• USD 41.2
  • EUR 44.8
  • GBP 53.5
Спецпроєкти

Чіпи, тату і сітківка. Чим можуть замінити паролі від соцмереж та пошти

Чому світ готовий відмовитися від паролів і що буде використовуватись замість звичної комбінації букв, цифр і спеціальних знаків
Реклама на dsnews.ua

Паролі як спосіб підтвердження особи та аутентифікація давно вже не можна назвати надійним способом авторизації. Ще два роки тому звичайній людині тільки в соцмережах належало в середньому сім акаунтів. Якщо до цього додати електронну пошту, онлайн-банкінг, інші корисні сервіси, то кількість облікових записів, а отже, і комбінацій "логін+пароль", перевищить десяток.

В цих умовах дотримуватися три основні постулати парольного захисту - "складний, не персоніфікований і змінюваний" - дуже складно. Придумати складні паролі допомагає безліч додатків і онлайн-сервісів, але вони пропонують такі заплутані комбінації, що людина запам'ятати їх найчастіше не в змозі. Особливо, якщо мова йде не про двох-трьох паролі, а про десятки або двох. Так що паролі "123456", "qwerty" або "password1" досі не виходять з моди.

Наприклад, дослідження SplashData за 2017-й показало, що близько 10% користувачів застосовують хоча б один із 100 найгірших (самих популярних) паролів. А близько 3% користувачів використовували найгірший пароль "123456"

Більш того, користувачі часто не змінюють паролі, зберігаючи той, який використовувався при першій реєстрації. Так, за даними останнього дослідження компанії Thycotic , більше половини користувачів не змінювали пароль до своїх акаунтів в соцмережах за останній рік. При цьому за останні роки були вкрадені мільярди комбінацій "логін - пароль". Жертвами злому акаунтів в свій час були Mail.Ru, Yahoo, Microsoft, Mozilla, у Мережу витекли раніше зламані паролі LinkedIn, Dropbox, Twitter, Facebook. Навіть новини про продаж десятків мільйонів паролів для облікових записів Gmail і Yahoo, так само як і поява сервісу https://haveibeenpwned.com/ для перевірки свого мейла під зламаних базах не змогли змінити поведінку людей.

Багато користувачів застосовують один і той же (або дуже схожий) пароль для різних акаунтів, за різними дослідженнями їх частка становить від 40% до 73% . Це означає, що серед вкрадених, а часто і опублікованих у відкритому доступі паролів, є й актуальні. Причому актуальні не тільки для зламаних акаунтів сервісів, але і інших ресурсів, що встояли перед атаками хакерів.

Двохетапна захист

Реклама на dsnews.ua

Проблеми, пов'язані з використанням паролів, призвели до появи альтернатив. Деякі з них доповнюють традиційну парольний захист. Наприклад, двофакторна (двохетапна) авторизація передбачає використання ще одного фактора для "впізнавання", разом з паролем. Наприклад, щоб потрапити в Gmail-пошту, користувачі можуть ввести свій пароль і вказати код, отриманий в SMS або мобільному додатку Google Authenticator. Така ж функція доступна і користувачам Facebook.

Платіжні системи активно працюють над власними альтернативами паролів для захисту інтернет-платежів. 3D Secure - це технологія, розроблена компаніями Visa і MasterCard, передбачає, що власник пластикової картки для онлайн-платежу введе не тільки номер, строк дії та CVV-код картки (аналог звичайного пароля), а ще й одноразовий пароль, який відправляється в SMS.

Комбінація факторів захисту посилює безпеку та знижує ймовірність злому і крадіжки даних: навіть якщо зловмисники якимось чином дізнаються пароль (або отримають у своє розпорядження платіжну картку), цього буде недостатньо для здійснення платежу.

