icon

Забудьте свій пароль. Посібник до безпарольного майбутнього<

Passwordless authentication. Forget passwords

Люди давно використовують паролі. Давайте підсумуємо розробку паролів і технологій автентифікації (2FA, MFA, OTP, U2F, FIDO2). Крім того, ви можете знайти наш посібник про те, як стати без пароля у 2020 році.

Зміст

Зростання (і падіння?) паролів

Автентифікація 101

Новий підхід

Назад до реальності

The Game Changer

Розквіт (і падіння?) паролів

Люди давно використовують паролі. Від битви між племенами Ґілеада та Єфрема, описаної в 12-му розділі біблійної Книги Суддів, їх використовували для ідентифікації союзників і виявлення ворогів. Згодом військові розвинули цей процес, використовуючи пароль і контрпароль, які функціонували як модель виклик-відповідь.

Passwordless authentication. Forget passwordsКрім обмеження фізичного доступу, паролі використовувалися для збереження зв’язку чи деякої інформації в секреті. Не дивно, що паролі стали невід’ємною частиною комп’ютерів на початку розвитку комп’ютерів. Перший вхід у комп’ютерну систему за допомогою пароля було реалізовано в 1961 році. 

Однак перший злом комп’ютерних паролів стався лише через рік після їх появи. У 1962 році через програмну помилку список користувачів і їхні паролі вітали кожного, хто входив у систему. Ой!

Незважаючи на постійні зломи та витоки, паролі тепер скрізь – комп’ютери, телефони, веб-сайти, програми, ігри, банкінг тощо. І люди невпинно шукали спосіб зробити автентифікацію безпечнішою.

Автентифікація 101

Зараз існує безліч методів автентифікації. Перерахуємо найпоширеніші підходи:

    • Однофакторна автентифікація є найпростішою та найпоширенішою формою автентифікації. Щоб отримати доступ до служби чи системи, вам потрібно надати лише один метод автентифікації, наприклад пароль, PIN-код, PIV-картку тощо. Такий тип простоти не гарантує належного рівня безпеки, оскільки в більшості випадків шахраї можуть легко здогадатися або викрав облікові дані.
    • 2-факторна автентифікація це загальна рекомендація щодо захисту облікового запису. Дослідження показало, що 2FA може запобігти 80% порушень даних. Він додає ще один рівень перевірки, який потребує PIN-коду, одноразового пароля, апаратного маркера тощо на додаток до пароля. Недоліки – 2FA вимагає додаткового кроку, що означає додатковий час і когнітивні зусилля.
    • Багатофакторна автентифікація – це найдосконаліший метод, який вимагає надання від користувача двох або більше незалежних факторів. Зазвичай MFA використовує два або три елементи зі списку:
      • Щось, що ви знаєте  пароль, PIN-код, таємне запитання;
      • Щось, що у вас є  апаратний маркер, наприклад Hideez Key, мобільний телефон, смарт-картка;
      • Щось, що ви  відбиток пальця, FaceID, сканування райдужної оболонки ока;
      • Щось, що ви робите  швидкість набору тексту, інформація про місцезнаходження тощо.

Окрім ряду факторів, на ринку існує безліч технологій і протоколів автентифікації.

Passwordless authentication. Forget passwordsНайпростіший спосіб працювати з особистими обліковими даними – це записати їх. Оскільки журнали не є такими безпечними, сховища паролів було введено. Доступно кілька продуктів — безкоштовно або за підпискою із зашифрованим сховищем у хмарі чи локальному пристрої. Менеджери паролів і сховища чудово підходять для запам’ятовування паролів, але вони не спрощують і не захищають процес автентифікації.

Щоб позбутися кількох паролів, розробники винайшли Single Sign-On (SSO). Зараз це одне з найпоширеніших корпоративних рішень що дозволяє використовувати один набір облікових даних для доступу до кількох служб і програм. Співробітники заощаджують час на введенні паролів, а IT-адміністратор отримує більше контролю над доступом до корпоративних служб і менше запитів, пов’язаних із паролями. SSO може знизити ризик успішної кібератаки, зменшивши кількість облікових даних під загрозою.

Оскільки використання однофакторної автентифікації зазвичай не сприймається в колах безпеки, одноразові паролі (OTP) стали стандартом 2FA для служб, що містять конфіденційну інформацію, як-от онлайн-банкінг, медичні портали тощо. Зазвичай OTP – це рядок чисел, дійсний для одного сеансу чи транзакції. Оскільки OTP динамічно змінює точну послідовність, цей метод автентифікації не вразливий до атак повтору. Є кілька методів створення OTP: 

  • Синхронізація часу між сервером автентифікації та клієнтом, який надає пароль, тобто одноразові паролі дійсні лише протягом короткого періоду часу.
  • Математичний алгоритм, який генерує новий пароль на основі попереднього, утворюючи ланцюжок.