Деякі люди не можуть перестати говорити про смертьпароль. Паролі старі, небезпечні та легко просочуються. Незабаром ми всі будемо використовувати біометрію, ключі апаратної безпеки та інші футуристичні рішення - так? Ну, не так швидко.
Ми поговорили з начальником служби безпеки 1Password Джеффрі Голдбергом, який сказав, що він "обережно оптимістичний, що цього разу ми можемо побачити вм'ятину в проблемі з паролем".
Це оптимістична думка - і це далеко не загибель паролів.
Чому люди хочуть вбити пароль
Обговорюючи мету компанії «Побудувати світ без паролів», ще у травні 2018 року команда безпеки Microsoft написала:
“Паролі ніхто не любить. Вони незручні, небезпечні та дорогі. Насправді вони нам настільки не подобаються, що були зайняті роботою, намагаючись створити світ без них - світ без паролів ".
Паролі з часом стали все більше дратувати,і ми всі стали мудрими щодо ризику повторного використання. Якщо ви використовуєте той самий пароль на кількох веб-сайтах, і там відбувається витік пароля, ваш можна використовувати для доступу до свого облікового запису на іншому веб-сайті. Отже, вам потрібно вибрати надійний унікальний пароль для кожної послуги, якою ви користуєтесь. Пройшли часи повторного використання короткого простого пароля на кількох веб-сайтах.
Для більшості людей, які не мають надлюдейспогади, неможливо запам’ятати надійний, унікальний пароль для кожного облікового запису в Інтернеті. Ось чому ми рекомендуємо менеджерів паролів - вони пам’ятають усі ці надійні, унікальні паролі для вас. Вам просто потрібно запам'ятати свій головний пароль, який набагато простіший, ніж запам'ятовування 100, і набагато безпечніший, ніж повторне використання того самого.
Однак навіть з менеджером паролів це не такповністю захищений. Хтось із кейлоггером у вашій системі може захопити ваш пароль і увійти як ви. Ось чому послуги додають додатковий захист. Ми часто вводимо пароль, а потім доводиться вдруге автентифікуватися за допомогою коду або ключа.
Чи є кращий спосіб?
Що може замінити пароль?
Голдберг сказав, що бачив "схему за схемою"пропонував вбивати паролі протягом останніх двадцяти років - багато з яких не вчилися з того, що не вдалося в минулому. Але новіші можуть мати більше шансів на успіх завдяки таким досягненням, як більш потужні локальні пристрої.
Біометрія може замінити пароль. Ви можете використовувати Touch або Face ID (біометричні дані), щоб увійти на свій iPhone, а не вводити PIN-код. Телефони Android також мають функції входу в систему відбитків пальців та особи.
Тепер ви також можете створювати «без пароля» облікові записи Microsoft для входу в Windows. Ваше ім'я користувача - це ваш номер телефону, а "пароль", який ви вводите, - це код, надісланий на ваш номер телефону за допомогою SMS.
Ви можете замість цього використовувати і фізичний ключ безпекипароля для автентифікації ваших онлайн-акаунтів. Ви зберігаєте ключ при собі (ви можете навіть тримати його на своєму брелоку) і використовуєте його через USB, NFC або Bluetooth, коли настає час входу.
Телефони також можуть замінити паролі. Тепер Google дозволяє пристроям Android працювати як клавіші FIDO2. Можливо, вам доведеться також пройти автентифікацію за допомогою відбитка пальця на телефоні під час входу на веб-сайт на своєму ноутбуці.
Багато компаній намагаються зменшити залежність відпаролі, пропонуючи постачальників послуг "єдиного входу". Це коли ви входите в Facebook, Google тощо, а потім використовуєте цей обліковий запис для входу в інші служби - додаткові паролі не потрібні.
«Заміни паролів» Не замінюйте паролі
Однак тут є велика проблема. Технології, що називаються "заміною паролів", насправді не є заміною - принаймні, поки що.
Біометричні дані, такі як Face або Touch ID, все ще вимагаютьяк пароль, так і пароль Apple ID на вашому пристрої. Для деяких завдань також потрібен PIN-код для фонового шифрування. Біометричні функції в Android та Windows Hello у Windows 10 працюють однаково - в основному, як функція зручності. Увійти на пристрій простіше, оскільки не потрібно вводити пароль щоразу, але цього не потрібно замінити Ваш пароль.
Обліковий запис без пароля, який надсилає телефонні кодити теж не чудовий. Ця послуга замість одного пароля для вашого облікового запису генерує новий при кожній спробі ввійти та надсилає його вам за допомогою SMS. Це менш безпечно, ніж традиційний метод одного пароля плюс захисний код, що надсилається вам під час входу.
На жаль, зловмисники легко крадуть телефончисла у багатьох ситуаціях, що робить це менш безпечним. Це чудовий спосіб охопити людей у країнах, де телефонні номери є повсюдними, і це зменшує тертя реєстрації облікового запису, тому Amazon пропонує це також. Але це не найкраще рішення для заміни паролів.
Більшість служб, які прийняли фізичну безпекуключі використовують їх як додаткову опцію автентифікації. Ви все ще входите за допомогою свого пароля, а потім надаєте ключ безпеки як додаткове підтвердження для входу. Можливість використання ключа без пароля ще далека.
Існує проблема конфіденційності і з послугами єдиного входу. Коли ви натискаєте «Увійти за допомогою Google» або «Увійти за допомогою Facebook», оператор послуги - Google або Facebook - знає, в що ви входите.
Паролі завжди будуть (у фоновому режимі)
Навіть якщо мрія Google про заміну паролів телефонами здійсниться, це не скасує пароль. The Verge узагальнив плани Google таким чином: "Якщо ви вже ввійшли в свій телефон, це може бути використано для" завантаження "наступного пристрою, на який ви хочете увійти у свій обліковий запис Google".
Можливо, ви довго не будете використовувати свій пароль, але він все ще знаходиться у фоновому режимі. Зрештою, він вам знадобиться, якщо ви втратите всі свої пристрої.
Паролі все ще широко поширені. Їх легко встановити та використовувати. «Заміни паролів» пропонують більше зручності або додаткової безпеки. Але вам завжди знадобиться спосіб відновити доступ, якщо ви загубите пристрій і не зможете використовувати свої біометричні чи апаратні засоби захисту.
“Я думаю, що завжди будуть такі крайні справидля яких потрібні паролі ", - сказав керівник відділу 1Password Метт Дейві. Наприклад, Увійти за допомогою Apple в iOS 13 пропонує веб-варіант входу, який використовує ваш пароль Apple ID, коли ви входите в систему на пристрої, який не є Apple. Пароль працює скрізь і є універсальним за замовчуванням, коли вигадливі біометричні чи апаратні функції захисту недоступні.
Як сказав Голдберг, "Паролі дуже просто, дуже прості" для веб-сайтів. "Вони все ще залишаються найпростішими для операторів послуг".
Ось чому 1Password є бичачим щодо майбутньогоменеджери паролів. Компанія заявила, що бачила більше нових користувачів, навіть коли конкуренція зростала, а такі компанії, як Apple, Google і Mozilla, ставляться до серйозніших питань щодо управління паролями.
Що чекає майбутнє?
Мрія вбити пароль - це далеко. Навіть якщо процес іде добре, найкращим сценарієм є те, що ми будемо рухатись повільно, з більш простими альтернативами паролів.
Колись, паролі можуть бути настільки віднесені до
