144

Пароли уйдут в прошлое

13 мая 2017

Заменят ли пароли биометрические сканеры и как скоро это случится

Многие крупные IT-компании внедряют технологии биометрической аутентификации, позволяющие управлять устройством с помощью отпечатка пальца, радужки глаза или собственного голоса. Заменит ли биометрия традиционные пароли и какие плюсы и минусы есть у обеих защитных систем.

В прессе часто появляются сообщения о том, что базы данных пользователей крупнейших компаний были взломаны, а хакеры получили доступ к личной информации, дешифровав простейшие пароли. Эксперты по кибербезопасности не устают повторять, что выбор пароля — это ответственное дело, которое может предотвратить утечку, но для многих удобство при вводе остается важнее персональной защищенности.

Именно поэтому из года в год самым популярным паролем остается «123456». По информации Bloomberg, на эту комбинацию приходится 17% всех случаев компрометации данных.

Многие специалисты IT-компаний считают, что простейшим решением было бы избавиться от всех паролей и перейти на другие системы идентификации, но расходятся во мнении относительно того, когда именно это произойдет.

«Мы хотим полностью убить пароли», — заявил Дилан Кейси, вице-президент по продуктам корпорации Yahoo! Inc., которая не раз подвергалась крупным взломам. «В будущем мы будем смеяться над необходимостью придумывать 10-значный код с буквами разного регистра и цифрами, точно так же как современные подростки смеются над концептом покупки музыкального альбома на компакт-диске».

Главный вопрос заключается в том, как скоро удастся убедить пользователей перейти на новейшие технологии. Кроме того, биометрии еще предстоит доказать, что она является более удобной в использовании, а также, что немаловажно, более устойчивой к хакерским атакам.

Голос, палец и глаз — вот мои документы

Одним из очевидных решений является замена паролей на биометрические технологии. Практически все новые модели популярных смартфонов выходят со встроенным сканером отпечатков пальцев, который уже многим заменил стандартную разблокировку своего устройства.

Крупные технологические бренды начали выпуск «умных» домашних помощников, управляемых голосом, например Amazon Echo и Google Home, которые улавливают паттерны речи владельца и реагируют на его команды и просьбы. Кроме того, развивается технология распознавания лица: если верить слухам, Apple уже планирует внедрить ее в своих будущих продуктах.

В марте 2015 года Yahoo! решила избавить своих пользователей от необходимости запоминать свой пароль, чтобы войти в почтовый ящик.

Вместо этого им на смартфон в виде SMS приходил одноразовый код — эта технология уже активно используется во многих странах мира.

В прошлом году компания пошла дальше и вместо кода запрашивала подтверждение входа через мобильное устройство. Этот метод является еще более безопасным из-за наличия сканера отпечатков пальцев на большинстве современных смартфонов, так как пользователь не просто использует телефон, но и должен перед использованием разблокировать его, подтвердив свою личность.

Компания Apple, ответственная за популяризацию биометрического сканера для телефонов благодаря оснащению iPhone функцией TouchID, представила в начале 2017 года новую возможность для своих клиентов — вход в профиль Outlook, Skype и других сервисов с помощью отпечатка пальца. Microsoft также рассматривает возможность входа в систему ПК на базе Windows 10 через смартфон и сканер отпечатков, рассчитывая внедрить технологию к концу текущего года.

В банковской индустрии, которая тоже требует повышенной защиты персональных данных, также начали применять новые технологии. Три года назад британский банк Barclays позволил клиентам идентифицировать себя с помощью голосовой команды. Кроме того, HSBC, Citi, Santander также начали внедрять распознавание голоса в свои мобильные банковские приложения.

Пароль как запасной вариант

Конечно, у биометрии есть свои слабые места и недостатки. Руководитель подразделения диджитал-безопасности ABI Research Мишела Ментинг считает, что с развитием искусственного интеллекта (ИИ) неизбежно появятся машины, которые способны копировать человеческий голос и выдавать себя за настоящую личность. Эксперт полагает, что пароли останутся неотъемлемой частью аутентификации еще как минимум лет на пятьдесят.

Ментинг подчеркнула, что сканеры не смогут обладать абсолютной защитой пользователя «до тех пор, пока мы не сможем встраивать свои мобильные устройства внутрь организма, обеспечив их неприкосновенность от хакеров».

С распознаванием лиц тоже пока не все гладко — датчик Samsung Galaxy S8 был обманут с помощью фотографии владельца. Компания выпустила заявление, в котором пояснила, что таким образом можно только разблокировать гаджет, а для доступа, например, к Samsung Pay потребуется многофакторная идентификация.

Менеджер группы продуктов ESET Russia Сергей Кузнецов подтвердил «Газете.Ru», что статичные пароли, которые пользователи придумывают при регистрации аккаунта, потихоньку уходят в прошлое. Они наверняка останутся еще надолго, но исключительно как первый рубеж или как запасной вариант аутентификации.

Вместе с тем собеседник «Газеты.Ru» признал не стопроцентную надежность биометрических датчиков, отметив, что сканер отпечатков не распознает грязные пальцы, сканер радужки глаза не сработает в темноте, а слепок голоса будет бесполезен в шумном вагоне метро.

«Постоянные пароли когда-нибудь наверняка уйдут в прошлое, но случится это не завтра и не повсеместно», — заключил Кузнецов.

Руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies Павел Новиков также заявил, что новые технологии нескоро вытеснят традиционные пароли.

Эксперт заявил, что наиболее острая проблема использования паролей на данный момент заключается не в самой технологии, а в легкомысленном отношении пользователей к паролям. Все нашумевшие случаи взлома каких-либо систем связаны именно с недостаточной сложностью пароля, а не с его применением.

Новиков отмечает, что пароль является самым дешевым способом аутентификации, для которого не требуются специальные устройства и привязка к определенному устройству. Кроме того, в случае компрометации его можно легко заменить в отличие от биометрических данных человека — в таком случае взлом базы данных отпечатков пальцев или узора радужной оболочки глаза может привести к перманентной компрометации пользователя или даже населения целой страны.

Пароли уйдут в прошлое