123456, qwerty, password, iloveyou, princess, dragon… Список наихудших паролей в 2019 году напоминает, что множество пользователей недооценивают проблемы кибербезопасности. К счастью для них, возможно, пароли скоро будут не нужны. Рассмотрим будущее аутентификации с фантастическими гаджетами и проблемами конфиденциальности.
Социальные сети, интернет-магазины, банковские приложения… Количество необходимых паролей растет очень быстро, так что управление ими становится головной болью для пользователей.
«Самое слабое место в использовании пароля — большое количество идентификационных данных. Средний пользователь имеет 100 разных регистраций, к которым нужен пароль»,- говорит Xavier Plattard, руководитель отдела управления доступом в Интернет в компании Atos.
«Простейшее решение – использовать один пароль везде, но в таком случае утечка в одном месте скомпрометирует все регистрации», — добавляет Franck Veysset, член CLUSIF (Французский клуб информационной безопасности), ссылаясь на случай в Disney+, когда тысячи аккаунтов были взломаны с использованием одинаковых паролей из дарквеба.
К меньшему числу паролей
Биометрическая аутентификация, которая появилась на смартфонах несколько лет назад, облегчила ситуацию. С Apple Face ID и Touch ID, Windows Hello или Samsung Iris Scan (сканирование радужной оболочки) разблокирование телефона без кода становится обыденностью. Уже представили 100% «беспарольное» будущее, в котором ваши глаза, пальцы, лицо, голос могут быть использованы повсеместно для вашей идентификации? Стоп, не так быстро!
«Мы в Atos не считаем, что пароли полностью исчезнут в ближайшем будущем. Однако, мы уже можем значительно снизить использование паролей, что будет хорошо, как для безопасности, так и с точки зрения пользовательского опыта», — объясняет Xavier Plattard со ссылкой на Evidian – решение для единоразовой аутентификации (single sign on authentication), разработанное компанией.
Основной принцип решения: уникальная и надежная аутентификация, возможно, в сочетании с биометрией или ключом безопасности, которая дает доступ к защищенному приложению без постоянного ввода имени и пароля.
«Другими словами, пароль еще есть, но он управляется менеджером паролей. Эта утилита генерирует надежные пароли и регулярно обновляет их. Дополнительно механизм федеральной идентификации обеспечивает центральную точку идентификации для всех приложений, к которым получает доступ пользователь. Меньше аккаунтов означает меньше возможностей для атак», — объясняет он.
В будущем аутентификация будет множественной и контекстной
Чтобы снизить риск взлома, лучше увеличить количество уровней безопасности.
«Сильная аутентификация – это комбинация факторов, — подчеркивает Xavier Plattard. Использование пароля допустимо при условии, что это не единственная защита».
То же самое касается и биометрии, у которой тоже есть свои недостатки: хакер Jan Krissler из компьютерного клуба Хаос доказал это в 2014, воссоздав отпечаток пальца Президента Европейской Комиссии Урсулы фон дер Лайн, используя снимки большого пальца в формате HD, сделанные на пресс-конференции. «Отпечаток пальца очень легко скопировать со следа, оставшегося где-то, особенно для датчиков низкого уровня. Но есть и более сложные технологии, учитывающие такие факторы, как температура и оксигенация пальца»,- говорит Franck Veysset.
Так называемая «мультифакторная» аутентификация – это всегда комбинация, как минимум, двух элементов: фактор знания (пароль), фактор владения (push-нотификация на смартфоне для авторизации аутентификации, ключ безопасности типа Yubikey и т.д.) и неотъемлемый фактор (биометрия). Например, браслет Nymi, который использует биометрию и определение частоты сердечных сокращений совместно с корпоративной системой доступа Evidian. «Эта аутентификация имеет гибкое применение, особенно полезное в случаях, когда сотрудники носят перчатки или маски. Есть еще фактор расстояния, поскольку браслет взаимодействует по Bluetooth с устройством, с которым надо соединиться,» — говорит Xavier Plattard, уточняя, что метод «очень надежный», хотя и дорогой. «Такой тип устройств будет широко распространен: достаточно только скомбинировать его с фитнес-браслетом».
Поведение пользователя тоже станет важным параметром.
«Благодаря алгоритмам глубокого обучения, аутентификация начинает основываться на привычках интернет-пользователей: время и место соединения, постоянно посещаемые сайты, частота сообщений в социальных сетях… Все эти элементы подтверждают идентичность пользователя,- говорит Xavier Plattard. Мы также изучаем возможность идентификации на базе скорости печати пользователя и ошибок при печати».
Во всех случаях попыток доступа к особенно важным ресурсам и/или отклонения пользователя от обычных действий (например, денежный перевод новому получателю), уровень аутентификации может быть повышен («лестничная аутентификация»).
Под вашими пальцами
Несмотря на надежность биометрической аутентификации, ее использование требует осторожности.
«Такие данные уникальны и постоянны: вы можете изменить пароль , но не можете изменить лицо…», — говорит Félicien Vallet, инженер отдела технологической экспертизы CNIL.
Благодаря биометрии наши физиологические и анатомические характеристики становятся способами аутентификации, которые не требуют посредников. Специалист по безопасности Ayse Ceyhan отмечает, что само тело в контексте аутентификации представляет собой «статью, объективизированную, приведенную к компьютерным и естественным параметрам, преобразованную в цифровой код».
«С личной точки зрения, я не считаю это чем-то из ряда вон: людей всегда узнавали по голосу, походке или лицу, — говорит Bernadette Forizzi, директор по исследованиям в Télécom SudParis. Меня больше беспокоит абсолютная уверенность в алгоритмах: они тоже могут совершать ошибки… Крайне важно иметь регулирующие документы и органы, занимающиеся такими сбоями».
Félicien Vallet говорит: «В отличие от распознавания лиц в публичной области, которое требует создания биометрических баз данных, биометрическая аутентификация – замена или дополнение к паролям – предусматривает хранение данных локально, на смартфоне, позволяя пользователю сохранять контроль над ними». По крайней мере, в теории. В реальности немного не так: в 2015 Apple зарегистрировал патент предусматривающий «синхронизацию биометрических данных через облако».
Что, если задача завтрашней аутентификации заключается не столько в ее безопасности, сколько в прозрачности?
Автор: Xavier Plattard
Источник: https://atos.net/en/blog/what-will-user-authentication-look-like-in-2030
