Для тех,
кто не делает
поспешных выводов

Чипы, тату и сетчатка. Чем могут заменить пароли от соцсетей и почты

Суббота, 2 Марта 2019, 14:00
Почему мир готов отказаться от паролей и что будет использоваться вместо привычной комбинации букв, цифр и специальных знаков

Пароли как способ подтверждения личности и аутентификация давно уже нельзя назвать надежным способом авторизации. Еще два года назад обычному человеку только в соцсетях принадлежало в среднем семь аккаунтов. Если к этому добавить электронную почту, онлайн-банкинг, другие полезные сервисы, то количество аккаунтов, а значит, и комбинаций "логин+пароль", превысит десяток.

В этих условиях соблюдать три основных постулата парольной защиты - "сложный, не персонифицированный и изменяемый" - очень сложно. Придумать сложные пароли помогает множество приложений и онлайн-сервисов, но они предлагают такие запутанные комбинации, что человек запомнить их зачастую не в состоянии. Особенно, если речь идет не о двух-трех паролях, а о десятке или двух. Так что пароли "123456", "qwerty" или "password1" до сих пор не выходят из моды.

Например, исследование SplashData за 2017-й показало, что около 10% пользователей применяют хотя бы один из 100 самых плохих (самых популярных) паролей. А около 3% пользователей использовали наихудший пароль "123456" 

Более того, пользователи часто не меняют пароли, сохраняя тот, который использовался при первой регистрации. Так, по данным последнего исследования компании Thycotic , более половины пользователей не меняли пароль к своим аккаунтам в соцсетях за последний год. При этом за последние годы были украдены миллиарды комбинаций "логин - пароль". Жертвами взломов аккаунтов в свое время были Mail.Ru, Yahoo, Microsoft, Opera, в Сеть утекли ранее взломанные пароли LinkedIn, Dropbox, Twitter, Facebook. Даже новости о продаже десятков миллионов паролей для аккаунтов Gmail и Yahoo, равно как и появление сервиса https://haveibeenpwned.com/ для проверки своего мейла во взломанных базах, не смогли изменить поведение людей.

Многие пользователи применяют один и тот же (или очень похожий) пароль для разных аккаунтов, по разным исследованиям их доля составляет от 40% до 73% . Это означает, что среди украденных, а часто и опубликованных в открытом доступе паролей, есть и актуальные. Причем актуальные не только для аккаунтов взломанных сервисов, но и других ресурсов, устоявших перед атаками хакеров.

Двухэтапная защита

Уязвимости, связанные с использованием паролей, привели к появлению альтернатив. Некоторые из них дополняют традиционную парольную защиту. Например, двухфакторная (двухэтапная) авторизация предполагает использование еще одного фактора для "узнавания" пользователя наряду с паролем. К примеру, чтобы попасть в Gmail-почту, пользователи могут ввести свой пароль и указать код, полученный в SMS или мобильном приложении Google Authenticator. Такая же функция доступна и пользователям Facebook.

Платежные системы активно работают над собственными альтернативами паролям для защиты интернет-платежей. 3D Secure - это технология, разработанная компаниями Visa и MasterCard, предполагающая, что владелец пластиковой карты для онлайн-платежа введет не только номер, срок действия и CVV-код карты (аналог обычного пароля), а еще и одноразовый пароль, который отправляется в SMS.

Комбинация факторов защиты усиливает безопасность и снижает вероятность взлома и кражи данных: даже если злоумышленники каким-то образом узнают пароль (либо получат в свое распоряжение платежную карту), этого будет недостаточно для совершения платежа.

На кончиках пальцев

Компании экспериментируют и с биометрическими альтернативами - считывание и распознавание биометрических данных помогает в том случае, если человек забыл пароль или потерял телефон. USB-флешки и ноутбуки с подтверждением авторизации через отпечатки пальцев существуют не первый год. В 2013-м Apple выпустила первый iPhone с дактилоскопическим датчиком, такой же сканер появился в 2015-м у флагманских смартфонов производства Samsung. Сегодня дактилоскопические датчики есть практически у всех смартфонов, выходящих на рынок.

Использовать отпечатки пальцев решили и для совершения платежей. MasterCard недавно объявила о запуске приложения Identity Check Mobile, которое позволяет идентифицировать покупателя через отпечаток пальца или снимок лица. Аналогичный способ авторизации есть и у Alipay - мобильного платежного приложения, принадлежащего Alibaba. Платежные системы Visa и Mastercard также разрабатывают банковские карты, в которых вместо PIN-кода будут использоваться отпечатки пальцев. В прошлом году Mastercard уже начала тестировать карты с биометрическими параметрами в Южной Африке.

В последней версии операционной системы Windows 10 появилась поддержка биометрической авторизации под названием Windows Hello: платформа распознает лицо владельца или отпечаток его пальца, а мобильная версия программы может сканировать и распознавать радужную оболочку или сетчатку глаза.

Apple использует разработанную ею технологию сканирования лица Face ID: она позволяет разблокировать смартфон взглядом, а еще используется для подтверждения платежных операций с помощью Apple Pay. Аналог Face ID под названием Face Unlock используется и на смартфонах с Android.

Однако и эти способы определения пользователя оказались не очень надежными: уже создано несколько способов взлома дактилоскопического датчика, да и систему распознавания лица научились обходить.

Что в голосе твоем

Распознавание голоса тоже активно используется для защиты данных - скопировать голос довольно сложно. Так, компания Nuance Communication, много лет занимающаяся разработкой технологий распознавания речи, представила свою альтернативу паролям - голосовую авторизацию. Британский банк HSBC использовал эту систему Nuance для аутентификации всех мобильных и телефонных клиентов.

