Люди давно використовують паролі. Давайте підсумуємо розробку паролів і технологій автентифікації (2FA, MFA, OTP, U2F, FIDO2). Крім того, ви можете знайти наш посібник про те, як стати без пароля у 2020 році.
Зміст
Зростання (і падіння?) паролів
Розквіт (і падіння?) паролів
Люди давно використовують паролі. Від битви між племенами Ґілеада та Єфрема, описаної в 12-му розділі біблійної Книги Суддів, їх використовували для ідентифікації союзників і виявлення ворогів. Згодом військові розвинули цей процес, використовуючи пароль і контрпароль, які функціонували як модель виклик-відповідь.
Крім обмеження фізичного доступу, паролі використовувалися для збереження зв’язку чи деякої інформації в секреті. Не дивно, що паролі стали невід’ємною частиною комп’ютерів на початку розвитку комп’ютерів. Перший вхід у комп’ютерну систему за допомогою пароля було реалізовано в 1961 році.
Однак перший злом комп’ютерних паролів стався лише через рік після їх появи. У 1962 році через програмну помилку список користувачів і їхні паролі вітали кожного, хто входив у систему. Ой!
Незважаючи на постійні зломи та витоки, паролі тепер скрізь – комп’ютери, телефони, веб-сайти, програми, ігри, банкінг тощо. І люди невпинно шукали спосіб зробити автентифікацію безпечнішою.
Автентифікація 101
Зараз існує безліч методів автентифікації. Перерахуємо найпоширеніші підходи:
- Однофакторна автентифікація є найпростішою та найпоширенішою формою автентифікації. Щоб отримати доступ до служби чи системи, вам потрібно надати лише один метод автентифікації, наприклад пароль, PIN-код, PIV-картку тощо. Такий тип простоти не гарантує належного рівня безпеки, оскільки в більшості випадків шахраї можуть легко здогадатися або викрав облікові дані.
- 2-факторна автентифікація це загальна рекомендація щодо захисту облікового запису. Дослідження показало, що 2FA може запобігти 80% порушень даних. Він додає ще один рівень перевірки, який потребує PIN-коду, одноразового пароля, апаратного маркера тощо на додаток до пароля. Недоліки – 2FA вимагає додаткового кроку, що означає додатковий час і когнітивні зусилля.
- Багатофакторна автентифікація – це найдосконаліший метод, який вимагає надання від користувача двох або більше незалежних факторів. Зазвичай MFA використовує два або три елементи зі списку:
- Щось, що ви знаєте – пароль, PIN-код, таємне запитання;
- Щось, що у вас є – апаратний маркер, наприклад Hideez Key, мобільний телефон, смарт-картка;
- Щось, що ви – відбиток пальця, FaceID, сканування райдужної оболонки ока;
- Щось, що ви робите – швидкість набору тексту, інформація про місцезнаходження тощо.
Окрім ряду факторів, на ринку існує безліч технологій і протоколів автентифікації.
Найпростіший спосіб працювати з особистими обліковими даними – це записати їх. Оскільки журнали не є такими безпечними, сховища паролів було введено. Доступно кілька продуктів — безкоштовно або за підпискою із зашифрованим сховищем у хмарі чи локальному пристрої. Менеджери паролів і сховища чудово підходять для запам’ятовування паролів, але вони не спрощують і не захищають процес автентифікації.
Щоб позбутися кількох паролів, розробники винайшли Single Sign-On (SSO). Зараз це одне з найпоширеніших корпоративних рішень що дозволяє використовувати один набір облікових даних для доступу до кількох служб і програм. Співробітники заощаджують час на введенні паролів, а IT-адміністратор отримує більше контролю над доступом до корпоративних служб і менше запитів, пов’язаних із паролями. SSO може знизити ризик успішної кібератаки, зменшивши кількість облікових даних під загрозою.
Оскільки використання однофакторної автентифікації зазвичай не сприймається в колах безпеки, одноразові паролі (OTP) стали стандартом 2FA для служб, що містять конфіденційну інформацію, як-от онлайн-банкінг, медичні портали тощо. Зазвичай OTP – це рядок чисел, дійсний для одного сеансу чи транзакції. Оскільки OTP динамічно змінює точну послідовність, цей метод автентифікації не вразливий до атак повтору. Є кілька методів створення OTP:
- Синхронізація часу між сервером автентифікації та клієнтом, який надає пароль, тобто одноразові паролі дійсні лише протягом короткого періоду часу.
-
Математичний алгоритм, який генерує новий пароль на основі попереднього, утворюючи ланцюжок.