Что случилось? Компания CB Insights, занимающаяся бизнес-аналитикой, выпустила ежегодный доклад «Технологии, меняющие правила игры» (Game-Changing Tech 2022). В нем описаны девять новейших технологий, которые в течение следующих 10–20 лет могут изменить мир. Некоторые из них – например, интерфейс «мозг-компьютер», который рассмотрен в предыдущем выпуске «НОЗС», – приведут к прорывам в медицине.
Другие нацелены на решение актуальных сегодня проблем кибербезопасности и безопасности данных. Одна из таких технологий – беспарольная аутентификация.
Технология. Беспарольная аутентификация – это метод аутентификации (т.е. проверки подлинности), который позволяет пользователю получить доступ к системе без стандартных на сегодня методов – ввода пароля или ответа на вопрос. Вместо этого пользователь предоставляет какую-либо другую форму доказательства, например, биометрические данные (отпечаток пальца или идентификация лица), бесконтактную карту или код аппаратного токена.
Короче… Беспарольная аутентификация позволит повысить безопасность данных за счет отказа от пароля и использования более надежных методов защиты.
А как раньше? Наиболее широко используемое сегодня решение проблемы уязвимости пароля – метод двухфакторной аутентификации. Он предполагает два независимых метода подтверждения идентичности, где дополнительно к паролю необходимо подтвердить подлинность, например, через электронную почту или мобильный девайс. В более редких случаях второй «слой» защиты составляет специальный USB-ключ или биометрические данные. Этот метод, однако, не снимает проблемы наиболее уязвимого первого «слоя» – пароля. Это значит, что работа взломщика уже наполовину решена и остается только проблема второго фактора.
Аналоги. В сущности, методы двух- и многофакторной аутентификации – наиболее распространенный аналог беспарольной аутентификации. Несмотря на то, что методы беспарольной аутентификации чаще всего используются совместно с многофакторной аутентификацией, они также могут быть использованы поодиночке. Пример – использование USB-ключей.
Кто? Идея отказа от паролей не является новой и оригинальной. Пароли используются с 1961 года, а в 1980-х начали появляться первые версии беспарольных решений – тогда в форме динамичных одноразовых паролей на физических носителях. Современные беспарольные решения реализуются на основе стандартов, которые разрабатывает альянс ведущих технологических компаний FIDO совместно с консорциумом W3C, внедряющим стандарты для Интернета.
Источники
- Jack Poller Why 2023 is the year of passwordless authentication // TechTarget, август 2022 г.
- Rishi Raman History and Rise of «Passwordless» // Clerk, сентябрь 2021 г.
Цитата
«Тщательное изучение крупных нарушений кибербезопасности выявляет одну общую тему: в каждом громком случае нарушения вектором атаки был общий пароль. Причина проста: пароль на сегодняшний день является самым слабым звеном во всей цепи кибербезопасности».
Майкл Чертофф (Michael Chertoff),
бывший секретарь национальной безопасности США
+ Основное преимущество подхода – устранение недостатков паролей. Самый главный – это его уязвимость и возможность быть скомпроментированным, вероятность чего растет по мере развития вычислительных мощностей компьютеров. Побочные неудобства – это необходимость держать в голове или на каких-то физических или цифровых носителях множества паролей и периодически их обновлять. Кроме того, в условиях нынешней зависимости от цифровых сервисов забывание пароля может привести к дополнительным осложнениям.
– Беспарольные решения не свободны от недостатков. Во-первых, они менее доступны. Например, использование биометрических данных в качестве метода аутентификации подразумевает, что девайс пользователя может их считывать, что далеко не всегда так. С этим связан второй недостаток – цена этих решений. Переход бизнеса на беспарольную аутентификацию может быть связан со значительными затратами. Наконец, есть проблема привычки – пользователи на протяжении многих лет приспособились к паролям, и могут возникнуть сложности с адаптацией к новым методам.
= Сегодня переход на беспарольные решения – это уже более-менее общее место. Опубликованный в мае 2022 года отчет компании Enterprise Strategy Group (ESG) показал, что 54% опрошенных компаний уже запустили переход к беспарольной аутентификации. Такая динамика заставила старшего аналитика ESG Джека Поллера спрогнозировать, что 2023 год станет «годом беспарольной аутентификации». Вместе с тем, не стоит заблуждаться, что проблема кибербезопасности может быть решена только путем усиления аутентификации. Согласно расхожей хакерской максиме, любая система может быть взломана, и это полезно помнить в современном небезопасном мире.
Составил Иван Жужгин
©«Новый оборонный заказ. Стратегии»
№ 5 (76), 2022 г., Санкт-Петербург
