Инженеры FIDO Alliance и авторы WebAuthn убеждены, что уже в ближайшее время можно будет отказаться от паролей. Это мнение поддерживают ИТ-корпорации и облачные провайдеры. Но, разумеется, не всем такая перспектива кажется радужной.
Обсудим разные точки зрения на этот вопрос.
Что там с паролями
Пароли и парольные фразы — наиболее распространенный механизм для поддерживания информационной безопасности. Но будем честны, сложные наборы символов и цифр неудобны для обывателей, а менеджерами паролей все еще пользуется единицы.
По этим причинам основной мишенью для хакерских атак становятся слабые пароли, поэтому уже не первый год идут разговоры о том, чтобы заменить классический подход на более надежный и удобный. Работу в этом направлении ведут инженеры FIDO Alliance и консорциума W3C. В начале года они представили новую версию WebAuthn.
Специалисты предлагают использовать смартфон и биометрию в качестве инструмента авторизации. Управляет данными аутентификации доверенное приложение — Credential Manager. Вместо паролей, оно хранит криптографические ключи. Так, закрытый ключ лежит на устройстве пользователя, а открытый ключ — где-то на сервере организации, поддерживающей стандарт FIDO. Преимущество нового подхода — он серьезно затрудняет фишинг. Процесс авторизации подразумевает не только проверку пользователя, но и сервиса, к которому тот планирует подключиться. Также стандарт разрешает использовать Bluetooth для ускорения доступа, когда доверенное устройство выступает в роли своеобразного маяка для других девайсов поблизости.
В начале мая о планах внедрить новый стандарт FIDO объявили три западные ИТ-компании. Поддержку реализуют в следующем году — эту инициативу даже обсудили на Хабре. Однако некоторые отнеслись к идее с долей скептицизма.
Не все гладко
Разговоры о «беспарольном будущем» идут далеко не первый год. И первые попытки отказаться от привычного способа аутентификации ни к чему не привели.
Дело в том, что не все готовы переходить на новую технологию. В FIDO это понимают и даже разработали свод рекомендаций о том, как презентовать беспарольную аутентификацию пользователям. В каком-то смысле ситуация напоминает сцену из сериала «Кремниевая долина», когда автор инновационного алгоритма сжатия дотошно объяснял преимущества своего продукта членам фокус-группы.
Также пока непонятно, какую роль будут играть текущие парольные менеджеры. Их разработчики не выказывают явной поддержки новому формату, хотя некоторые крупные платформы готовы реализовать его на практике «там, где в этом есть смысл».
Еще одна проблема, которая сохранится при реализации нового подхода, — поломка или кража смартфона. Один из резидентов Hacker News отметил, что это главная причина, останавливающая его от перехода на любой аппаратный токен. Беспокойство вызывает не столько потенциальная атака на личную почту, сколько вероятность по неосторожности провернуть «железку» в стиральной машине (или просто потерять смартфон).
Здесь стоит заметить, что новый беспарольный стандарт предусматривает возможность переноса аутентификатора с одного устройства на другое. Точный механизм пока неизвестен, но, вероятно, его можно будет загрузить из облака.
В любом случае на формирование беспарольной экосистемы уйдёт продолжительное время, даже при поддержке крупных корпораций. Пока непонятно, что делать миллиардами людей, у которых все же нет мобильного устройства, да и «шерить» аккаунты с родней и друзьями станет сложнее. Все еще успеет поменяться, и будущее аутентификации может вообще выглядеть иначе — пока пароли пытаются заменить биометрическими данными, но есть мнение, что ими стоит заменить логин.
Больше о безопасности — в корпоративном блоге на нашем сайте:
Комментарии (33)
aik
09.06.2022 02:23+4Нафиг все эти конструкции.
Лично я вообще ненавижу идеологию mobile first и привязку всего подряд даже не к номеру телефона, а к смартфонам.
Panzer_Ex
09.06.2022 07:44А что там в FIDO думают про утечки? Или в их светлом будущем такого не будет? :) Биометрия - не пароль, ее не сменить...
inkelyad
09.06.2022 08:30А что там в FIDO думают про утечки? Или в их светлом будущем такого не будет? :) Биометрия - не пароль, ее не сменить...
Насколько я понимаю - думают то, что биометрия должна хранится не где-то там, в серверах сайта, а непосредственно в той железке, что ключики хранит. И доказываешь при помощи ее что ты это ты то же не сайту в интернете, а этому токену (в контексте данной статьи - только своему смарту). И по хорошему эта железка никаких лишних интерфейсов, по которым биометрия утечь может, иметь не должна.
И, соответственно, не нравится биометрия - настраивай/выбирай железку, которая проверяет твою личность другим способом. Сами сайты, пользующиеся этим способом входа, об этом даже не узнают.
stalinets
09.06.2022 09:33+1Нельзя отказываться от паролей.