На кінчиках пальців

Компанії експериментують і з біометричними альтернативами - зчитування та розпізнавання біометричних даних допомагає в тому випадку, якщо людина забув пароль або втратив телефон. USB-флешки і ноутбуки з підтвердженням авторизації через відбитки пальців існують не перший рік. У 2013-му Apple випустила перший iPhone з дактилоскопічним датчиком, такий же сканер з'явився в 2015-му у флагманських смартфонів виробництва Samsung. Сьогодні дактилоскопічні датчики є практично у всіх смартфонів, що виходять на ринок.

Використовувати відбитки пальців вирішили і для здійснення платежів. MasterCard нещодавно оголосила про запуск програми Identity Check Mobile, яке дозволяє ідентифікувати покупця через відбиток пальця або знімок особи. Аналогічний спосіб авторизації є і у Alipay - мобільного платіжного додатка, що належить Alibaba. Платіжні системи Visa і Mastercard також розробляють банківські картки, в яких замість PIN-коду будуть використовуватися відбитки пальців. У минулому році Mastercard вже почала тестувати картки з біометричними параметрами в Південній Африці.

В останній версії операційної системи Windows 10 з'явилася підтримка біометричної автентифікації під назвою Windows Hello: платформа розпізнає обличчя власника або відбиток його пальця, а мобільна версія програми може сканувати і розпізнавати райдужну оболонку або сітківку ока.

Apple використовує розроблену нею технологію сканування обличчя Face ID: вона дозволяє розблокувати смартфон поглядом, а ще використовується для підтвердження платіжних операцій за допомогою Apple Pay. Аналог Face ID під назвою Face Unlock використовується і на смартфонах з Android.

Однак і ці способи визначення користувача виявилися не дуже надійними: вже створено кілька способів злому дактилоскопічного датчика, так і систему розпізнавання особи навчилися обходити.

Що в твоєму голосі

Розпізнавання голосу теж активно використовується для захисту даних - скопіювати голос досить складно. Так, компанія Nuance Communications, багато років займається розробкою технологій розпізнавання мовлення, представила свою альтернативу паролів - голосову авторизацію. Британський банк HSBC використав цю систему Nuance для аутентифікації всіх мобільних і телефонних клієнтів.

Голландський банк ING в мобільному фінансовому додатку замінив коди доступу до банківських рахунків голосової аутентифікацією клієнтів. Банк Santander UK розгорнув технологію розпізнавання голосу на початку 2017-го, надавши клієнтам можливість здійснювати платежі за допомогою голосових команд для iPhone.

Татуювання, чіпи, вени

Компанія Fujitsu розробила технологію розпізнавання малюнка кровоносних судин на долоні PalmSecure. Спеціальна камера з інфрачервоним світлом дозволяє вивчити малюнок і по ньому ідентифікувати людину. Автори розробки заявляють, що цей метод є більш точним, ніж дактилоскопічний сканер. Fujitsu вже кілька років продає цю систему корпоративним замовникам.

Ще одна унікальна характеристика людини - її серцевий ритм. Поки вона складна в реалізації, але канадська компанія Nymi вже продає кардиобраслет Nymi Band, який використовує інформацію про серцебитті людини або вимірювання електрокардіограми для аутентифікації особистості. Для перевірки особи власника пристрій з'єднується через Bluetooth з іншими включеними пристроями на зразок смартфона або ноутбука, Браслет зберігає унікальний серцевий код, який можна використовувати як для авторизації на різних сайтах, так і в якості аналога цифрового підпису. Нещодавно Nymi оголосила, що пристрій також можна використовувати для здійснення банківських транзакцій: користувачеві досить помістити браслет поруч з платіжним терміналом, щоб зробити покупку.

Ще одні альтернативи паролів - парольний таблетка парольний цифрова татуювання. Компанія Motorola працює над захищений таблеткою, яка при перетравленні випромінює 18-бітний сигнал. Інший напрямок - цифрова татуювання, яку можна наклеїти на руку. У ній є датчики і антена: датчик розблокує аккаунт, антена використовується для передачі сигналу.

