Забудьте свій пароль. Посібник до безпарольного майбутнього

Passwordless authentication. Forget passwords

Люди давно використовують паролі. Давайте підсумуємо розробку паролів і технологій автентифікації (2FA, MFA, OTP, U2F, FIDO2). Крім того, ви можете знайти наш посібник про те, як стати без пароля у 2020 році.

Зміст

Зростання (і падіння?) паролів

Автентифікація 101

Новий підхід

Назад до реальності

The Game Changer

Розквіт (і падіння?) паролів

Люди давно використовують паролі. Від битви між племенами Ґілеада та Єфрема, описаної в 12-му розділі біблійної Книги Суддів, їх використовували для ідентифікації союзників і виявлення ворогів. Згодом військові розвинули цей процес, використовуючи пароль і контрпароль, які функціонували як модель виклик-відповідь.

Passwordless authentication. Forget passwordsКрім обмеження фізичного доступу, паролі використовувалися для збереження зв’язку чи деякої інформації в секреті. Не дивно, що паролі стали невід’ємною частиною комп’ютерів на початку розвитку комп’ютерів. Перший вхід у комп’ютерну систему за допомогою пароля було реалізовано в 1961 році. 

Однак перший злом комп’ютерних паролів стався лише через рік після їх появи. У 1962 році через програмну помилку список користувачів і їхні паролі вітали кожного, хто входив у систему. Ой!

Незважаючи на постійні зломи та витоки, паролі тепер скрізь – комп’ютери, телефони, веб-сайти, програми, ігри, банкінг тощо. І люди невпинно шукали спосіб зробити автентифікацію безпечнішою.

Автентифікація 101

Зараз існує безліч методів автентифікації. Перерахуємо найпоширеніші підходи:

    • Однофакторна автентифікація є найпростішою та найпоширенішою формою автентифікації. Щоб отримати доступ до служби чи системи, вам потрібно надати лише один метод автентифікації, наприклад пароль, PIN-код, PIV-картку тощо. Такий тип простоти не гарантує належного рівня безпеки, оскільки в більшості випадків шахраї можуть легко здогадатися або викрав облікові дані.
    • 2-факторна автентифікація це загальна рекомендація щодо захисту облікового запису. Дослідження показало, що 2FA може запобігти 80% порушень даних. Він додає ще один рівень перевірки, який потребує PIN-коду, одноразового пароля, апаратного маркера тощо на додаток до пароля. Недоліки – 2FA вимагає додаткового кроку, що означає додатковий час і когнітивні зусилля.
    • Багатофакторна автентифікація – це найдосконаліший метод, який вимагає надання від користувача двох або більше незалежних факторів. Зазвичай MFA використовує два або три елементи зі списку:
      • Щось, що ви знаєте  пароль, PIN-код, таємне запитання;
      • Щось, що у вас є  апаратний маркер, наприклад Hideez Key, мобільний телефон, смарт-картка;
      • Щось, що ви  відбиток пальця, FaceID, сканування райдужної оболонки ока;
      • Щось, що ви робите  швидкість набору тексту, інформація про місцезнаходження тощо.

Окрім ряду факторів, на ринку існує безліч технологій і протоколів автентифікації.

Passwordless authentication. Forget passwordsНайпростіший спосіб працювати з особистими обліковими даними – це записати їх. Оскільки журнали не є такими безпечними, сховища паролів було введено. Доступно кілька продуктів — безкоштовно або за підпискою із зашифрованим сховищем у хмарі чи локальному пристрої. Менеджери паролів і сховища чудово підходять для запам’ятовування паролів, але вони не спрощують і не захищають процес автентифікації.

Щоб позбутися кількох паролів, розробники винайшли Single Sign-On (SSO). Зараз це одне з найпоширеніших корпоративних рішень що дозволяє використовувати один набір облікових даних для доступу до кількох служб і програм. Співробітники заощаджують час на введенні паролів, а IT-адміністратор отримує більше контролю над доступом до корпоративних служб і менше запитів, пов’язаних із паролями. SSO може знизити ризик успішної кібератаки, зменшивши кількість облікових даних під загрозою.

Оскільки використання однофакторної автентифікації зазвичай не сприймається в колах безпеки, одноразові паролі (OTP) стали стандартом 2FA для служб, що містять конфіденційну інформацію, як-от онлайн-банкінг, медичні портали тощо. Зазвичай OTP – це рядок чисел, дійсний для одного сеансу чи транзакції. Оскільки OTP динамічно змінює точну послідовність, цей метод автентифікації не вразливий до атак повтору. Є кілька методів створення OTP: 

  • Синхронізація часу між сервером автентифікації та клієнтом, який надає пароль, тобто одноразові паролі дійсні лише протягом короткого періоду часу.
  • Математичний алгоритм, який генерує новий пароль на основі попереднього, утворюючи ланцюжок.
  • Математичний алгоритм, який формує новий пароль на основі запиту (наприклад, випадкового числа, вибраного сервером автентифікації, або деталей транзакції).

