Вместо тысячи букв: станут ли новые технологии заменой паролю
Последние несколько лет международные IT-компании регулярно критикуют пароли за их уязвимость. В качестве альтернативы они развивают новые беспарольные способы авторизации, однако многие до сих пор не понимают, зачем они нужны. Почему корпорациям все еще не удается отказаться от паролей и как заставить маятник качнуться в другую сторону, рассказала руководитель продуктового направления VK ID Екатерина Шинкаренко.
И ты, брутфорс
Ключевая причина, почему крупнейшие компании выступают против паролей, проста: любой из них, даже самый надежный, априори уязвим. Соблюдение всех правил цифровой гигиены сводит риски компрометации пароля к минимуму, но не убирает их полностью.
Многие все еще используют очень простые пароли вроде qwerty — с каждым годом подобрать их получается все быстрее и проще. Оптимальный пароль должен состоять не менее чем из 12 знаков, включая буквы, цифры и спецсимволы. Здесь подключается человеческий фактор: пользователям неудобно запоминать такие сложные пароли. В результате они либо забывают их, либо записывают в заметках или на бумаге, после чего теряют. Еще один распространенный сценарий — люди начинают использовать одни и те же пароли в разных сервисах. Хакеру достаточно получить данные человека на одном сайте — и все остальные учетные записи на других ресурсах будут скомпрометированы.
По данным совместного исследования VK и Geek Brains, треть опрошенных россиян используют для защиты аккаунтов один пароль, который к тому же состоит из памятных дат и имен. Как правило, это день рождения, дата свадьбы или переезда, а также имена — себя, детей, родителей, второй половинки или любимого героя из фильмов и книг. Если хакеру будет важно взломать именно ваш аккаунт, то узнать эти данные, чтобы подобрать пароль, не составит большого труда.
При этом половина опрошенных понимает, что использование одного и того же пароля может быть небезопасно. Поэтому крупнейшим IТ-компаниям приходится искать новые подходы, чтобы предоставить пользователю баланс между удобством использования и защищенностью аккаунта. Одним из них может стать авторизация без какого-либо пароля.
Начало сопротивления
Считается, что первым отказаться от паролей решил платежный сервис PayPal. В 2007 году компания добавила функцию подтверждения входа по SMS. Вскоре производитель биометрических решений Validity Sensors предложил сервису развить идею альтернативных способов авторизации и сделать вход в аккаунт по отпечатку пальца. Реализовать такой проект PayPal решил вместе с крупнейшими IТ-компаниями, для этого в 2012 году они основали альянс FIDO. В него входят сотни компаний, в том числе Microsoft, Google, Apple, Visa, Intel и др.