Некоторые люди не могут перестать говорить о смерти пароля. Пароли старые, ненадежные и легко поддаются утечке. Скоро мы все будем использовать биометрию, аппаратные ключи безопасности и другие футуристические решения, верно? Ну не так быстро.
Мы говорили с 1Пассворд’с начальник службы безопасности Джеффри Голдберг, который сказал, что он «осторожно оптимистичен, что на этот раз мы можем увидеть брешь в проблеме пароля».
Это оптимистичный подход - и это далеко не смерть паролей.
Почему люди хотят убивать пароль
Обсуждая цель компании « Строим мир без паролей, Еще в мае 2018 года группа безопасности Microsoft писала:
«Никто не любит пароли. Они неудобны, небезопасны и дороги. Фактически, они нам так не нравятся, что мы были заняты работой, пытаясь создать мир без них - мир без паролей ».
С течением времени пароли стали раздражать все больше, и мы все поняли, что их повторное использование опасно. Если вы используете один и тот же пароль на нескольких сайтах и произошла утечка пароля, вы можете использовать его для доступа к вашей учетной записи на другом сайте. Итак, вам нужно выбрать надежный уникальный пароль для каждой службы, которую вы используете. Прошли те времена, когда на нескольких веб-сайтах использовался короткий простой пароль.
Для большинства людей, не обладающих сверхчеловеческой памятью, невозможно запомнить надежный уникальный пароль для каждой учетной записи в Интернете. Вот почему мы рекомендуем менеджеры паролей - они запоминают все эти надежные и уникальные пароли за вас. Вам просто нужно запомнить свой мастер-пароль, который намного проще, чем запомнить 100, и намного безопаснее, чем повторное использование того же самого.
Однако даже с менеджером паролей это не совсем безопасно. Кто-то с кейлоггер в вашей системе может захватить ваш пароль и войти в систему как вы. Вот почему услуги добавляют дополнительную безопасность. Мы часто вводим пароль, а затем должны пройти аутентификацию второй раз с помощью кода или ключа.
Есть ли способ лучше?
Что могло заменить пароль?
Голдберг сказал, что за последние двадцать лет он видел, как «схема за схемой» предлагали уничтожить пароли, многие из которых не извлекли уроки из того, что терпело неудачу в прошлом. Но у более новых может быть больше шансов на успех из-за достижений, таких как более мощные локальные устройства.
Биометрия может заменить пароль. Вы можете использовать Touch или Face ID (биометрию) для входа в свой iPhone вместо ввода PIN-кода. В телефонах Android есть функции входа по отпечатку пальца и лицу.
Вы также можете сейчас создавать «беспарольные» учетные записи Microsoft для входа в Windows. Ваше имя пользователя - это ваш номер телефона, а вводимый вами «пароль» - это код, отправленный на ваш номер телефона по SMS.
Вы также можете использовать физический ключ безопасности вместо пароля для аутентификации ваших онлайн-аккаунтов. Вы держите ключ при себе (вы даже можете оставить его на связке ключей) и используете его через USB, NFC или Bluetooth, когда приходит время войти в систему.
Телефоны тоже могут заменять пароли. Google теперь позволяет устройствам Android работать как клавиши FIDO2 . Вам также может потребоваться аутентификация с помощью отпечатка пальца на телефоне при входе на веб-сайт на своем ноутбуке.
Многие компании пытаются уменьшить использование паролей, предлагая поставщиков услуг «единого входа». Это когда вы входите в Facebook, Google и т. Д., А затем используете эту учетную запись для входа в другие службы - никаких дополнительных паролей не требуется.
«Замены» паролей не заменяют пароли
Но здесь есть большая проблема. Технологии, рекламируемые как «замены» паролей, на самом деле не являются заменой - по крайней мере, пока.
Биометрические данные, такие как Face или Touch ID, по-прежнему требуют на вашем устройстве и пароля, и пароля Apple ID. Для некоторых задач также требуется PIN-код для фонового шифрования. Биометрические функции в Android и Windows Hello в Windows 10 работают одинаково - в основном, как удобная функция. На вашем устройстве проще войти в систему, потому что вам не нужно каждый раз вводить пароль, но это не так. заменить твой пароль.
Аккаунт без пароля, который отправляет вам телефонные коды, тоже не лучший вариант. Вместо одного пароля для вашей учетной записи эта служба генерирует новый каждый раз, когда вы пытаетесь войти в систему, и отправляет его вам по SMS. Это менее безопасно, чем традиционный метод использования одного пароля и кода безопасности, отправляемого вам при входе в систему.
К сожалению, во многих ситуациях злоумышленники легко крадут телефонные номера, что снижает безопасность. Это отличный способ связаться с людьми в странах, где номера телефонов есть повсеместно, и он снижает трения при регистрации учетной записи, поэтому Amazon предлагает это тоже. Но это не лучшее решение для замены паролей.
Большинство служб, использующих физические ключи безопасности, используют их как дополнительная опция аутентификации . Вы по-прежнему входите в систему со своим паролем, а затем предоставляете ключ безопасности в качестве дополнительного подтверждения для входа. Возможность использовать ключ без пароля еще далеко.
Есть проблема с конфиденциальностью и со службами единого входа. Когда вы нажимаете «Войти с помощью Google» или «Войти с помощью Facebook», оператор службы - Google или Facebook - знает, на что вы входите.
Всегда будут пароли (в фоновом режиме)
Даже если мечта Google о замене паролей на телефоны осуществится, она не устранит пароль. Грани Вот как резюмировал планы Google: «Если вы уже вошли в свой телефон, то это можно использовать для« начальной загрузки »следующего устройства, на котором вы хотите войти в свою учетную запись Google».
Вы можете избегать использования пароля в течение длительного времени, но он все еще остается в фоновом режиме. В конце концов, он вам понадобится, если вы потеряете все свои устройства.
Пароли по-прежнему широко распространены. Их легко настроить и использовать. «Замена» паролей обеспечивает большее удобство или дополнительную безопасность. Но вам всегда понадобится способ восстановить доступ, если вы потеряете устройство и не сможете использовать свои биометрические данные или аппаратную безопасность.
«Я думаю, что всегда будут крайние случаи, когда требуются пароли», - сказал операционный директор 1Password Мэтт Дэйви. Например, Войти через Apple в iOS 13 предлагает вариант входа через Интернет, который использует пароль Apple ID при входе на устройстве, отличном от Apple. Пароль работает везде и используется по умолчанию, когда недоступны модные биометрические данные или аппаратные средства безопасности.
Как сказал Голдберг, «пароли действительно очень просты» для внедрения веб-сайтов. «Они по-прежнему остаются самой простой вещью для операторов связи».
Вот почему 1Password оптимистично смотрит в будущее менеджеров паролей. Компания заявила, что увидела больше новых пользователей, хотя конкуренция растет, и такие компании, как Apple, Google и Mozilla, более серьезно относятся к управлению паролями.
Что день грядущий?
Мечта убить пароль далека от реальности. Даже если процесс пойдет хорошо, в лучшем случае мы будем продвигаться вперед медленно, предлагая более простые альтернативы паролям.
Когда-нибудь пароли могут быть отодвинуты на второй план, что станет давно забытым методом восстановления учетной записи. Но они, вероятно, будут существовать еще долго. Сражение, чтобы изгнать их из ежедневного использования для большинства людей будет долгой и упорной. Но полное уничтожение паролей? Это еще труднее представить.
