Скорую «смерть» паролей предрекают уже больше 10 лет, их не любил даже Билл Гейтс. Однако мы и сейчас продолжаем использовать пароли настолько часто, что быстро отказаться от них не получится. Несмотря на это, впереди уже проглядывается будущее, в котором заходить в любой сервис можно будет, например, с помощью отпечатка пальца или скана лица. А пароли навсегда уйдут в прошлое. О том, насколько мы уже приблизились к этому времени, читайте ниже.
Меня зовут Андрей Говоровский, я лидирую группы продуктовой разработки VK ID в департаменте экосистемных сервисов VK. Мы активно внедряем решения в сфере беспарольной авторизации с 2022 года, сейчас работаем над интеграцией технологии Passkey в VK ID. Мы готовы поделиться своим опытом, но для начала расскажем о главном — зачем беспарольный вход вообще нужен как пользователю, так и бизнесу.
Чтобы ваш пароль был надёжным, он должен быть сложным. В марте 2023 года ИБ-компания Hive Systems подсчитала, сколько времени потребуется хакеру, чтобы брутфорсом подобрать пароль от аккаунта в зависимости от его сложности. Аналитики выяснили, что относительно высокий уровень безопасности обеспечивает пароль из 11 букв и чисел различного регистра — на его взлом потребуются три года. А если в нём будут ещё и спецсимволы, то 34 года.
Однако запоминать такие сложные пароли пользователю неудобно. Человек начинает записывать особо ценные пароли у себя в заметках или на бумаге, после чего теряет их. Или же пользователь использует одни и те же пароли на разных сервисах. По данным совместного исследования VK и GeekBrains, треть опрошенных россиян используют для защиты учётных записей один пароль, состоящий из памятных дат и имён. И это несмотря на то, что большинство из них знает, что использование одного и того же пароля может быть опасно. Чем чаще они так делают, тем выше вероятность, что с одного из ресурсов пароль утечёт.
Беспарольная авторизация снимает риски потери или утечки пароля, потому что нельзя украсть то, чего нет. С точки зрения безопасности оптимальной по-прежнему считается двухфакторная аутентификация, однако беспарольный вход может быть хорошей альтернативой для пользователей, которые по каким-то причинам не хотят подключать 2FA.
Как появился беспарольный вход
Первая версия беспарольной аутентификации появилась еще в 1980-е — это были one-time passwords (OTP), одноразовые пароли, которые хранятся на физических носителях. В конце 1990-х была представлена технология единого входа — single sign-on (SSO). Этот метод позволяет безопасно аутентифицироваться сразу в нескольких приложениях и сайтах, используя один набор учётных данных. В начале 2000-х популярность получили смарт-карты — пластиковые карты со встроенной микросхемой, которые иногда используют в качестве беспарольных безопасных токенов.
В начале нового века ко всем этим методам добавилась многофакторная аутентификация (MFA), которая требует от пользователей подтверждения личности с использованием как минимум двух различных факторов проверки. Она получила известность, когда такие компании как Google начали использовать эту технологию в своих продуктах. Как правило, MFA включает в себя факторы знания (пароли и кодовые фразы) и владения личным устройством (одноразовые коды по SMS). Беспарольная авторизация исходит именно из фактора владения персональным устройством, тем самым нивелируя риски компрометации пароля.
Альянс FIDO против паролей
В 2007 году компания PayPal попыталась внедрить 2FA с отправкой OTP через SMS, однако ей не удалось сделать эту технологию популярной среди пользователей. Через несколько лет PayPal совместно с Validity Sensors объявили о планах создать стандарт, который поддерживал бы все аппаратные средства аутентификации. Для решения этой задачи в 2012 году был основан Альянс FIDO (Fast IDentity Online, «быстрая онлайн-идентификация»). В Альянс вошли Lenovo, Nok Nok Labs и Infineon, позже к нему присоединились Google, Samsung, Microsoft, Intel, Visa, Master Card и Amazon, а в 2020 году — Apple. Сейчас этот концерн объединяет уже сотни компаний. Все вместе они стремятся защитить пользователей от фишинга и сократить (а в перспективе совсем исключить) использование паролей в мире.
