Деякі люди не можуть перестати говорити про смерть пароля. Паролі старі, небезпечні і легко піддаються витоку. Скоро ми всі будемо використовувати біометричні, апаратні ключі захисту та інші футуристичні рішення - вірно? Ну, не так швидко.
Ми поговорили з начальником служби безпеки 1Password Джеффрі Голдбергом, який сказав, що він «обережно оптимістичний, що на цей раз ми можемо побачити вм'ятину в проблемі пароля».
Це оптимістичний підхід, і він далекий від смерті паролів.
Чому люди хочуть вбити пароль
Обговорюючи мету компанії «Побудувати світ без паролів» у травні 2018 року, команда безпеки Microsoft написала:
"Ніхто не любить паролі. Вони незручні, небезпечні і дороги. Насправді, нам так не подобається їх, що ми були зайняті на роботі, намагаючись створити світ без них - світ без паролів ".
Паролі з часом стають все більш дратівливими, і ми всі стали мудрішими, ризикуючи їх повторно використовувати. Якщо ви використовуєте один і той же пароль на декількох сайтах і порожній є витік пароля, ваш може бути використаний для доступу до вашого облікового запису на іншому сайті. Таким чином, вам потрібно вибрати надійний, унікальний пароль для кожної послуги, яку ви використовуєте. Пройшли часи повторного використання короткого, простого пароля на декількох сайтах.
Для більшості людей, у яких немає надлюдських спогадів, неможливо запам'ятати надійний, унікальний пароль для кожного онлайн-облікового запису. Ось чому ми рекомендуємо менеджери паролів - вони пам'ятають всі ці надійні, унікальні паролі для вас. Вам просто потрібно запам'ятати свій майстер-пароль, який набагато простіше, ніж запам'ятати 100, і набагато більш надійний, ніж повторне використання одного і того ж.
Але навіть з менеджером паролів це не зовсім безпечно. Хтось з кейлоггер у вашій системі може захопити ваш пароль і увійти як ви. Ось чому послуги додають додаткову безпеку. Ми часто вводимо пароль, а потім змушені вдруге автентифікуватися за допомогою коду або ключа.
Чи є спосіб краще?
Що може замінити пароль?
Гольдберг сказав, що бачив «схему за схемою», запропоновану вбивати паролі протягом останніх двадцяти років, багато з яких не витягли уроки з того, що не вдалося в минулому. Але більш нові можуть мати більше шансів на успіх завдяки таким досягненням, як більш потужні локальні пристрої.
Біометрія може замінити пароль. Ви можете використовувати Touch або Face ID (біометричні дані) для входу в iPhone замість введення PIN-коду. Телефони на Android також мають функції входу за відбитком пальця та обличчя.
Тепер ви також можете створювати «парольні» облікові записи Microsoft для входу в Windows. Ваше ім'я користувача - це ваш номер телефону, а введений вами «пароль» - це код, відправлений на ваш номер телефону за допомогою SMS.
Ви також можете використовувати фізичний ключ безпеки замість пароля для автентифікації ваших мережевих облікових записів. Ви тримаєте ключ при собі (ви можете навіть тримати його в своєму ланцюжку для ключів) і використовувати його через USB, NFC або Bluetooth, коли настав час увійти в систему.
Телефони теж можуть замінити паролі. Google тепер дозволяє пристроям Android функціонувати як клавіші FIDO2. Вам також може знадобитися пройти перевірку автентичності за допомогою відбитка пальця на телефоні при вході на веб-сайт на ноутбуці.
Багато компаній намагаються зменшити залежність від паролів, пропонуючи провайдерів єдиного входу. Це коли ви входите в Facebook, Google і т. Д., а потім використовуєте цей обліковий запис для входу в інші служби - додаткові паролі не потрібні.
«Заміни» пароля не замінюють паролі
Тут є велика проблема. Технології, що рекламуються як «заміна» пароля, насправді не є заміною - принаймні, поки що.
