18 июля 2023

Вместо тысячи букв: станут ли новые технологии заменой паролю

Екатерина Шинкаренко Автор

Последние несколько лет международные IT-компании регулярно критикуют пароли за их уязвимость. В качестве альтернативы они развивают новые беспарольные способы авторизации, однако многие до сих пор не понимают, зачем они нужны. Почему корпорациям все еще не удается отказаться от паролей и как заставить маятник качнуться в другую сторону, рассказала руководитель продуктового направления VK ID Екатерина Шинкаренко

И ты, брутфорс

Ключевая причина, почему крупнейшие компании выступают против паролей, проста: любой из них, даже самый надежный, априори уязвим. Соблюдение всех правил цифровой гигиены сводит риски компрометации пароля к минимуму, но не убирает их полностью.

Многие все еще используют очень простые пароли вроде qwerty — с каждым годом подобрать их получается все быстрее и проще. Оптимальный пароль должен состоять не менее чем из 12 знаков, включая буквы, цифры и спецсимволы. Здесь подключается человеческий фактор: пользователям неудобно запоминать такие сложные пароли. В результате они либо забывают их, либо записывают в заметках или на бумаге, после чего теряют. Еще один распространенный сценарий — люди начинают использовать одни и те же пароли в разных сервисах. Хакеру достаточно получить данные человека на одном сайте — и все остальные учетные записи на других ресурсах будут скомпрометированы.

Материал по теме

По данным совместного исследования VK и Geek Brains, треть опрошенных россиян используют для защиты аккаунтов один пароль, который к тому же состоит из памятных дат и имен. Как правило, это день рождения, дата свадьбы или переезда, а также имена — свое, детей, родителей, второй половинки или любимого героя из фильмов и книг. Если хакеру будет важно взломать именно ваш аккаунт, то узнать эти данные, чтобы подобрать пароль, не составит большого труда.

При этом половина опрошенных понимает, что использование одного и того же пароля может быть небезопасно. Поэтому крупнейшим IТ-компаниям приходится искать новые подходы, чтобы предоставить пользователю баланс между удобством использования и защищенностью аккаунта. Одним из них может стать авторизация без какого-либо пароля.

Начало сопротивления

Считается, что первым отказаться от паролей решил платежный сервис PayPal. В 2007 году компания добавила функцию подтверждения входа по SMS. Вскоре производитель биометрических решений Validity Sensors предложил сервису развить идею альтернативных способов авторизации и сделать вход в аккаунт по отпечатку пальца. Реализовать такой проект PayPal решил вместе с крупнейшими IТ-компаниями, для этого в 2012 году они основали альянс FIDO. В него входят сотни компаний, в том числе Microsoft, Google, Apple, Visa, Intel и др.

Материал по теме

Последняя и самая популярная разработка альянса — это технология passkey, которая позволяет входить на различные сайты по лицу и отпечатку пальца. В 2023 году Microsoft, Google и Apple внедрили эту технологию в свои продукты, тем самым открыв доступ к авторизации через passkey для всех других сервисов, которые работают на их платформах. Кстати, PayPal в итоге стал одним из первых платежных сервисов, который решил поддержать эту технологию.

Флешка от всего

В чем же суть технологии passkey? С ее помощью паролем от сервисов фактически становится само устройство пользователя, например смартфон. Для этого достаточно привязать его к личному кабинету сервиса, который поддерживает технологию, — и в этот момент на устройстве появится электронный ключ.

Представьте себе USB-токен — некую «флешку», которую необходимо вставить в рабочий компьютер, чтобы получить к нему доступ. Фактически Apple, Google и Microsoft сейчас интегрируют такие «флешки» в электронном виде в свои смартфоны и ПК. Эти электронные ключи и называются passkeys. При авторизации их можно использовать вместо пароля и других способов подтверждения входа (например, SMS).

Чтобы получить доступ к ключу на смартфоне или ПК, пользователю нужно подтвердить, что он его владелец. Для этого производители устройств используют свои технологии подтверждения доступа — Face ID, Touch ID, ПИН-код, одноразовый пароль и другие способы. По сути, это аналог разблокировки смартфона по лицу — с той лишь разницей, что пользователь получает доступ не к самому устройству, а к электронному ключу в нем. Весь процесс происходит исключительно на устройстве — внешним сервисам передается только токен для доступа к аккаунту.

Конечно, среди пользователей есть и значительная доля скепсиса из-за опасений, что внешние сервисы получат доступ к биометрическим данным пользователей. Однако фактически эти данные не выходят за пределы учетных записей производителей устройств. Это упрощает работу и для самих сервисов, подключающих passkey: поскольку они не получают биометрические данные, им не придется создавать собственную биометрическую систему, хранить эти данные и получать соответствующую аккредитацию.

Материал по теме

Дефицит понимания

Как и любая новая технология, пока passkey встречает настороженную реакцию среди потребителей и потенциальных партнеров, которые могут использовать такую авторизацию на своих ресурсах. Процесс подключения passkey пока выглядит затруднительно, а слова «электронный ключ» могут отпугнуть технически неподкованного пользователя. Отчасти это объясняет, почему Apple уже несколько лет подряд в своей ключевой конференции WWDC говорит о passkey, однако о технологии все равно мало кто слышал.

Польза passkey неочевидна и для многих компаний. Сегодня всего чуть более 50 онлайн-сервисов поддерживают эту технологию. Среди них Adobe, eBay, Binance, Nvidia и др. Почему не переходят все остальные? Пока рынку не хватает аналитических материалов, которые показали бы выгоду passkey для бизнеса. Подобные решения сокращают скрытые затраты (например, на рассылку SMS) и упрощают процесс авторизации, однако нужны яркие примеры таких внедрений. Если ресурс использует passkey как единственный способ входа, то это исключает возможность брутфорса (метод взлома, при котором хакер перебирает все возможные комбинации символов до тех пор, пока не будет найдена правильная. — Forbes) пароля или фишинга — у пользователя не получится выманить пароль, потому что его попросту нет.

Наконец, онлайн-сервисы боятся затрат, которые могут возникнуть при переходе на технологию. Ее внедрение может потребовать финансовых вложений, однако в долгосрочной перспективе улучшение бизнес-метрик и сокращение затрат на SMS могут окупить вложения. К тому же на этом можно сэкономить, не разрабатывая беспарольный вход с нуля, а подключив внешний сервис авторизации, который уже поддерживает passkey.

Стоит понимать, что на passkey также распространяется человеческий фактор. Например, смартфон можно потерять и на время лишиться доступа к аккаунту. Однако в случае кражи получить доступ к электронному ключу злоумышленник не сможет, так что уровень безопасности такого решения значительно выше, чем у традиционной парольной авторизации.

Материал по теме

Passkey в массы

Чтобы технология становилась все более востребованной, необходимо о ней говорить — как пользователям, так и потенциальным партнерам. Можно даже помогать им в интеграции passkey, пока не накопится критическая масса успешных примеров и технология не станет достаточно популярной. В России для развития и популяризации технологии ряд IT-компаний планируют создать рабочую группу — над этим будут работать VK, «Сбер», МТС и Альфа-банк.

По оценкам IBM, в 2022 году финансовые потери компаний из-за утечек данных в среднем по миру достигли $4,35 млн. При этом дороже всего такие взломы обходятся медицинским ($10,10 млн) и финансовым ($5,97 млн) организациям. Учитывая позицию альянса FIDO о том, что более 80% утечек происходит именно из-за ненадежных паролей, passkey могла бы значительно снизить эти расходы. И уже первых оценок будет достаточно, чтобы говорить о финансовой выгоде внедрения passkey — и тогда ситуация может полностью измениться.

Мнение редакции может не совпадать с точкой зрения автора