Если мне надо, я могу дать пароль другому человеку. С биометрией или токеном так не получится. Кто считает, что так делать неправильно - напоминаю, техника создавалась, чтобы служить человеку, и только человек решает, как ей пользоваться. Если я считаю, что в мой акаунт может зайти другой человек - это моё решение и моя ответственность. А система, которая это не позволяет, не нужна.
Потом, биометрию не поменять, а пароль - легко.
Кому сложно запоминать пароли - пусть заведут секретный бумажный блокнотик и карандаш и носят их в кошельке рядом с документами, банковскими карточками и деньгами. Можно и менеджер паролей, но я им не доверяю, это лишняя точка отказа и потенциальной утечки. Ответственность за утечку пароля должна быть только на пользователе, если он оставляет пароль на бумажке под клавиатурой - он идиот и должен страдать (быть уволен и т.п.).
Привязка к смартфонам и т.п. не годится. Сел аккум - и что делать? А пароль - в памяти или в блокнотике.
inkelyad
09.06.2022 11:01Привязка к смартфонам и т.п. не годится.
Смартфоны тут (и биометрия в них) - исключительно потому что 'у всех есть'. Так то хорошо бы использовать нормальный аппаратный токен. Я не знаю, почему они так туго взлетают.
Так-то уже почти у всех уже несколько в карманах лежит (SIM-ки в телефоне, чип в карте).
gecube
09.06.2022 11:09Если мне надо, я могу дать пароль другому человеку
не надо. Если жене-подруге или кому-то еще нужен доступ к этому сайту - надо заводить индивидуальную учетку. А то действительно - знает двое, знает и свинья. Но обычно никаких рисков нет. А для серьезных вещей вроде банков - там заводится новая учетная запись + пишется доверенность на предоставление набора доступов. И voila! Два пользователя имеют доступ к одному набору счетов, сервисов и прочего.
То есть вся проблема только лишь в том, что такое доверие не реализовано в бытовых сервисах. Техника разве что только до "семейных" аккаунтов дошла.
К тому же, я не понимаю, как поможет пароль другому человеку в ситуации с 2FA или OTP... Разве что диктовать его по стороннему каналу связи...
aik
09.06.2022 13:11сли жене-подруге или кому-то еще нужен доступ к этому сайту — надо заводить индивидуальную учетку.
Так доступ нужен не к сайту, а к моей учётке.inkelyad
09.06.2022 18:22Ну тогда сгенерировать в ее токене/телефоне еще одну ключевую пару и привязать к своей учетке и ее ключик тоже.
А сервисам, которые думают, что отношение ключевая пара <-> учетка должно быть взаимно однозначно, нужно долго капать на мозги, чтобы они перестали так думать. Потому что иметь один артефакт доступа (ключевую пару) при себе, а другой (другую пару) - где-то в надежном месте, на случай потери или поломки первого -- это совершенно нормально.
Это, кстати, и про возможность бакапа. По идее - довольно вредная возможность. Возможность восстановления доступа должна решаться вот таким вторым артефактом, а не копированием первого.
aik
09.06.2022 18:29Пароль я могу продиктовать, отправить смс, написать на бумажке и приклеить на монитор…
А как я эту ключевую пару передам?gecube
09.06.2022 18:40отправить смс, написать на бумажке и приклеить на монитор…
очень секурно, ага.....
aik
09.06.2022 18:44Есть принцип достаточной безопасности.
Кстати, пароль на мониторе неплохо защищён от хакеров.
Чтобы узнать, они должны к вам ножками придти.gecube
09.06.2022 18:45необязательно. Достаточно поставить удаленно Вам кейлоггер. Или взломать сайт, куда пароль вводится. Там же наверняка есть какие-то хэшколиззии, уязвимости и прочие радости...
aik
09.06.2022 19:26Если комп скомпрометирован, то все варианты хранения паролей на компе (от текстового файла до менеджеров паролей) тоже можно считать скомпрометированными.
inkelyad
09.06.2022 18:51Никак. Дополнительный артефакт доступа делается заранее.
Смотри пример из физического мира - какой-нибудь гараж на физическом замке (или сейф с деньгами). Если кому-то, кроме себя, надо дать доступ, то даешь ему еще один (физический) ключ.
aik
09.06.2022 18:55Я могу отдать свой ключ. Могу сходить к слесарю, сделать копию и передать её с курьером. Мне не надо заранее раздавать копии всем, кому может понадобиться доступ в гараж.
inkelyad
09.06.2022 19:02Ну так 'отдать свой ключ', который физический токен доступа - тоже никто не мешает.
aik
09.06.2022 19:25Угу. Особенно тогда, когда это не отдельный ключ, а связка, да ещё и с кошельком туда привязанным (aka «смартфон»).
inkelyad
09.06.2022 19:39Ну это уже зависит от степени паранойи. Те ключи, которые неизвлиекаемые и от чего-нибудь серьёзного - те лучше таки каждый ключ - в отдельном токене (смотри банковские карты с чипом, кстати - как раз сценарий использования подходит).