Біометричні дані, такі як Face або Touch ID, як і раніше вимагають на вашому пристрої і пароль, і пароль Apple ID. Для деяких завдань потрібен також ПІН-код для фонового шифрування. Біометричні функції в Android і Windows Hello в Windows 10 працюють однаково - в основному, для зручності. Вхід до пристрою простіше, тому що вам не потрібно кожен раз вводити пароль, але він не замінює ваш пароль.
Обліковий запис без пароля, який надсилає вам телефонні коди, теж не дуже хороший. Замість одного пароля для вашого облікового запису, ця служба генерує новий пароль кожен раз, коли ви намагаєтеся увійти в систему, і відправляє його вам по SMS. Це менш безпечно, ніж традиційний метод з одним паролем і кодом безпеки, який ви отримуєте при вході в систему.
На жаль, зловмисники в багатьох випадках легко крадуть телефонні номери, що робить це менш безпечним. Це чудовий спосіб зв'язатися з людьми в країнах, де телефонні номери зустрічаються повсюдно, і це зменшує тертя при реєстрації облікового запису, тому Amazon також пропонує це. Але це не хороше рішення для заміни паролів.
Більшість служб, які прийняли фізичні ключі безпеки, використовують їх як додаткову опцію автентифікації. Ви, як і раніше, входите в систему зі своїм паролем, а потім вводите ключ безпеки як додаткове підтвердження для входу. До можливості використовувати ключ без пароля ще далеко.
Існує проблема конфіденційності з сервісами єдиного входу. Коли ви натискаєте «Увійти через Google» або «Увійти через Facebook», оператор сервісу - Google або Facebook - знає, що ви входите в систему.
Там завжди будуть паролі (на задньому плані)
Навіть якщо мрія Google замінити паролі на телефони здійсниться, пароль не буде знищений. Verge підсумував плани Google наступним чином: «Якщо ви вже увійшли в свій телефон, то це можна використовувати для» початкового завантаження «наступного пристрою, який ви хочете увійти в свій обліковий запис Google».
Ви можете не використовувати свій пароль протягом тривалого часу, але він все ще там у фоновому режимі. Зрештою, він вам знадобиться, якщо ви втратите всі свої пристрої.
Паролі все ще широко поширені. Їх легко налаштувати і використовувати. «Заміни» пароля пропонують більше зручності або додаткової безпеки. Але вам завжди буде потрібен спосіб відновити доступ, якщо ви втратите свій пристрій і не зможете використовувати свої біометричні або апаратні засоби захисту.
«Я думаю, що завжди будуть крайні випадки, які вимагають паролів», сказав головний операційний директор 1Password Метт Дейві. Наприклад, Вхід з Apple в iOS 13 пропонує можливість входу через Інтернет, яка використовує ваш пароль Apple ID при вході на пристрій не від Apple. Пароль працює всюди і є універсальним за замовчуванням, коли модні біометричні або апаратні функції безпеки недоступні.
Як сказав Голдберг, «паролі просто, дуже просто» для веб-сайтів. «Вони як і раніше є найпростішою річчю, яку оператори послуг можуть використовувати».
Ось чому 1Password оптимістично дивиться на майбутнє менеджерів паролів. Компанія заявила, що бачила нових користувачів навіть в умовах зростання конкуренції, і такі компанії, як Apple, Google і Mozilla, стали більш серйозно ставитися до управління паролями.
Що день прийдешній?
Мрія про знищення пароля далека. Навіть якщо процес піде добре, в кращому випадку ми будемо повільно просуватися вперед з більш простими альтернативами паролям.
Коли-небудь паролі можуть бути настільки відсунуті на задній план, що вони стануть давно забутим методом відновлення облікового запису. Але вони, ймовірно, будуть тут ще довго. Битва, щоб вигнати їх з щоденного використання для більшості людей буде довгою і наполегливою. Але повністю вбиваєте паролі? Це ще складніше уявити.