В 2014 году результатом работы Альянса стали два стандарта: U2F (Universal Second Factor для аутентификации с помощью специальных устройств) и UAF (Universal Authentication Framework для биометрической аутентификации). FIDO продолжил совершенствовать технологии и в 2018 году совместно с консорциумом W3C опубликовал стандарты для беспарольной аутентификации на сайтах, в мобильных приложениях и веб-сервисах — WebAuthn и CTAP. Тогда же Microsoft в своём блоге объявил «конец эры паролей». Однако поспешно. Многие компании, например, Twitter или Dropbox, стали использовать стандарт WebAuthn в качестве второго фактора аутентификации, то есть в дополнение к паролю.
Чтобы изменить такое положение вещей, в марте 2022 года FIDO и W3C представили новую версию WebAuthn. Специалисты предложили использовать в качестве инструмента авторизации смартфон и биометрию. После этого о планах внедрить новый стандарт объявили Apple, Google и Microsoft. В FIDO заявили, что возможность беспарольной авторизации должна появиться в Windows, macOS, iOS, а также в браузерах Chrome и Safari до конца 2023 года. Сейчас WebAuthn считается оптимальным с точки зрения удобства и безопасности вариантом беспарольного входа, однако далеко не единственным. По данным CanIUse, на сегодня WebAuthn поддерживается у более чем 95 % пользователей.
Как работает беспарольная аутентификация
Аутентификация без пароля позволяет получать доступ к сайту, приложению или системе без использования факторов, которые основаны на знаниях: паролей, кодовых фраз или PIN-кодов. Все виды беспарольной аутентификации можно разделить на две категории:
на основе владения: аппаратным токеном, смартфоном, USB-устройством, брелком или смарт-картой;
на основе биометрии: отпечатка пальца, скана сетчатка глаза или лица, распознавания голоса.
Как правило, аутентификация без пароля происходит по такой схеме:
Пользователь входит в устройство, начинает сеанс или открывает приложение, а затем вводит информацию о себе: имя, номер телефона или адрес электронной почты.
После этого нужно подтвердить свою личность: вставить флешку, использовать токен, смарт-карту, брелок, открыть ссылку, отправленную на смартфон. Или отсканировать отпечаток пальца, просканировать лицо, сетчатку глаза.
Если устройство или биометрия соответствуют информации в базе данных, то пользователь получает разрешение на доступ.
Виды беспарольной аутентификации
Сейчас существует достаточно много методов аутентификации без пароля, так что между ними даже можно выбирать. Остановимся на самых популярных.
OTP-код
OTP-код (one-time password) это одноразовый пароль, который генерируют защищённые аппаратные устройства или программы. Чаще всего это числовые коды длиной 4-12 цифр. Пользователь может получать их в SMS, push-уведомлении, письме на электронную почту, в качестве части номера телефона, с которого ему поступает звонок. Также генерировать OTP-код могут специальные приложения на смартфоне (например, Google Authenticator). Ещё один вариант: такие коды могут генерировать сами сервисы уже после авторизации. У них длительный срок хранения, поэтому пользователь может сохранить их на будущее и авторизоваться с их помощью, например, в случае, когда нет доступа к смартфону или SIM-карте.
Аппаратный токен
Аппаратный токен — это небольшое электронное устройство, напоминающее брелок или флешку. Им может быть токен, который необходимо физически подключать к компьютеру или смартфону — ключи шифрования хранятся на самих токенах. Также есть бесконтактные токены, они не требуют физического соединения с устройством. Кроме того, существуют аппаратные токены, которые могут генерировать OTP-код для входа каждый раз при включении, их работа может быть основана на счётчике событий (HOTP) или счётчике времени (TOTP):
HOTP (HMAC-based One-Time Password) генерирует одноразовый пароль на основе секретного ключа и счётчика. Каждый раз, когда пользователь нажимает кнопку на устройстве, счётчик увеличивается, и следующий пароль генерируется уже с использованием увеличенного значения. HOTP-токены требуют синхронизации между сервером и устройством пользователя.
TOTP (Time-based One-Time Password) — это тип OTP, который генерирует одноразовый пароль на основе секретного ключа и текущего времени. Сервер и токен настроены на одинаковый интервал времени, обычно это 30 секунд — при использовании TOTP пароль меняется каждые полминуты. TOTP считается менее уязвимым для взлома, так как ограниченное время его действия уменьшает возможность перехвата пароля.
