Забудьте свій пароль. Посібник до безпарольного майбутнього

Passwordless authentication. Forget passwords

Люди мають давню історію використання паролів. Згадаємо розробку паролів та технологій аутентифікації (2FA, MFA, OTP, U2F, FIDO2). Крім того, ви можете знайти наш посібник про те, як стати безпарольним у 2020 році.

Вміст

Зростання (і падіння?) паролів

Автентифікація 101

Новий підхід

Назад до реальності

Зміна гри

Зростання (і падіння?) паролів

Люди мають давню історію використання паролів. З битви між племенами Ґілеада та Єфрема, описаної в 12-му розділі біблійної Книги Суддів, вони використовувалися для підтвердження справжності союзників і виявлення ворогів. Пізніше військові вдосконалили процес, використовуючи пароль і контрпароль, які функціонували як модель виклик-відповідь.

Passwordless authentication. Forget passwordsОкрім обмеження фізичного доступу, паролі використовувалися для збереження зв’язку чи певної інформації в таємниці. Не дивно, що паролі стали невід'ємною частиною комп'ютерів на початку розвитку комп'ютерів. Перший пароль для входу в комп’ютерну систему був запроваджений у 1961 році. 

Однак перший злам комп’ютерних паролів відбувся лише через рік після їх появи. У 1962 році через програмну помилку список користувачів і їхні паролі вітали всіх, хто входив в систему. Ой

Незважаючи на постійні зламування та витоки, паролі тепер є скрізь – комп’ютери, телефони, веб-сайти, програми, ігри, банки тощо. І люди невпинно шукали спосіб зробити автентифікацію більш безпечною.

Автентифікація 101

Сьогодні існує безліч методів аутентифікації. Давайте розповімо про найпоширеніші підходи:

    • Однофакторна автентифікація — це найпростіша та найпоширеніша форма автентифікації. Щоб отримати доступ до служби або системи, вам потрібно надати лише один метод автентифікації, наприклад пароль, PIN-код, PIV-картку тощо. Цей тип простоти не гарантує належного рівня безпеки, оскільки в більшості випадків шахраї можуть легко вгадати або вкрали облікові дані.
    • Автентифікація другого фактора — це загальна рекомендація щодо захисту облікового запису. Дослідження показало, що 2FA може запобігти 80% зломів даних. Він додає ще один рівень перевірки, який вимагає PIN-коду, одноразового пароля, апаратного токена тощо. Недолік — 2FA вимагає додаткового кроку, що означає додатковий час і когнітивні зусилля.
    • Багатофакторна автентифікація — це найскладніший метод, який вимагає від користувача двох або більше незалежних факторів. Зазвичай MFA використовує два або три елементи зі списку:
      • Що ви знаєте  пароль, PIN-код, таємне запитання;
      • Щось у вас є  апаратний маркер, як-от Ключ Hideez, мобільний телефон, смарт-картка;
      • Щось ти  відбиток пальця, FaceID, сканування райдужної оболонки;
      • Те, що ви робите  швидкість введення, інформація про місцезнаходження тощо

На додаток до ряду факторів, на ринку існує безліч технологій і протоколів аутентифікації.

Passwordless authentication. Forget passwordsНайпростіший спосіб поводитися з особистими обліковими даними – це записати їх. Оскільки журнали не настільки безпечні, сховища паролів були введені. Доступно кілька продуктів – безкоштовно або за підпискою із зашифрованим сховищем у хмарі чи на локальному пристрої. Менеджери паролів і сховища чудово підходять для запам’ятовування паролів, але вони не спрощують і не захищають процес аутентифікації.

Щоб позбутися кількох паролів, розробники винайшли єдиний вхід (SSO). Тепер це одне з найпоширеніших корпоративних рішень що дозволяє використовувати один набір облікових даних для доступу до кількох служб і програм. Співробітники економлять час на введення паролів, а ІТ-адміністратор отримує більше контролю над доступом до корпоративних служб і менше запитів, пов’язаних з паролем. SSO може знизити ризик успішної кібератаки, зменшуючи кількість облікових даних, які піддаються ризику.

Оскільки використання однофакторної автентифікації, як правило, неприйнятно в колах безпеки, Одноразові паролі (OTP) стали стандартом 2FA для послуг, що містять конфіденційну інформацію, як-от онлайн-банкінг, медичні портали тощо. Зазвичай OTP – це рядок чисел, дійсний для одного сеансу або транзакції. Оскільки OTP динамічно змінює точну послідовність, цей метод аутентифікації не вразливий для атак повторного відтворення. Існує кілька методів створення одноразового пароля: 

  • Синхронізація часу між сервером автентифікації та клієнтом, який надає пароль, тобто одноразові паролі дійсні лише протягом короткого періоду часу.
  • Математичний алгоритм, який генерує новий пароль на основі попереднього, утворюючи ланцюжок.
  • Математичний алгоритм, який формує новий пароль на основі виклику (наприклад, випадкове число, обране сервером аутентифікації, або деталі транзакції).