Те которые в связке - тоже нет смысла иметь именно в виде пароля, даже если их кому-то отдать хочется. Потому что в современном мире передать даже несколько килобайт ключа - делается так же просто, как переслать картинку с баркодом. И даже если только звуковой канал доступен - ну каким-нибудь DTFM насвистеть можно.
aik
09.06.2022 19:53Технически оно может и просто, но вот организационно — нихрена не просто. Для этого надо будет менять инфраструктуру и психологию людей.
stalinets
09.06.2022 19:00Бывают всякие, в том числе экстренные ситуации, когда пароль надо дать, иначе будет катастрофа. Мало ли что может быть? А если вход будет по моей сетчатке или отпечатку - другой человек не зайдёт никак. И наоборот, если у меня будет подозрение, что мой пароль засветился - я его сразу поменяю, а вот при подозрении, что кто-то отсканировал мои отпечатки пальцев и сделал условную силиконовую подушечку и ей открывает замок, представляясь системе мною, - то поменять папиллярный узор на пальце я не смогу.
gecube
09.06.2022 19:45Бывают всякие, в том числе экстренные ситуации, когда пароль надо дать, иначе будет катастрофа.
Какая катастрофа? Придумайте нормальный пример, не высосанный из пальца. Я понимаю, что, скажем, пропуск регистрации на рейс самолета или не оплата гостиничной брони может привести к временным неудобствам и определенным финансовым потерям. Но представить себе экстренную ситуацию, которая потребует пароля от какого-то электронного сервиса я попросту не могу. Повторюсь - именно экстренную, от которой может зависеть жизнь человека
polearnik
09.06.2022 14:09расскажите как вы храните пароли от многочисленных сайтов?
semennikov
09.06.2022 18:07лично я 4 первых символа имени сайта + длинное число которое помню
gecube
09.06.2022 18:21надеюсь, что длинное число - это в hex кодировке и минимум 20 цифр? Иначе энтропия вообще никакая
semennikov
10.06.2022 00:05Да ладно, мне вполне хватает расчетного времени раскрытия пароля 10 в 100 степени секунд :-))
gecube
10.06.2022 00:26лучше OTP. Цифр меньше, ошибиться сложнее. А то, что они постоянно меняются - означает, что подобрать невозможно. Это нужно знать алгоритм генерации + seed значение. Но даже с этим были скандалы.
https://habr.com/ru/post/120787/ - яркий пример.
semennikov
10.06.2022 00:08Самое лучшее число - это единица с двадцатью одним нулем, пока введешь раз двадцать ошибешься то один лишний то два не хватает :-))
stalinets
09.06.2022 18:55Я же говорю - в блокнотике, который лежит дома в надёжном месте. А если я уезжаю дольше чем на день - беру его с собой. Но часто используемые пароли и так запоминаются, даже при условии их периодической замены. Это просто, достаточно безопасно, удобно. Только надо выработать привычку параноидально следить за своим кошельком и прочими вещами, чтобы не забыть нигде и не потерять.
anonym0use
09.06.2022 10:16> Специалисты предлагают использовать смартфон и биометрию в качестве инструмента авторизации.
Еще многократно ужаснее чем с паролями, в каком звании эти «специалисты» забыли указать.
tark-tech
возможность переноса аутентификатора с одного устройства на другое. Точный механизм пока неизвестен, но, вероятно, его можно будет загрузить из облака.
Раньше ваш пароль знали вы и гугль, теперь его будет знать только гугль, доооо.
gecube
так это уже и так работает - когда на сайтах есть кнопки "социального" входа через фейсбук, гугл, эппл и прочие...
Evengard
Именно поэтому я их избегаю всеми силами. Не хватало ещё из-за бана мастер-аккаунта потерять все связанные через них другие аккаунты...
По той же причине ненавижу привязку авторизаций к номеру телефона (это даже невзирая на проблему небезопасности СМС). Надо не забывать, что номер телефона принадлежит не вам лично, а властям страны, и операторы вполне рутинно эти номера телефона вводят в оборот повторно...
Даже с эмейлом не всё гладко, но там хоть есть возможность свой собственный домен купить. Что тоже не панацея, впрочем.
gecube
тут сложный вопрос. С одной стороны - они (гугл и эппл) привязывают почту автоматически. С другой - все стороны таким образом идентифицируют клиента и потом по объединенному профилю там такая недетская бигдатка работает - с отслеживанием интересов потенциального клиента и все такое. А то Вы думали - откуда все Ads объявления появляются. С третьей стороны - гуглу и фейсбуку я априори доверяю сильно больше, чем криво сверстанному сайту какого-то третьего васяна... И я не хочу придумывать и запоминать пароли для третьих сайтов. Анонимность - да, при этом при всем страдает, но учитывая, что половина сайтов все равно требует какую-то форму оплаты и рассчитана на отправку каких-то товаров на мой адрес... ну, короче, добро пожаловать в антиутопию. Остаются только всякие форумы и доски, на которых все еще хочется придумать себе левачную личину и под ней высказывать свою точку зрения. Хотя те, кто хочет, все равно деанонимизируют