Passkey
Passkey — это уникальный криптографический токен, который передаётся между веб-сайтом и устройствами пользователя. Такой ключ доступа позволяет использовать для аутентификации биометрические системы на смартфоне или компьютере, например, сканер отпечатков пальцев или лица. Чтобы войти в учётную запись, достаточно отсканировать генерируемый браузером QR-код и подтвердить личность на смартфоне. Этот способ защиты основан на стандарте WebAuthn.
Passkey уже поддерживает Apple, а в начале мая и Google внедрил эту технологию во все свои сервисы и платформы. Недавно VK также объявил об интеграции Passkey в сервисы VK и партнёрские сайты и приложения, где есть VK ID. Одно из главных достоинств Passkey в том, что ключи доступа можно синхронизировать на разных устройствах, всё зависит от используемого приложения и операционной системы.
Принцип работы Passkey заключается в том, что один из ключей хранится на мобильном устройстве или компьютере, а второй — в облаке. Пользователь не видит эти ключи, поэтому не может передать их мошенникам, а взлом какого-то одного сервиса не приведёт к потере всех цифровых учётных записей.
OAuth и OpenID — технология единого входа
Этот способ позволяет проходить аутентификацию в различных веб-сервисах с помощью единой учётной записи без ввода пароля. Фактически пользователь использует для авторизации, например, учётную запись в социальной сети. Такой подход используют многие интернет-компании, в том числе Facebook (принадлежит компании Meta, деятельность которой запрещена в России), Google и Twitter. Благодаря этому сайты, поддерживающие OAuth, получают данные о пользователе от онлайн-сервисов при согласии человека на передачу данных. При этом для авторизации используется не логин и пароль, а токен доступа, который предоставляют провайдеры OAuth и OpenID.
По такому же принципу работает кросс-авторизация на мобильных устройствах. Пользователю, который залогинен в приложении соцсети, не придётся проходить аутентификацию в другом приложении, поддерживающем OAuth.
Авторизация по QR-коду
Этот способ подразумевает предоставление доступа к сессии между компьютером и мобильным устройством, на котором пользователь уже прошёл авторизацию. При аутентификации сайт генерирует специальный QR-код, и после сканирования на устройстве пользователь подтверждает операцию в мобильном приложении. При входе в аккаунт сервис генерирует временный одноразовый токен — уникальную комбинацию, которую, в отличие от пароля, не получится использовать ещё раз на другом устройстве. Кстати, по нашим наблюдениям (и это немного удивительно), пользователи очень любят такой способ авторизации, потому что они полностью контролируют весь процесс входа на сайт: им не нужно ждать OTP-код в сообщении, всё необходимое уже буквально у них в руках.
Аутентификация через push-уведомления
Этот способ также предполагает вход с помощью единой учётной записи и позволяет обойтись без одноразовых паролей, если пользователь уже авторизован в одном из мобильных приложений, поддерживающих такую функцию. При авторизации пользователю приходит push-уведомление, с помощью которого можно пробросить сессию авторизации в другое приложение или сайт. Для этого требуется лишь подтвердить авторизацию в push-уведомлении.
Одноразовые ссылки на почту
Это один из наиболее архаичных способов аутентификации, которым, впрочем, всё ещё пользуется часть людей. На электронную почту приходит письмо с URL-ссылкой, где лежит одноразовый токен. Он позволяет пройти аутентификацию на сайте, который проверяет токен и предоставляет доступ. Однако этот способ не очень надёжен, ведь для него нужно зайти в сам почтовый сервис, и для этого в любом случае потребуется какой-либо другой способ аутентификации.
Жизнь без паролей: преимущества и недостатки
Повышенная безопасность аккаунта
Сами по себе пароли перестали быть серьёзным препятствием для мошенников. Беспарольная аутентификация защищает от двух самых опасных и распространённых кибератак: фишинга и кражи паролей. Даже если человек получает фишинговые письма, у него нет учётных данных, которые можно было бы передать мошенникам. К тому же подделать биометрические данные или украсть OTP-код сложнее, чем брутфорсом подобрать пароль.
По оценкам IBM, в 2022 году финансовые потери компаний из-за утечек данных в среднем по миру достигли $4,35 млн, при этом дороже всего такие взломы обходятся медицинским ($10,10 млн) и финансовым ($5,97 млн) организациям.