Голландский банк ING в мобильном финансовом приложении заменил коды доступа к банковским счетам голосовой аутентификацией клиентов. Банк Santander UK развернул технологию распознавания голоса в начале 2017-го, предоставив клиентам возможность совершать платежи с помощью голосовых команд для iPhone.

Татуировки, чипы, вены

Компания Fujitsu разработала технологию распознавания рисунка кровеносных сосудов на ладони PalmSecure. Специальная камера с инфракрасным светом позволяет изучить рисунок и по нему идентифицировать человека. Авторы разработки заявляют, что этот метод является более точным, чем дактилоскопический сканер. Fujitsu уже несколько лет продает эту систему корпоративным заказчикам.

Еще одна уникальная характеристика человека - его сердечный ритм. Пока она сложна в реализации, но канадская компания Nymi уже продает кардиобраслет Nymi Band, который использует информацию о сердцебиении человека или измерения электрокардиограммы для аутентификации личности. Для проверки личности владельца устройство связывается через Bluetooth с другими включенными устройствами вроде смартфона или ноутбука, Браслет хранит уникальный сердечный код, который можно использовать как для авторизации на различных сайтах, так и в качестве аналога цифровой подписи. Недавно Nymi объявила, что устройство также можно использовать для совершения банковских транзакций: пользователю достаточно поместить браслет рядом с платежным терминалом, чтобы совершить покупку.

Еще одни альтернативы паролей - парольная таблетка и парольная цифровая татуировка. Компания Motorola работает над парольной таблеткой, которая при переваривании излучает 18-битный сигнал. Другое направление - цифровая татуировка, которую можно наклеить на руку. В ней есть датчики и антенна: датчик разблокирует аккаунт, антенна используется для передачи сигнала.

Искусственный интеллект и нейронные сети

Все чаще для идентификации пользователя применяется не только физическая биометрия, которая фокусируется на уникальных физиологических признаках, а еще и поведенческая. В этом случае речь идет об уникальных поведенческих маркерах, по которым можно распознать человека.

Например, исследователи из военной академии West Point пытаются построить систему идентификации личности на основе привычек и поведения человека. Эта система должна будет сформировать индивидуальный шаблон поведения пользователя и потом сравнивать его с тем, как себя ведет человек, например, работающий в данный момент за компьютером.

Ученые из Гонконга недавно сообщили о создании метода аутентификации, основанного на движении губ пользователя, который вслух произносит свой пароль. Метод Lip password использует алгоритмы машинного обучения, которые распознают особенности движения губ. Разработчики говорят, что сымитировать пароль другому человеку не удатстся.

BehavioSec - компания, которая использует машинное обучение для обнаружения мошенничества. Продукт BehavioSec может анализировать время и метод нажатия кнопок и элементов интерейса, места, углы нажатия, силу и целый ряд других параметров. Система используется в банковских приложениях наряду с другими методами идентификации. Разработчики обещают надежность идентификации до 99,7%.

Еще одним разработчиком таких инструментов является NuData. Компания использует так называемую пассивную биометрию и поведенческую аналитику для идентификации пользователей на основе поведения. Компания умеет построить цифровой профиль человека, анализируя его поведение на разных устройствах, среди анализируемых параметров, например, давление пальца на экране, угол наклона смартфона и ритм нажатия клавиши. На основании этого профиля компания умеет идентифицировать пользователя и определять мошенничество.

Аппаратная защита

Еще один способ идентификации пользователя, который может усилить парольную защиту - это использование аппаратного ключа (аппаратного токена). Такой ключ представляет собой устройство в виде "флешки", которое можно использовать как дополнение к паролю. Популярные онлайн-сервисы поддерживают авторизацию посредством токенов, работающих на основе стандарта FIDO Universal 2nd Factor (U2F): такая возможность, например, доступна пользователям Google, Dropbox и Facebook. Для начала пользователям нужно добавить поддержку аппаратного токена в настройках своих профайлов. После этого, чтобы зайти в аккаунт, нужно будет не только ввести пароль, а и подключить аппаратный токен - вставить его в USB-разъем и нажать на нем кнопку. Аппаратные ключи могут поддерживать также Bluetooth или NFS-протоколы - в этом случае можно защитить аккаунты при работе со смартфона.

Компания Google перевела часть своих сотрудников на использование аппаратных токенов и за год ни один из них не потерял доступ к своему аккаунту. А летом этого года Google выпустила собственный аппаратный токен Titan Security Key, предназначенный для авторизации на сервисах Google.

Альянс FIDO недавно разработал протокол авторизации пользователей на основе аппаратных ключей FIDO2. Такой протокол уже начали поддерживать последние версии браузеров и как только онлайн-сервисы начнут работать с ним, можно будет смело заявлять о появлении достойной альтернативы и даже замены паролям.

Будущее пароля: не вместо, а вместе

Итак, умрут ли пароли как способ аутентификации? Несмотря на многочисленные эксперименты, некоторые - довольно успешные, вряд ли стоит хоронить старый добрый пароль. По крайней мере, в массовом использовании. Вероятно, наряду с паролем будут активнее использоваться и другие методы, отличающие "своих от чужих", не исключено, что бизнес перейдет на поддержку USB-токенов или расширит использование биометрической авторизации.

Тем не менее, обычный пользователь онлайн-сервисов и потребитель контента вряд ли вскоре откажется от старого доброго пароля.

Больше новостей о технологиях и научных разработках читайте в рубрике Техно

Больше новостей о технологиях и научных разработках читайте в рубрике Техно