Пароли больше не актуальны: что придет им на смену

Эксперты в информационной безопасности предрекли, что в 2030 году мир полностью откажется от паролей

Depositphotos
Идентификация по паролю в онлайн-сервисах уходит в прошлое, считают ИБ-эксперты в кибербезопасности. В будущем их полностью заменит биометрическая аутентификация и другие средства защиты. Когда пароль окончательно канет в Лету и станет ли наша жизнь безопаснее после этого – выяснила «Газета.Ru».

Паролей не будет

Вектор на беспарольное будущее уже задала корпорация Microsoft. C этого года корпоративным и домашним пользователям Windows доступны приложения для биометрической аутентификации. Также можно активировать способы проверки личности через отправку кода на телефон, иное устройство или связанный аккаунт.

Классический сложный пароль исчез из цепочки действий для входа в личный кабинет.

Аутентификация по биометрическим параметрам значительно упрощает ежедневное использование различных сервисов и одновременно усложняет похищение персональных данных, сообщил в беседе с «Газетой.Ru» директор по развитию бизнеса компании ESET Алексей Новиков.

«Однако в случае потери данных злоумышленники получают доступ к биометрическому профайлу пользователя, который уже нельзя сбросить как пароль. Сегодня именно внедрение безопасных технологий мешает массовому распространению беспарольной аутентификации — это дорого стоит. Крупные компании не всегда готовы пересматривать бюджет, а малый и средний бизнес едва ли может себе такое позволить», – отметил Новиков.

По словам сооснователя Proto Group Дениса Безкоровайного, уже в 2022 году некоторые крупнейшие площадки и сервисы начнут отказываться от использования паролей, однако повсеместный отказ произойдет нескоро.

«Например, частая схема беспарольного входа выглядит так – пользователь пытается получить доступ к веб-сайту, веб-сайт отсылает код аутентификации на email. То есть беспарольный вход возможен только для веб-сайта, но для email все равно пароль останется еще надолго. Другой пример – уже сейчас можно авторизоваться во множестве онлайн-сервисов через авторизацию на Госуслугах, без пароля от этих сервисов. Но пароль все равно нужен для авторизации на Госуслугах», – объясняет эксперт.

ИТ-сообщество давно ставит перед собой задачу распространения беспарольного доступа, существуют успешные кейсы подобной реализации в банковском и корпоративном секторе, рассказал директор по ИТ компании Oberon Дмитрий Пятунин.

«В ближайшее время альтернативные методы идентификации пользователя появятся во взаимодействии с государственными органами, но говорить о повсеместном распространении пока рано. Основная проблема такого перехода заключается в отсутствии единого глобального центра идентификации, который обладал бы функционалом альтернативной парольной идентификации, услугам которого доверились все поставщики ИТ-сервисов. На данном этапе это невозможно из-за распределения зоны ответственности между владельцами сервисов», – объяснил эксперт.

Почему пароль умирает

С паролями есть ряд проблем, уверен ИБ-евангелист компании Avast Луис Корронс. На практике для большинства людей практически нереально создавать сложные и разные пароли для каждой учетной записи, так как их слишком много.

«Людям очень сложно запомнить каждый надежный пароль. Также пароли можно взломать. А еще может произойти утечка данных и миллиарды украденных учетных данных окажутся выставленными на продажу. И это опять подвергает опасности пароли», – объяснил эксперт компании Avast.

По словам руководителя отдела продвижения продуктов компании «Код Безопасности» Павла Коростелева, в отрасли кибербезопасности пароль уже считают слабым уровнем защиты.

«Ими пользуются, потому что по совокупности всех характеристик (удобство, реализация и предлагаемый уровень защиты), они находятся на средней позиции. Именно поэтому пароли долгое время являлись де-факто стандартом. Сейчас мы приходим к тому, что для пользователя пароль становится менее удобным, а для злоумышленников он становится менее проблемным. Из-за этого происходит скачок в сторону беспарольной или passwordless аутентификации», – объяснил Коростелев.

По его словам, полный отказ от паролей стоит ожидать к 2030 году.

Однако эксперт «Лаборатории Касперского» по кибербезопасности Дмитрий Галов отмечает, что несмотря на развитие концепции отказа от паролей, их нельзя считать неэффективным средством защиты.

«Нельзя сказать, что использование «традиционных» паролей неэффективно. Большую роль играет то, как пользователи соблюдают правила безопасности: создают ли достаточно надежные и уникальные пароли, как их хранят. Оптимальнее с точки зрения безопасности использовать многофакторную аутентификацию, даже если одним из ее элементов является пароль, важно только, чтобы он был по-настоящему надежным», – заключил Галов.

Что придет на смену

На смену паролям могут прийти такие методы аутентификации, как коды, аппаратные токены, смарт-карты и биометрия, считает Безкоровайный.

«Например, в Эстонии у каждого жителя страны имеется смарт-карта для доступа к государственным услугам, электронной цифровой подписи документов и много другого, в том числе аутентификации без паролей на множестве государственных и коммерческих ресурсов. Хотя для использования смарт-карты все равно нужен PIN-код», – рассказал эксперт.

По словам главы представительства Avast в России и СНГ Алексея Федорова, смарт-карта выглядит как обычная пластиковая карточка со встроенным считывающим устройством, которая часто выступает электронной заменой документов.

«Если все хорошо реализовано, смарт-карту трудно подделать. В частности, ее микросхемы имеют специальные механизмы, которые предотвращают их использование злоумышленниками. Безопасность смарт-карты зависит от встроенных функций безопасности, в том числе, от сложной криптографии и генерации ключей», – объяснил эксперт.

При этом уязвимостей самих смарт-карт не так много: для эксплуатации большинства из них злоумышленник должен физически находится рядом с картой.

По словам Федорова, такие атаки нацелены на канал радиосвязи NFC между смарт-картой и считывателем при бесконтактном считывании. При этом возможно дублирование карты или кража данных путем перехвата радиосвязи, но такие атаки маловероятны и их в целом легко предотвратить.

Биометрический вариант аутентификации не сможет полностью заменить пароль, если использовать только его. Их лучше сочетать, считает Федоров.

«Мы знаем случаи, когда ИБ-специалисты и хакеры, используя видеозаписи, фотографии и программы для изменения голоса смогли обмануть систему аутентификации. Поэтому любой биометрический метод контроля доступа лучше сочетать, например, с паролем», – объяснил эксперт.

Аппаратный токен представляет собой устройство, которое используется для идентификации пользователя в системе.

«Это физическое устройство по сути носитель сертификата и часто выглядит как флешка. При этом для подтверждения личности токен зачастую требует введения пароля. Такой метод идентификации, как правило, используется в рамках рабочих задач», – рассказал Галов.

Он также упомянул о цифровом коде, который также может выступать заменой паролю.

«Аутентификация в виде отдельного кода также применяется в некоторых сервисах, в частности и на тех устройствах, которые уже подтверждены. Такая схема работает, например с некоторыми мессенджерами», – поделился эксперт.

Он уверен, что отказ от традиционной связки логин-пароль в пользу альтернативных методов аутентификации— интересный концепт, который уже применяется в некоторых сферах и сервисах.

«Однако на наш взгляд, для входа в важные сервисы важно использовать многофакторную аутентификацию, даже если одним из ее элементов является «традиционный» пароль», – отметил Галов.