Как выглядит будущее без паролей?

Разбираемся, как совместные действия Google, Microsoft и Apple могут привести к отказу от использования паролей в Интернете.

В мае традиционно отмечается «Всемирный день пароля», и в этом году к нему были приурочены анонсы сразу трех крупнейших технологических компаний. В этот день Google, Microsoft и Apple объявили о планах по поддержке технологии, которая позволит полностью отказаться от паролей.

Стандарт разрабатывает альянс FIDO совместно с консорциумом W3C, который в принципе определяет то, как выглядит и работает современный Интернет. Это достаточно серьезная попытка отказаться от паролей, а вместо них использовать в качестве средства аутентификации смартфон — по крайней мере, так это выглядит с точки зрения пользователя.

Тут стоит вспомнить, что разговоры о «смерти паролей» ведутся уже лет десять. И предыдущие попытки отказаться от такого ненадежного способа аутентификации пользователя в итоге особенно ни к чему не привели — пароли по-прежнему с нами. В этой статье мы расскажем о том, чем хорош новый стандарт FIDO и W3C. Но начнем с повторения очевидного: чем же плохи пароли?

Что не так с паролями

Главный и основной недостаток пароля — его достаточно легко украсть. На заре Интернета почти все коммуникации между компьютерами не были зашифрованы, пароли передавались открытым текстом. С ростом числа публичных точек доступа к Сети — в кафе, библиотеках, на транспорте — это стало реальной проблемой: злоумышленник мог перехватить незашифрованный пароль и остаться незамеченным.

Но наиболее серьезно проблема украденных паролей встала в начале-середине 2010-х годов, когда произошла целая серия громких взломов крупных сетевых сервисов с массовой кражей почтовых адресов и паролей пользователей. Можно с уверенностью утверждать, что все ваши пароли десятилетней давности где-то лежат в открытом доступе. Не верите? Проверьте на полезном сервисе HaveIBeenPwned.

Результат проверки старого пароля в сервисе HaveIBeenPwned

Сервис HaveIBeenPwned позволяет проверить, встречался ли ваш пароль в одной из многочисленных утечек последних лет. Если паролю с десяток лет и больше, то результат почти наверняка будет таким

Конечно, сейчас уже далеко не все утечки содержат пароли в открытом виде: многие владельцы сетевых сервисов давно поняли, что такой способ хранения чувствительной пользовательской информации — порочная практика. Поэтому все чаще пароли хешируются, то есть хранятся в зашифрованном виде.

Проблема здесь в том, что если пароль простой, то даже из зашифрованной базы его можно «добыть» перебором всех возможных комбинаций или так называемой «словарной атакой». Расшифровать хешированный пароль, если в оригинале было что-то типа «secret» или «123123» — дело нескольких секунд. Это вторая проблема паролей: для простоты запоминания многие пользуются очень простыми паролями, которые легко извлечь из утекшей базы, даже если она была зашифрована.

И еще одно следствие стремления человеков к простоте и удобству — оно же третья проблема паролей: один и тот же пароль часто используется много раз для доступа к разным сервисам. В результате утечка пароля с какого-нибудь форума, о самом существовании которого вы могли давно забыть, приводит к взлому вашей основной почты, потому что пароль был задан одинаковый.

Пароль плюс еще что-то

Проблема, конечно же, далеко не новая, поэтому большинство сервисов уже давно не полагаются на один лишь пароль, а используют тот или иной вариант многофакторной аутентификации. В сетевых сервисах, социальных сетях, банковских учетных записях после ввода пароля обычно нужно ввести еще и одноразовый код. Его пришлют по SMS, доставят в приложение банка на телефоне или покажут в специальном приложении для многофакторной аутентификации пользователя, типа Google Authenticator или Яндекс.Ключ. Совсем сложные системы используют аппаратный ключ, который вставляется в разъем на компьютере или прикладывается к смартфону.

В некоторых случаях пароль вам и вовсе не требуется. Например, через приложение Яндекс.Ключ в аккаунт «Яндекса» можно входить просто с одноразовым кодом, без постоянного пароля. При входе в учетную запись Microsoft одноразовый пароль отправляют вам на электронную почту. Мессенджер Telegram по умолчанию использует аутентификацию через код из SMS, а придумывать пароль вообще не требует (но его рекомендуется завести как дополнительную меру защиты).

Впрочем, в большинстве случаев пароль где-то все же присутствует как резервная форма аутентификации. Полностью полагаться на коды в SMS — а это пока самый распространенный и понятный пользователям вариант «второго фактора» — тоже не очень хорошая идея по целому ряду причин. В целом же давно было понятно, что ситуация с паролями требует радикальных изменений. И вот мы, судя по всему, наконец-то дождались этих изменений.

Беспарольная аутентификация по версии FIDO и W3C

Если максимально все упростить, новый стандарт беспарольной аутентификации делает пароль (а точнее, passkey — пару ключей шифрования, приватный и публичный) сугубо техническим элементом, который пользователю больше не виден. Это позволяет использовать надежные, уникальные ключи и сильную криптографию. Все это для того, чтобы и украсть «секрет» было сложно, и чтобы взлом какого-то одного сервиса не приводил к потере всех цифровых учетных записей пользователя, и чтобы неосторожно ввести его на фишинговом сайте было невозможно.

