Инженеры отдела инноваций в PayPal уверены, что будущее авторизации – за средствами идентификации, которые можно встроить в тело, ввести внутрь тканей или проглотить. Презентация "Убить пароли" (Kill all Passwords) демонстрирует ненадёжность и неудобство существующей системы (например, по их данным, пароли 91% людей встречаются в списке 1000 самых популярных паролей), и продвигает идеи о будущем идентификации.
Концепция логинов и паролей уже давно подвергается критике со стороны провайдеров услуг. Их обвиняют в недостаточной защищённости сервисов, а они, в свою очередь, обвиняют пользователей в недостаточной осторожности. Предпринимаются различные попытки заменить авторизацию по паролю другими методами – отпечатки пальцев и распознавание лица уже не являются экзотикой.
PayPal особенно заботится о безопасности пользователей – ведь это не просто какой-то онлайн-сервис или форум — это услуга доступа к деньгам. Поэтому компания предлагает двигать идентификацию вперёд. Не имея особенной веры во вспомогательные процедуры вроде анализа привычек пользователя, его любимого браузера и географического расположения, инженеры предлагают перейти от внешней идентификации (отпечатки, сетчатка, лицо) к внутренней – сердцебиение, рисунок вен, и даже встраиваемые в тело идентификационные метки.
Джонатан Леблан, глава разработки PayPal, рассказывает о таких идеях, как встроенный в кожу чип, который отслеживает биение сердца и передаёт данные по беспроводной сети через антенну, встроенную в татуировку. Или капсулы, меряющие уровень глюкозы или другие уникальные параметры человека, которые тот проглатывает и использует для идентификации.
Леблан не делает обещаний или предсказаний по поводу того, какие технологии в недалёком будущем будет использовать PayPal. Но компания пытается позиционировать себя как лидера в разработках новых методов идентификаций и будет пытаться внести нечто новое в этот важный процесс.
Комментарии (11)
Lerg
26.04.2015 23:31+2Этот подход тоже не без недостатков. Как ни крути такое решение будет генерировать идентификатор, который будет передаваться в качестве пароля через интернет, то есть при утечке такого идентификатора будут всё те же старые проблемы. Но добавится ещё проблема невозможности изменения идентификатора — вы не можете так просто поменять себе сетчатку глаза, рисунок вен или отпечатки пальцев.
Эти методы хороши, когда нет взаимодействия с незащищённой средой передачи данных.
На мой взгляд самый действенный способ — это профилактика сложности пароля, не давать пользователям делать простые пароли, а вот где хранить этот сложный пароль вопрос остаётся открытым — LastPass, бумажка у монитора, смартфон или в голове (в виде собственной или электронной памяти).isden
26.04.2015 23:45+1Этот ID может быть лишь одним из факторов в MFA. Или вообще, может никуда не передаваться, а использоваться как секретный ключ в криптопроцессоре. Т.е. при полной компрометации будет достаточно сменить, например, только криптопроцессор.
ploop
27.04.2015 00:32+2не давать пользователям делать простые пароли
Нельзя. Система не должна быть умнее пользователя и диктовать ему условия. Я вообще за то, чтобы пароль был любой, хоть из одного символа, но понимаю, что это нереально. Ну ладно, если ограничения — то на длину, но никак на соответствие правилам безопасности.
Соглашусь с тем, что надо проводить профилактику. Человек должен понимать, что если разовая операция — можно поставить любой временный пароль, если подразумеваются серьёзные вещи (типа привязки карты) — то и подход другой должен быть.
cyber_genius
27.04.2015 00:33+10я и так храню свои пароли внутри тела — в голове
newdya
27.04.2015 07:50Дзэнский монах Догэн жил уединённо в своей хижине на опушке леса. Как-то несколько странствующих буддийских монахов попросились к нему на ночлег. Когда они согрелись у огня и поужинали, то завели разговор о сущности бытия, утверждая, что мир – лишь иллюзия человеческого сознания. Устав слушать их болтовню, Догэн спросил:
– Как вы считаете, вон тот камень находится внутри или снаружи сознания?
Один монах ответил с умным видом:
– Конечно, внутри.
– Твоя голова, должно быть, очень тяжёлая, – сказал ему Догэн, – раз ты носишь в своём сознании такие камни!
N1ghtroad
27.04.2015 04:57+1О, да. И придется семье каждый раз меня отвлекать, когда нужно купить что-нибудь с оплатой через PayPal. Или заводить по аккаунту на каждого члена и разводить финансовую бюрократию еще и дома.
Прелесть паролей еще и в том, что их можно передавать.
KivApple
28.04.2015 00:27Я лично категорически против повсеместного внедрения биометрической аунтефикации:
1) При компрометации пароля мы просто меняем пароль и живём спокойно дальше. При компрометации биометрических данных (а большинство из них находятся почти в открытом доступе и легко получаются при желании и некоторых технологиях, нужен лишь личный контакт с жертвой) что делать?
2) Далеко не всегда нужна параноидальная система, когда к аккаунту может получить доступ только один человек и никто другой. Пароль можно добровольно передать третьим лицам, вроде друзей или членов семьи, когда очевидно, что они не являются злоумышленниками, зато это принесёт пользу.
Пароли плохи лишь из-за идиотов-пользователей, можно повышать грамотность пользователей, да и вообще идиоты должны страдать в крайнем случае. А новая система имеет недостатки в самой концепции, которые касаются всех, вне зависимости от их уровня компьютерной грамотности.
Вообще считаю, что термин ССЗБ должен быть законодательно закреплён — если человека 10 раз предупредили, что так делать опасно, но он всё равно сделал и в итоге пострадал, то виноват именно он и никто другой. Если человек поставил пароль 1234 на банковский счёт, то в краже денег виноват он, а не «хакер» и его даже искать не надо. Это бы резко повысило уровень сознательности людей.KivApple
28.04.2015 00:31Разумеется, речь идёт лишь о случаях, когда можно было легко предотвратить проблему.
ploop
28.04.2015 20:41Я тоже против, но есть такая сухая вещь, как статистика: народ обычно не парится на счёт паролей и прочего, и в общей массе биометрические способы повысят безопасность. Если из 100 человек 5 грамотны, и используют сложные пароли, 45 — средние, а остальные 50 в группе риска, то организации (тому же банку) выгоднее обратить внимание на 50, чем на 5.
alltiptop
Поменять многосимвольный пароль очень легко, если предыдущий как-либо узнали. Как поменять сетчатку глаза или ритм сердца?