Штучний інтелект та нейроні мережі

Все частіше для ідентифікації користувача застосовують не тільки фізична біометрія, яка фокусується на унікальних фізіологічних ознаках, а ще й поведінкова. У цьому випадку мова йде про унікальні поведінкових маркерах, за якими можна розпізнати людину.

Наприклад, дослідники з військової академії West Point намагаються побудувати систему ідентифікації особи на основі звичок і поведінки людини. Ця система повинна буде сформувати індивідуальний шаблон поведінки користувача і потім порівнювати його з тим, як поводиться людина, наприклад, працює в даний момент за комп'ютером.

Вчені з Гонконгу нещодавно повідомили про створення методу аутентифікації, заснованого на русі губ користувача, який вголос вимовляє свій пароль. Метод Lip password використовує алгоритми машинного навчання, які розпізнають особливості руху губ. Розробники кажуть, що зімітувати пароль іншій людині не удатстся.

BehavioSec - компанія, яка використовує машинне навчання для виявлення шахрайства. Продукт BehavioSec може аналізувати час і метод натискання кнопок і елементів интерейса, місця, кути натискання, силу і цілий ряд інших параметрів. Система використовується в банківських програмах поряд з іншими методами ідентифікації. Розробники обіцяють надійність ідентифікації до 99,7%.

Ще одним розробником таких інструментів є NuData. Компанія використовує так звану пасивну біометрію і поведінкову аналітику для ідентифікації користувачів на основі поведінки. Компанія вміє побудувати цифровий профіль людини, аналізуючи його поведінку на різних пристроях, серед аналізованих параметрів, наприклад, тиск пальця на екрані, кут нахилу смартфона і ритм натискання клавіші. На підставі цього профілю компанія вміє ідентифікувати користувача та визначати шахрайство.

Апаратна захист

Ще один спосіб ідентифікації користувача, який може посилити парольний захист - це використання апаратного ключа апаратного токена). Такий ключ являє собою пристрій у вигляді "флешки", яке можна використовувати як доповнення до паролем. Популярні онлайн-сервіси підтримують авторизацію за допомогою токенів, що працюють на основі стандарту FIDO Універсальний 2nd Factor (U2F): така можливість, наприклад, доступна користувачам Google, Dropbox і Facebook. Для початку користувачам потрібно додати підтримку апаратного сертифіката в налаштуваннях своїх профайлів. Після цього, щоб зайти до свого облікового запису, потрібно буде не тільки ввести пароль, а й підключити апаратний токен - вставити його в USB-роз'єм і натиснути на кнопку. Апаратні ключі можуть також підтримувати Bluetooth або NFS-протоколи - в цьому випадку можна захистити акаунти при роботі зі смартфона.

Компанія Google перевела частину своїх співробітників на використання апаратних токенів і за рік жоден з них не втратив доступ до свого аккаунту. А влітку цього року Google випустила власний апаратний токен Titan Security Key, призначений для авторизації на сервісах Google.

Альянс FIDO нещодавно розробив протокол авторизації користувачів на основі апаратних ключів FIDO2. Такий протокол вже почали підтримувати останні версії браузерів і як тільки онлайн-сервіси почнуть працювати з ним, можна буде сміливо заявляти про появу гідної альтернативи і навіть заміни паролів.

Майбутнє пароля: не замість, а разом

Отже, помруть чи паролі як спосіб аутентифікації? Незважаючи на численні експерименти, деякі - досить успішні, навряд чи варто ховати старий добрий пароль. Принаймні, в масовому використанні. Ймовірно, поряд з паролем будуть активніше використовуватися і інші методи, що відрізняють "своїх від чужих", не виключено, що бізнес перейде на підтримку USB-токенів або розширить використання біометричної ідентифікації.

Тим не менш, звичайний користувач онлайн-сервісів і споживач контенту навряд чи незабаром відмовиться від старого доброго пароля.

    Реклама на dsnews.ua