Passwordless authentication. Forget passwordsЩоб посилити та спростити 2FA, розробники створили U2F (Універсальний другий фактор). Він з'єднує пристрій Bluetooth, USB або NFC з онлайн-сервісом і виконує аутентифікацію виклик-відповідь за допомогою методів криптографії з відкритим ключем і унікального ключа пристрою. З боку користувача це так само просто, як натиснути кнопку на пристрої або натиснути на NFC. Оскільки U2F вимагає фізичного пристрою для аутентифікації, він стійкий до атак і захищає навіть спрощені паролі.

Новий підхід

Усі ці методи звучать чудово, і вони забезпечують кращу безпеку ваших даних. Але на шляху до безпеки ми постійно ставимо під загрозу зручність використання. Ось така думка: «Чи можемо ми захистити наші дані без жодних паролів?».

Група ентузіастів сказала «Так» і розробила FIDO2 фреймворк.

Він повністю замінює паролі на новий тип облікових даних, які неможливо вкрасти.

FIDO2 складається із W3C Web Authentication (WebAuthn) стандарту та FIDO Client to Authenticator Protocol (CTAP). Разом вони створюють процес, у якому керований користувачем криптографічний аутентифікатор з'єднується з довіреною стороною WebAuthn (сервер FIDO2) через веб-агент користувача (браузер).

Passwordless authentication. Forget passwords Під час реєстрації генерується пара приватних і відкритих ключів. Закритий ключ зберігається на пристрої, а сервер FIDO2 реєструє відкритий ключ у базі даних. Під час аутентифікації для веб-сервісу вводиться відкритий ключ, який перевіряється за допомогою приватного ключа, розблокованого дією користувача.

У фоновому режимі багато чого відбувається, але користувач повинен лише натиснути кнопку, сканувати відбиток пальця або виконати іншу дію автентифікації. Єдиним недоліком фреймворку FIDO2 є те, що він ще не підтримує широку підтримку.

Повернення до реальності

Passwordless authentication. Forget passwords Справжній підхід без пароля недосяжний у реальному світі, оскільки у нас занадто багато систем, платформ і служб. Немає срібної кулі, яка б відповідала всім вимогам, була безпечною та простою. Це як парадокс добре-швидко-дешево. Що ми можемо зробити, так це прийняти основну ідею складної фонової роботи, яка починається простою дією.

Це схоже на роботу стільникових мереж. Як тільки телефон увімкнено, він починає шукати сигнал від базових станцій. Щоб встановити з’єднання, ваш телефон надсилає станції свій унікальний ідентифікатор. Вони підтримують зв'язок шляхом періодичного обміну посилками за аналоговими (AMPS, NAMPS, NMT-450) або цифровими (DAMPS, CDMA, GSM, UMTS) протоколами.

Звичайний власник телефону не має поняття, як це працює. Він/вона щойно ввімкнув телефон.

Зміна гри

Що, якщо я скажу вам, що такий безперебійний досвід уже існує? Так, ви правильно зрозуміли. Ви можете насолоджуватися «безпарольним» досвідом для своїх веб-сайтів, програм і навіть захищених файлів за допомогою одного простого рішення. Хідес.

Hideez Enterprise Solution і Hideez Key for Individuals керують усіма завданнями, пов’язаними з аутентифікацією, у фоновому режимі, при цьому вам навіть не потрібно думати про паролі.

    • Крок 1. Hideez працює як сховище паролів запам’ятовуючи всі ваші паролі (приблизно 2000 з них!) та зберігаючи їх. вони захищені за допомогою кількох шарів шифрування.  
    • Крок 2. Hideez вводить ваші облікові дані за лічені секунди. Є кілька режимів, які ви можете використовувати: а) натисніть кнопку на клавіші Hideez і б) використовуйте спеціальні гарячі клавіші. Вуаля!
    • Бонус: вам не потрібно турбуватися про фішинг атак. Hideez не розкриватиме ваші облікові дані фальшивому веб-сайту чи програмі.
    • Крок 3. Ви можете використовувати рішення Hideez для блокування та розблокування свого ПК. Знову ж таки, доступні кілька варіантів: а) близькість — наблизьтесь до свого комп’ютера або відійдіть; б) торкніться – торкніться нашого Bluetooth-ключа, щоб розблокувати, і натисніть кнопку, щоб заблокувати свій ПК; в) RFID – розблокуйте свій ПК за допомогою зчитувача RFID.
    • Крок 4. Hideez Enterprise Solution дозволяє адміністраторам оновлювати паролі працівників на сервері, тож кінцеві користувачі навіть не дізнаються, що щось змінилося, а ІТ-відділ компанії не працюватиме з кількома запитами на скидання новостворених паролів.
    • Крок 5. Дотримуючись найкращих методів кібербезпеки та рекомендацій NIST, Hideez надає 2FA з вбудованим OTP генератор.

Passwordless authentication. Forget passwords

 

Це був наш короткий посібник про те, як у 2020 році ви можете досягти плавної роботи без пароля.  

Один ключ. Одна кнопка. Кілька налаштувань. Усі ваші облікові дані надійні та надійні, а автентифікація працює у фоновому режимі.

Якщо ви не можете дочекатися, щоб випробувати Hideez самостійно, заповніть форму нижче. Додайте код "без пароля", щоб отримати спеціальну пропозицію як подяку за завершення цього довгого читання :)

.