Passwordless authentication. Forget passwordsЩоб посилити та спростити 2FA, розробники створили протокол U2F (універсальний другий фактор). Він підключає пристрій Bluetooth, USB або NFC до онлайн-сервісу та виконує автентифікацію за запитом-відповіддю, використовуючи методи криптографії з відкритим ключем і унікальний ключ пристрою. З боку користувача це так само просто, як натиснути кнопку на пристрої або торкнутися NFC. Оскільки для автентифікації U2F потрібен фізичний пристрій, він стійкий до атак і захищає навіть спрощені паролі.

Новий підхід

Усі ці методи звучать чудово, і вони дійсно забезпечують кращий захист ваших даних. Але на шляху до безпеки ми постійно ставимо під загрозу зручність використання. Тож виникає думка: «Чи можемо ми захистити свої дані без будь-яких паролів?».

Група ентузіастів сказала «Так» і розробила фреймворк FIDO2.

Він повністю замінює паролі на новий тип облікових даних, які неможливо вкрасти.

FIDO2 складається зі стандарту W3C Web Authentication (WebAuthn) і протоколу FIDO Client to Authenticator Protocol (CTAP). Разом вони створюють процес, у якому керований користувачем криптографічний автентифікатор з’єднується з перевіряючою стороною WebAuthn (сервер FIDO2) через веб-агент користувача (браузер).

Passwordless authentication. Forget passwords Під час реєстрації генерується пара закритого та відкритого ключів. Приватний ключ зберігається на пристрої, а сервер FIDO2 реєструє відкритий ключ у базі даних. Під час автентифікації відкритий ключ вводиться для веб-сервісу та перевіряється за допомогою закритого ключа, який розблоковується користувачем.

Багато чого відбувається у фоновому режимі, але користувач має лише натиснути кнопку, відсканувати відбиток пальця або виконати іншу дію автентифікації. Єдиним недоліком фреймворку FIDO2 є те, що він ще не широко підтримується.

Назад до реальності

Passwordless authentication. Forget passwords Справжній безпарольний підхід недосяжний у реальному світі, оскільки у нас забагато систем, платформ і служб. Немає жодної срібної кулі, яка могла б відповідати всім вимогам, бути безпечною та простою. Це як парадокс добре-швидко-дешево. Що ми можемо зробити, так це взяти базову ідею складної фонової роботи, яка ініціюється простою дією.

Це схоже на роботу стільникових мереж. Коли телефон увімкнено, він починає шукати сигнал від базових приймально-передавальних станцій. Щоб встановити з'єднання, ваш телефон надсилає на станцію свій унікальний ідентифікатор. Вони підтримують зв'язок шляхом періодичного обміну пакетами за аналоговим (AMPS, NAMPS, NMT-450) або цифровим (DAMPS, CDMA, GSM, UMTS) протоколами.

Звичайний власник телефону не має уявлення, як це працює. Він/вона щойно увімкнув телефон.

The Game Changer

А що, якщо я скажу вам, що такий бездоганний досвід уже існує? Так, ви правильно зрозуміли. Ви можете насолоджуватися функцією «без пароля» для своїх веб-сайтів, програм і навіть захищених файлів за допомогою одного простого рішення. Hideez.

Hideez Enterprise Solution і Hideez Key for Individuals керують усіма завданнями, пов’язаними з автентифікацією, у фоновому режимі, тоді як вам навіть не потрібно думати про паролі.

    • Крок 1. Hideez працює як сховище паролів запам’ятовуючи усі ваші паролі (їх близько 2000!) і зберігаючи вони захищені за допомогою кількох рівнів шифрування.  
    • Крок 2. Hideez вводить ваші облікові дані за кілька секунд. Ви можете використовувати кілька режимів: а) натиснути кнопку на Hideez Key і б) використовувати спеціальні гарячі клавіші. Вуаля!
    • Бонус: вам більше не потрібно турбуватися про фішинг атаки. Hideez не розкриє ваші облікові дані підробленому веб-сайту чи додатку.
    • Крок 3. Ви можете використовувати рішення Hideez, щоб заблокувати та розблокувати свій ПК. Знову ж таки, доступно кілька варіантів: а) близькість – наблизитися до комп’ютера або відійти; б) торкніться – торкніться нашого Bluetooth-ключа, щоб розблокувати, і натисніть кнопку, щоб заблокувати свій ПК; c) RFID – розблокуйте свій ПК за допомогою зчитувача RFID.
    • Крок 4. Hideez Enterprise Solution дозволяє адміністраторам оновлювати паролі працівників на сервері, тож кінцеві користувачі навіть не дізнаються, що щось змінилося, а ІТ-відділ компанії не працюватиме з кількома запитами на скидання щойно створених паролів.
    • Крок 5. Дотримуючись найкращих практик кібербезпеки та рекомендацій NIST, Hideez надає 2FA із вбудованим OTP генератор.

Passwordless authentication. Forget passwords

 

Це був наш короткий посібник про те, як у 2020 році досягти безпроблемної роботи без пароля.  

Один ключ. Одна кнопка. Кілька налаштувань. Усі ваші облікові дані в безпеці, а автентифікація працює у фоновому режимі.

Якщо вам не терпиться випробувати Hideez самостійно, заповніть форму нижче. Додайте код «Без пароля», щоб отримати спеціальну пропозицію як подяку за завершення цього довгого читання :)

.