда ваш пароль действительно могут «словить»».

Еще один недостаток системы Фидо заключается в том, что достаточно сложно отменить пароль вашего устройства аутентикации, в случае его потери или кражи. Пользователю придется заходить на каждый из сайтов, где он зарегистрирован, и отменять пароль. По словам Упадхая, это может привести к тому, что хакеры лишат вас возможности доступа к сайту, выдавая себя за вас и обнуляя ваш аутентикатор

Люди привычки

Возможно, самый большой недостаток системы Фидо кроется в том, что она так и не дает пользователям то, о чем говорит Майкл Баррет из PayPal: чтобы такие сайты как PayPal сами обеспечивали свою безопасность. Чтобы осуществить это, онлайн сервисы должны намного чаще использовать анализ поведения пользователя. «Такой вид защиты поможет распознать, что пароль печатается именно легальным пользователем», - поясняет Кевин Бейли (Kevin Bailey), аналитик отдела безопасности  из IDC.  «Эти системы проверяют огромное количество данных о пользователе, чтобы опознать его по его пользовательским привычкам».

Ваше местонахождение, адрес вашего ПК, с которого вы обычно подсоединяетесь к сети, и даже время, в которое вы обычно заходите в сеть – все это может быть использовано при аутентикационном анализе. Даже скорость набора символов или то, как долго вы находитесь на разных веб-сайтах, может что-то рассказать о вас. Если один из этих факторов заставит сайт сомневаться в том, что вы именно тот, за кого вы себя выдаете, устройство заблокирует вас от, например, перевода крупной суммы денег с вашего банковского счета

Бейли предполагает, что такой подход, который он называет «основанный на аутентикации личности», будет очень полезен. «Угол, под которым вы держите телефон, манера ввода символов, тон вашего голоса  – даже то, как вы прикладываете телефон к уху и расстояние от уха до земли, все это может послужить основой для вашей персонификации»,  – продолжает Бейли

В конце концов, проблема аутентикации уникальна в случае с ПК. В основном у людей нет проблем в узнавании других людей, с которыми они состоят в каких-либо отношениях, поэтому никто из нас не запрашивает пароль от своей второй половинки или детей, прежде чем впустить их домой. Именно поэтому, по мнению Бейли, ученым будет очень сложно изобрести простую систему аутентикации для онлайн сервисов, пока компьютеры не смогут учиться всему как люди. «Способность к самообучению и искусственный интеллект помогут компьютерам распознавать людей и проводить аутентикацию, не проводя никаких операций», – заключает он

Но до этого времени, если вы хотите зайти на ваш аккаунт быстро и безопасно, вам, возможно, придется проглотить пилюлю с паролем.  

http://www.bbc.com/future/story/20130703-forget-passwords-take-a-pill