Для нас, пользователей, это будет выглядеть так, что подтверждать вход в социальную сеть, электронную почту или даже интернет-банк мы будем со смартфона. Примерно так же, как сейчас работает оплата смартфоном: его нужно разблокировать, используя пин-код или отпечаток пальца / аутентификацию по лицу, и подтвердить «транзакцию» — только вместо оплаты это будет вход в тот или иной аккаунт. При этом успешная разблокировка подтверждает, что вы — это вы. Звучит удобно!

Более того, в стандарте, разрабатываемом FIDO, присутствует дополнительная фишка в виде использования Bluetooth для аутентификации на разных устройствах. Например, можно ускорить вход в учетную запись на ноутбуке, если он «увидит» доверенный смартфон поблизости. Это очень интересная система аутентификации, которая будет работать для подавляющего большинства пользователей — разве что кроме тех, кто из принципа использует простой кнопочный телефон. Поддержка трех гигантов сетевого бизнеса обещает в скором времени универсальную доступность такой функции. Пойдет ли это на пользу безопасности? Попробуем оценить плюсы и минусы новой схемы.

Достоинства беспарольной аутентификации

Поддержка компаниями Google, Apple и Microsoft позволяет надеяться, что в ближайшем будущем беспарольная аутентификация появится как в крупных сервисах (Gmail, YouTube, iCloud, Xbox), так и во всех устройствах под управлением iOS, Android и Windows. Поскольку стандарт единый и открытый, аутентификация должна одинаково работать на любом устройстве. Более того, обещана возможность переключаться с одного устройства на другое. Сменили iPhone на Samsung Galaxy? Не проблема, можно назначить устройством для подтверждения входа новый смартфон.

Главное преимущество нового метода: он серьезно усложняет фишинг. Традиционная кража паролей работает так: создается поддельная страница, очень похожая на сайт популярного банка, и туда тем или иным образом заманивают пользователя. Тот вводит пароль (иногда такое мошенничество даже учитывает подтверждение входа кодом из SMS) — и все, доступ к банковскому счету оказывается у злоумышленника. Новый стандарт, помимо проверки пользователя, проверяет также и аутентичность самого сервиса. Не получится просто так отправить запрос на аутентификацию в чужом сетевом ресурсе. Утечки паролей также не будут представлять угрозу пользователям.

Наконец, новая система обещает быть простой и понятной. При грамотной реализации процесс отказа от паролей даже в существующих учетных записях должен быть очень легким, а обещанная поддержка в смартфонах на уровне ОС даже не потребует установки какого-либо приложения. Заходим на нужный нам сайт, вводим идентификатор, получаем запрос на смартфон, подтверждаем — готово!

Проблемы, которые беспарольной системой не решаются

Строго говоря, это не следует считать проблемой, но подобный вопрос у многих обязательно возникнет: что, если взломают «доверенный» смартфон и будут за меня одобрять вход во все мои учетные записи? Ответ тут очень простой: в реалистичной модели безопасности не бывает невзламываемых решений — все что угодно можно взломать, вопрос только в том, какие ресурсы готов на это потратить взломщик. В конце концов, даже если вы храните свои 128-значные пароли исключительно в собственной голове, есть проверенные веками — особенно Средними — способы у вас их выведать.

Наверняка будут попытки взламывать отдельные смартфоны для получения доступа к аккаунтам. Но подобные атаки будут точечными, направленными на какие-то действительно важные для кого-то цели. Если же говорить о реалистичных и повседневных угрозах, кража паролей — гораздо более распространенная, массовая проблема, чем кража смартфонов с последующим использованием их цифрового содержимого. И ее новая технология успешно решает.

Тут можно вспомнить похожие сомнения, которые возникали при массовом внедрении биометрии. Тогда тоже многие переживали, что кто-то украдет их отпечаток пальца (в самом хардкорном варианте — отрежет палец) и разблокирует смартфон. Трой Хант, создатель упомянутого выше ресурса HaveIBeenPwned, в прошлом году написал целую статью по схожей теме: в реалистичной модели безопасности биометрия надежнее, чем пароль.

А вот реальная проблема, которая при беспарольном доступе сохранится, — это потеря или кража смартфона. Да, в новом стандарте можно перенести систему аутентификации с одного устройства на другое. Проще всего это сделать, когда два устройства — например, старый телефон и новый — у вас в наличии. Если старый телефон утерян, то наверняка придется использовать какой-то резервный способ доказать, что вы — это вы. А вот какой — пока непонятно, скорее всего, это будет зависеть от настроек конкретного сервиса.

В заключение стоит задать вопрос: а не повысит ли новая система зависимость пользователей от работоспособности учетной записи в сервисах тех же Google или Apple? Не получится ли так, что блокировка аккаунта Google приведет к потере доступа вообще ко всем сетевым ресурсам? Стандарт, допустим, открытый, а вот операционные системы для смартфонов, не говоря уже об инфраструктуре, — не совсем.

Умеренно светлое будущее

Даже если относиться к будущему без паролей скептически, все равно не получится утверждать, что пароли — лучше. Вовсе нет, эту устаревшую концепцию действительно давно пора чем-то заменить.

Стандарт FIDO обещает сделать многие вещи правильно, но многое зависит и от непосредственной реализации стандарта исполнителями: насколько эффективно компаниям Google, Apple, Microsoft и многим другим удастся внедрить беспарольный вход. Если все получится, наша цифровая жизнь станет немного проще и безопаснее. Но произойдет это, скорее всего, не быстро: пароли настолько прочно укоренились в современном Интернете, что на полное избавление от них, даже при наличии работающей и удобной новой системы, уйдут многие годы.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.