Инженеры FIDO Alliance и авторы WebAuthn убеждены, что уже в ближайшее время можно будет отказаться от паролей. Это мнение поддерживают ИТ-корпорации и облачные провайдеры. Но, разумеется, не всем такая перспектива кажется радужной.
Обсудим разные точки зрения на этот вопрос.
Что там с паролями
Пароли и парольные фразы — наиболее распространенный механизм для поддерживания информационной безопасности. Но будем честны, сложные наборы символов и цифр неудобны для обывателей, а менеджерами паролей все еще пользуется единицы.
По этим причинам основной мишенью для хакерских атак становятся слабые пароли, поэтому уже не первый год идут разговоры о том, чтобы заменить классический подход на более надежный и удобный. Работу в этом направлении ведут инженеры FIDO Alliance и консорциума W3C. В начале года они представили новую версию WebAuthn.
Специалисты предлагают использовать смартфон и биометрию в качестве инструмента авторизации. Управляет данными аутентификации доверенное приложение — Credential Manager. Вместо паролей, оно хранит криптографические ключи. Так, закрытый ключ лежит на устройстве пользователя, а открытый ключ — где-то на сервере организации, поддерживающей стандарт FIDO. Преимущество нового подхода — он серьезно затрудняет фишинг. Процесс авторизации подразумевает не только проверку пользователя, но и сервиса, к которому тот планирует подключиться. Также стандарт разрешает использовать Bluetooth для ускорения доступа, когда доверенное устройство выступает в роли своеобразного маяка для других девайсов поблизости.
В начале мая о планах внедрить новый стандарт FIDO объявили три западные ИТ-компании. Поддержку реализуют в следующем году — эту инициативу даже обсудили на Хабре. Однако некоторые отнеслись к идее с долей скептицизма.
Не все гладко
Разговоры о «беспарольном будущем» идут далеко не первый год. И первые попытки отказаться от привычного способа аутентификации ни к чему не привели.
Дело в том, что не все готовы переходить на новую технологию. В FIDO это понимают и даже разработали свод рекомендаций о том, как презентовать беспарольную аутентификацию пользователям. В каком-то смысле ситуация напоминает сцену из сериала «Кремниевая долина», когда автор инновационного алгоритма сжатия дотошно объяснял преимущества своего продукта членам фокус-группы.
Также пока непонятно, какую роль будут играть текущие парольные менеджеры. Их разработчики не выказывают явной поддержки новому формату, хотя некоторые крупные платформы готовы реализовать его на практике «там, где в этом есть смысл».
Еще одна проблема, которая сохранится при реализации нового подхода, — поломка или кража смартфона. Один из резидентов Hacker News отметил, что это главная причина, останавливающая его от перехода на любой аппаратный токен. Беспокойство вызывает не столько потенциальная атака на личную почту, сколько вероятность по неосторожности провернуть «железку» в стиральной машине (или просто потерять смартфон).
Здесь стоит заметить, что новый беспарольный стандарт предусматривает возможность переноса аутентификатора с одного устройства на другое. Точный механизм пока неизвестен, но, вероятно, его можно будет загрузить из облака.
В любом случае на формирование беспарольной экосистемы уйдёт продолжительное время, даже при поддержке крупных корпораций. Пока непонятно, что делать миллиардами людей, у которых все же нет мобильного устройства, да и «шерить» аккаунты с родней и друзьями станет сложнее. Все еще успеет поменяться, и будущее аутентификации может вообще выглядеть иначе — пока пароли пытаются заменить биометрическими данными, но есть мнение, что ими стоит заменить логин.
Больше о безопасности — в корпоративном блоге на нашем сайте:
Этапы проведения кибератак
DNS over HTTPS — безопасность или сложность в работе
«Откуда не ждали»: как IPv6 может скомпрометировать сети
