Руководство "Я ненавижу пароли".

Относится к категориям: Security, Web
Владимир Ш.
Вы уже слышали про Heartbleed - это дыра в безопасности, которая затрагивает огромное количество веб-серверов и делает идентификаторы и пароли достоянием общественности? В свете этих событий среди знатоков технологий всё больше популярно мнение, что пароли по своей сути небезопасный метод аутентификации.

В июле прошлого года трое студентов одного из американских колледжей (Pomona College) инициировали петицию против паролей, попытку стимулировать потребителей к давлению на технологические компании для реализации более безопасных технологий проверки пользователей.

Консенсус экспертов заключается в том, что альтернатива парольной защите не готова на сегодняшний день. Ранее в этом году Гугл приобрёл SlickLogin, компанию, которая строит систему аутентификации на основе телефона. У этой компании в разработке также технологии аутентификации на основе звука.



Нет сомнений, что нам придётся полагаться на пароли для безопасного доступа ещё долгие годы. По мере роста нашей зависимости от технологий, мы просто приговорены к использованию всё большего количества идентификаторов. Если мы будем следовать рекомендациям экспертов об использовании уникальных паролей для каждого сервиса, к которым получаем доступ, груз паролей быстро становится непосильным: мало того, что мы должны помнить десятки адресов, приходится запоминать, какой пароль мы вводили на каждом сайте, не говоря уже о том, какой идентификатор пользователя мы там придумали.

Компьютерный гуру Дэвид Пог заявляет, что нет никакой альтернативы использованию менеджеров паролей, таких как: LastPass, Roboform или KeePass. (На самом деле, Пог рекомендует бесплатный DashLane, который работает с Хромом, Фаерфоксом, Интернет эксплорером и Сафари.

Недостатки онлайн менеджеров паролей обсуждаются на многих форумах по безопасности в интернете: они создают единую точку хранения всех ваших паролей, а так как они работают в вашем браузере, имеется большая "площадь атаки". Для меня самым большим недостатком менеджеров паролей является сохранение конфиденциальности данных от третьей стороны, что всегда увеличивает риск независимо от того, насколько вы доверяете этой третьей стороне.

Примером безопасного метода создания пароля, который не требует ни обслуживания сторонними сервисами, ни бумажной записи - является основывать пароли на том, что вы уже запомнили, например детский стишок, слова песни или стихотворения. Например, можно использовать третью и пятую буквы слов любимой песни; в словах короче трёх букв - использовать последнюю букву. Например если взять первую строку стиха Лермонтова "Парус", получится пароль "лерсиовмнрлб", в английской раскладке пароль будет будет выглядеть так: "kthcbjdvyhk,".

Необходимость изменения всех своих паролей может ввергнуть в отчаяние.

Всякий раз, когда какой-либо сервис подтверждает, что его системы были взломаны, их рефлекторный совет своим клиентам - изменить свой пароль. Не так страшно, если вам нужно сделать это только на одном сайте или для одного приложения, но когда возникает ошибка с размахом Heartbleed - может занять полдня, чтобы войти во все учётные записи и поменять свои пароли.

Одной из первых проблем становится попытка вспомнить все свои аккуанты, которые вы создали на протяжении многих лет. Ресурс LifeHacker объясняет простую технику для обнаружения аккаунта, о существовании которого вы, возможно, забыли: задать поиск по по архиву электронной почты по фразам "подтвердить адрес электронной почты" или "confirm your email" для иностранных сервисов. Вместо того, чтобы изменить пароль на ваших осиротевших аккаунтах, может быть безопаснее просто удалить те из них, которые вы не использовали и/или не собираетесь использовать в будущем.

Можно надеяться, что к настоящему времени сервисы с уязвимостью Heartbleed уже осуществили ремонт. На форумах по сетевой безопасности ранее на этой неделе сообщалось, что большинство организаций, пострадавших от Heartbleed исправили свои системы, но хакеры продолжают пользоваться дырой в безопасности.

Если вы так долго ждали момента, чтобы изменить свои пароли, пока системы OpenSSL сайтов не были обновлены, казалось бы, что прошло достаточно много времени. Heartbleed является напоминанием, что интернет никогда не будет на 100 процентов безопасным.
 
Улучшенные методы аутентификации на горизонте.

Большинство альтернатив паролям для аутентификации пользователя требуют отдельного устройства, например, телефона, используемого системой SlickLogin, которую я упомянул выше. Двухфакторная аутентификация также опирается на телефон или другую систему, чтобы получить код, используемый для подтверждения вашей личности.

Многие эксперты возлагают надежды на надёжные биометрические техники аутентификации. Описываются биометрические подходы, основанные на сердцебиении, форме уха, манере ходьбы, скорости набора текста и чертах лиц.

Недавняя статья на ресурсе NPR обращает внимание на системы распознавания голоса Nuance, которую используют некоторые иностранные банки для проверки клиентов, которые обращаются к их линии поддержки. Считыватели отпечатков пальцев на Самсунг Galaxy S5 и Айфоне 5S продемонстрировали подобные технологии, но исследователи сумели обойти датчики обоих устройств.

Вы не можете использовать веб долго, не встречая капчу (проверочный код в полях ввода). Каптча может казаться более ужасной при попытках восстановить утерянный пароль: её символы часто так искаженны, что требуют некоторого напряжения при их определении.

Один из самых креативных подходов аутентификации, изучаемых в области интерактивных доказательств человека (HIP) является Project Asirra от Майкрософт, который требует, чтобы люди отличали кошек от собак в серии фотографий (статья по ссылке на английском языке, но можно использовать автоматический перевод, в правом верхнем углу есть выпадающий список выбора языка).

Исследования, проводимые в университете Калифорнии Беркли разрабатывают систему, которая читает мозговые волны для аутентификации пользователей, что, по мнению инженеров, является естественным с распространением использования носимых компьютеров. Исследователи были на 99% точны при определении на основе их уникальных мозговых волн 15 студентов старших курсов.

Когда-нибудь наша личная информация и деятельность будут защищены технологией более безопасной, чем пароли, на которые мы опирались на ещё на заре развития сетей. Наступит ли этот день рано или поздно в значительной степени зависит от того, как громко мы жалуемся на то, что организации не достаточно усердно защищают данные своих клиентов.
Комментариев - 0
Рейтинг - 975 баллов
 
Похожие статьи на сайте:
 
Комментариев: 0
 
Имя *:

E-mail:

Текст комментария *: