Вход конем: в России растет использование беспарольных технологий доступа к сервисам

Беспароль шагает по стране

74% крупнейших сайтов Рунета имеют беспарольную систему аутентификации, при этом чем популярнее ресурс, тем с большей вероятностью он отказывается от паролей для своих пользователей. Кроме того, 39% ресурсов реализовали свою собственную систему беспарольной аутентификации, а 8% ресурсов, не имея собственной, используют федеративные системы (то есть внешние ID-сервисы вроде VK ID, «Яндекс ID», «Сбер ID» или «Госуслуги»), где есть возможность использовать «беспароль». Такие выводы следуют из отчета аналитического агентства TAdviser, с которым ознакомился Forbes.

Методика исследования базируется на визуальном осмотре 100 наиболее популярных сайтов в семи категориях: логистика, связь, электронная коммерция, финансы, недвижимость и госсервисы, медиа, а также образование и карьера. Аналитики изучили доступные методы идентификации и аутентификации на сайте и раздел настроек безопасности. Авторы отчета проводили первичную регистрацию на сайтах с изучением возможного выбора различных вариантов первичной идентификации, а также повторную аутентификацию для проверки возможностей как беспарольной, так и многофакторной аутентификации.

Более 53% исследуемых ресурсов используют внешние ID-сервисы, наиболее популярная система федеративной аутентификации в России — это VK ID (62%). На втором месте по популярности — «Яндекс ID» (40%), а третье место разделили «Сбер ID», «Госуслуги» (ЕСИА, Единая система идентификации и аутентификации) и OK — по 34%. «Появляются и корпоративные системы федеративной аутентификации — CDEK ID, Ozon ID, MTS ID, которые объединяют проекты, принадлежащие одной холдинговой структуре, — добавляют аналитики. — Их распространение не очень широкое — как правило, не больше десятка сайтов, однако такой способ аутентификации в рамках холдинга упрощает клиентам возможность пользоваться услугами компаний, а самим компаниям — получать комплексную аналитику по всем своим ресурсам».

Кроме того, в России все большее распространение получает многофакторная аутентификация (МФА), которая позволяет дополнительно усилить процедуру проверки пароля, констатируют авторы. Доля ресурсов, которые используют МФА, составила 41%. «Часто пароль — это один из факторов проверки, однако могут использоваться и несколько беспарольных методов аутентификации», — говорится в исследовании.

Отраслевая специфика

Согласно результатам исследования, у аутентификации есть свои особенности в зависимости от отрасли. Так, в логистике важно точно знать адрес доставки или хотя бы контакт контрагента. Именно поэтому практически все участники привязываются к номеру телефона, в то время как беспарольная аутентификация используется слабо — только 30% сервисов из исследуемых внедрили ее у себя, следует из отчета. «Сектор e-commerce сейчас достаточно конкурентен, и ресурсы стараются максимально упростить пользователям аутентификацию. Доля использования беспарольной аутентификации — более 40% от всех ресурсов. Также высок показатель использования федеративных ID-систем для аутентификации — тоже более 40%, но пересечения между этими категориями минимальны», — указывают авторы исследования.

Банковская отрасль в России — одна из наиболее технологичных, поэтому здесь также очень развиты технологии беспарольной аутентификации — чуть более 55% сервисов в этой сфере ее используют. Также в этой отрасли есть свой собственный способ первичной идентификации — номер карты, он распространен на таком же уровне.

Если же говорить о сфере недвижимости и госсервисах, то и там и там важна юридическая значимость работы сервисов: для первых это требование рынка, для вторых — результат регулирования. «Беспарольных способов в этой сфере достаточно мало — всего 35% ресурсов, причем практически все — это использование квалифицированных сертификатов, выданных аккредитованными удостоверяющими центрами», — отмечается в исследовании. В этой категории популярна сторонняя федеративная аутентификация, а именно — ЕСИА: «Большинство госресурсов в регионах доверяет «Госуслугам».

В разделе «медиа» (соцсети, СМИ, онлайн-кинотеатры и другие) фиксируется максимальное использование беспарольных технологий аутентификации — 75%. Высокий показатель внедрения подтверждает, что «беспароль» чаще внедряется в массовых ресурсах, делают вывод в TAdviser.

Альтернативные методы

Пароль как единственный метод аутентификации уступает первенство другим — беспарольной, многофакторной или федеративной аутентификации, констатируют аналитики: «Возможно, это связано с тем, что в последнее время было много фишинговых, мошеннических или брутфорс-атак (метод систематического подбора паролей, шифровальных ключей и других секретных данных), целью которых был именно перехват, выведывание или подбор пароля. Также это связано и с удобством большого числа пользователей, которые предпочитают использовать, например, одноразовые OTP-входы, чем запоминать и регулярно менять пароли».

Российский бизнес сейчас активно ищет решения, которые помогают оптимизировать затраты на авторизацию пользователей, рассуждает директор бизнес-юнита по экосистемным сервисам VK Иван Смирнов. «На глобальном рынке все чаще видим использование TOTP (Time-based one-time Password) — одноразовых паролей, действующих непродолжительное время. Они могут генерироваться в аутентификаторе или каком-то отдельном приложении, то есть десятки и сотни тысяч SMS можно заменить на бесплатные TOTP. Также эти коды невозможно перехватить, в отличие от обычных OTP в SMS», — рассуждает он.

Не без помощи Минцифры и ведущих бигтехов и финтехов в стране активно развивается МФА, которая уже начинает проникать в массы, замечает бизнес-консультант по ИБ Positive Technologies Алексей Лукацкий. «Пользователи стали задумываться о том, что просто пароля уже недостаточно, к тому же надо уделять внимание и тому как выбирать сам пароль, и как компенсировать риски, связанные с возможностью перехвата пароля или его утечки из сторонних сервисов. В этом случае совсем неважно, насколько надежным пароль был», — говорит Лукацкий.

Отказ от паролей в пользу альтернативных методов аутентификации в приложениях и сервисах — один из возможных путей минимизации киберрисков, связанных с простыми, не уникальными, утекшими и старыми паролями, полагает руководитель российского исследовательского центра «Лаборатории Касперского» Дмитрий Галов. «Сами по себе классические пароли нельзя назвать неэффективными при условии, что пользователи соблюдают основные меры безопасности: создают надежные и уникальные пароли, безопасно их хранят и регулярно меняют, — рассуждает он. — При этом сегодня наиболее эффективным подходом с точки зрения безопасности является использование МФА, даже если одним из ее элементов является классический пароль».

Барьерами для распространения беспарольной аутентификации Лукацкий называет «привычку» и «регуляторику»: «Мы привыкли, что десятилетиями от нас требовали использовать пароли, учили выбирать их надежными и безопасными, а также активно продавали парольные менеджеры. Мы привыкли к этому и стали наконец-то думать о том, что пароля длиной даже 10-12 символов сегодня недостаточно для защиты, как нам говорят, что и 17 символов уже недостаточно и вообще надо отказываться от них. Пользователю надо это осознать». По его мнению, на это уйдут «не десятилетия»: удобство беспарольной защиты пересилит консерватизм пользователей.