Без паролей жить удобнее
Многие вздохнут с облегчением от того, что больше не надо придумывать пароли и заучивать их наизусть. Фактически у пользователя появляется единая «учётка» во всех сервисах с беспарольной авторизацией, где логин — это номер телефона, а пароль — это одноразовый код. При подключённом Passkey авторизация становится ещё проще.
Кроме того, аутентификация без пароля позволяет зайти в устройство в любых обстоятельствах. Например, за рубежом SMS может и не прийти, но зато QR-код точно не подведёт.
Экономия времени
С беспарольной аутентификацией больше не придётся каждый раз тратить время на регистрацию, по нескольку раз вводить длинный пароль, в котором очень легко сделать ошибку. Современные способы авторизации (например, по Face ID) даже быстрее, чем авторизация с помощью менеджера паролей.
Защита данных в бизнесе
В бизнесе беспарольная аутентификация помогает значительно улучшить защиту информации: мошенникам становится гораздо сложнее украсть конфиденциальные данные клиентов. Это повышает репутацию компании как надёжного и ответственного партнёра. Ещё один плюс для бизнеса — он получает аудиторию с подтверждёнными факторами владения. Клиенты, которые используют простые пароли, легко могут оказаться ботами, а с биометрией такая вероятность значительно снижается.
Отказ от паролей также делает жизнь клиентов более удобной: им не надо тратить время на запоминание сложный паролей и поиск потерянных «учёток». Вместе этого достаточно подтвердить личность с помощью уникальной биометрической информации или другого способа беспарольной аутентификации.
Без пароля, но не без проблем
Несмотря на преимущества, у беспарольного входа есть и подводные камни, о которых не стоит забывать. При беспарольной авторизации безопасность аккаунта по сути привязана к вашему устройству (смартфону или электронному ключу), и его потеря может быть чревата потерей доступа к аккаунту, если нет ротации факторов. К тому же, если устройство найдёт другой человек, он может воспользоваться им для несанкционированного доступа в сервисы.
Поэтому, выбирая беспарольный вход, нужно ответственно следить за сохранностью устройств, а также иметь резервные варианты доступа, иначе восстанавливать аккаунт придётся через техподдержку. Также не стоит забывать, что обязательно нужно блокировать вход в телефон и SIM-карту PIN-кодом или графическим ключом. С точки зрения безопасности наиболее надёжным видом беспарольной аутентификации считается вход с помощью биометрических технологий.
Почему компании не переходят на беспарольную аутентификацию?
Многие онлайн-сервисы очень давно установили привычную парольную аутентификацию. Они не воспринимают средство авторизации как нечто технологичное и самостоятельное, поэтому не думают о том, что форму авторизации можно и нужно модернизировать. Также они не думают, что средство авторизации может как-то положительно повлиять на их бизнес-метрики, хотя такие решения способны, например, увеличить количество регистраций на сервисе: авторизоваться по номеру проще, чем зарегистрировать аккаунт.
Также переход на новый способ аутентификации потребует значительных инвестиций Внедрение новой системы не произойдёт по щелчку, это долгий и сложный процесс, который сопряжён с большими расходами на покупку необходимого аппаратного и программного обеспечения. Особенно дорого обойдутся нововведения для крупных компаний, клиенты которых разбросаны по всему миру. В случае с SMS им придётся поддерживать работу с сотней разных мобильных операторов и рассылать сообщения пользователям в самых разных странах.
Наконец, большинство людей настолько привыкли использовать пароли, что им сложно воспринимать другие способы аутентификации.
Тем не менее, аутентификация без пароля позволяет решать много проблем как бизнесу, так и пользователя. Во-первых, она обеспечивает высокий уровень безопасности. Во-вторых, ускоряет вход в систему. В-третьих, избавляет от необходимости запоминать множество паролей. Казалось бы, с этим может справиться менеджер паролей, но и его сложно назвать универсальным: если вы не храните ключи в облачном хранилище, то при авторизации на новом устройстве могут возникнуть проблемы, когда всё же придётся вспомнить пароль.
Однако беспарольная аутентификация — не панацея. В случае целенаправленной атаки на пользователя (например, администратора крупного сообщества в соцсети или знаменитости) SMS могут перехватить, а смартфон можно потерять и на время лишиться доступа к аккаунту. Часть этих проблем снимается реализацией входа через WebAuthn, однако этот стандарт всё равно не закрывает все возможные уязвимости.
