Понятие «беспарольной» аутентификации привлекает значительное внимание индустрии и средств массовой информации. И не зря – наша цифровая жизнь требует все большего количества онлайн-аккаунтов и сервисов, а передовые методы обеспечения безопасности диктуют, что каждый из них требует надёжного, уникального пароля, чтобы обеспечить безопасность данных. Кто же не захочет облегчить себе жизнь?
Такая предпосылка лежит в основе одноразовых паролей (OTP), биометрии, ПИН-кодов и других методов аутентификации, представляемых как«безопасность без паролей». Вместо того чтобы запоминать громоздкие пароли, пользователи могут аутентифицироваться, используя то, что им принадлежит, что они знают или чем они являются. Некоторые используют для этого смартфон, OTP, аппаратные маркёры или биометрические маркёры в виде отпечатка пальца. Хотя на первый взгляд это звучит привлекательно, проблема заключается в том, что когда вы взглянете на эти методы пристальнее— эти решения без паролей все равно полагаются на пароли.
Это происходит двумя основными способами:
Беспарольные решения используют пароли в качестве резервного варианта
Если у вас есть устройство Apple, вероятно, в какой-то момент вы столкнулись с проблемами с Touch ID. Существует множество причин, по которым аутентификация Touch ID может привести к сбоям - загрязнение на кнопке, расположение пальцев пользователей или проблемы с настройкой системы. И это лишь некоторые из них. Когда появляются эти и другие проблемы, что вам предлагается сделать? Введите пароль.
Это означает, что даже если у вас включена функция Touch ID для всех возможных приложений и служб, безопасность этих учетных записей на самом деле не лучше стойкости вашего пароля. Хакеры могут игнорировать Touch ID и перейти непосредственно к атаке на пароль.
С учетом острой проблемы повторного использования паролей есть большая вероятность того, что учетные данные, которые многие люди используют для своих устройств Apple, уже подверглись компрометации. И если пароль был раскрыт - будьте уверены, что он доступен всем хакерам в Darknet.
Конечно, это не уникальная проблема Apple. Поскольку беспарольные решения для аутентификации являются относительно новыми, в обозримом будущем будет требоваться резервное средство аутентификации. И пока вы видите, что эта «вторичная» форма входа в систему, как правило, представляет собой пароль - обещания «беспарольности» остаются фикцией.
Учетные данные используются для аутентификации системы на бэкэнде
Вторым фактором, способствующим появлению иллюзий отказа от паролей, является то, что учетные данные, как правило, все еще требуются для аутентификации системы в какой-то точке цепочки безопасности.
Например, вы получаете доступ к своему рабочему месту через аппаратный ключ, который по умолчанию настроен на ваш уникальный код доступа для случаев повреждения или утери ключа. Но как насчет админа, который входит в систему для анализа данных? Если он использует пароль без дополнительного решения для обеспечения целостности своих учетных данных, то безопасность системы все равно зависит от безопасности пароля.
Почему пароли не исчезнут в ближайшее время
Два вышеприведённых примера показывают, что понятие «беспарольности»— это в основном пускание пыли в глаза, по крайней мере, на данном этапе развития технологий. Эти появляющиеся стратегии «невидимой безопасности» имеют некоторые дополнительные проблемы с аутентификацией, которые потребуют, чтобы пароли оставались частью аутентификации в обозримом будущем.
Пароли все ещё имеют большую привлекательность для организаций. Они являются наиболее доступным и масштабируемым вариантом аутентификации, что затрудняет их замену на что-то новое. Нет никаких проблем совместимости в паролях, которые одинаково работают на всех устройствах, версиях и операционных системах.
Это не относится ко многим новомодным беспарольным, по самой архитектуре, решениям, которые потребуют от организаций выделения большего бюджета на обеспечение совместимости. Ещё одним преимуществом использования пароля является то, что он либо правильный, либо нет. Напротив, некоторые из вариантов беспарольной аутентификации полагаются на вероятностные решения, в которых есть встроенный запас ошибок.
Роль переменных и многоуровневой аутентификации
По словам Эрика Халлера, вице-президента по информационным технологиями Experian и генерального менеджера по идентификации, мошенничеству и лаборатории DataLabs: «Потребители хотят, чтобы их узнавали в цифровом формате без дополнительных шагов по идентификации. Они открыты для более практичных решений в современную цифровую эпоху». Готовность может и существовать со стороны потребителей, но правда в том, что единого эффективного решения для безопасной аутентификации не существует. Стратегии невидимой безопасности имеют своё место, но только в рамках более широкого подхода к кибербезопасности, в рамках которого применяется многоуровневая проверка подлинности. Что всегда возвращает нас к паролям.
Защита паролей
Как упоминалось выше, невероятно часто люди создают простые, легко запоминающиеся пароли, которые они затем повторно используют в нескольких учётных записях и сервисах. 91% респондентов водном из опросов признали, что это вызывает многочисленные проблемы с безопасностью, однако 59% заявили, что в любом случае делают это. Нереально ожидать, что поведение человека изменится, особенно в пост-пандемическом мире, где в личной и профессиональной жизни мы имеем больше цифрового взаимодействия, чем когда-либо прежде. Так что же могут сделать организации для обеспечения безопасности паролей?
Важность проверки на компрометацию данных
Поскольку утечка данных происходит в режиме реального времени, единственным подходом является проверка паролей на основе живой базы данных со скомпрометированными учетными записями при каждом входе в систему. Независимо от того, используются ли пароли в качестве основного средства аутентификации или в качестве резервного, когда стратегия невидимой безопасности проваливается, очень важно, чтобы компании постоянно следили за потенциальной компрометацией учетных данных. Существуют решения по динамическому сканированию скомпрометированных учетных данных, которые позволяют организациям автоматизировать этот процесс, высвобождая ресурсы для сосредоточения на других областях кибербезопасности и обеспечивая при этом защиту паролей.
Не доверяйте «беспарольному» хайпу
Пока что обещание беспарольного мира остаётся фантазией. Хотя наша зависимость от паролей может постепенно ослабнуть, полный отказ от паролей кажется маловероятным. Поэтому, учитывая, что пароли являются частью нашей жизни в обозримом будущем, очень важно, чтобы организации обеспечивали им самую серьёзную защиту.
Перевод сделан со статьи: https://thehackernews.com