20 апреля 2021

Киберпространство ещё долгое время не сможет отказаться от паролей

Идея беспарольной аутентификации пользуется популярностью в разрастающемся цифровом мире – пользователям надоело запоминать по 50 паролей к каждому аккаунту или приложению, поэтому они бы с радостью облегчили процесс идентификации. Вот только не всё так гладко, как кажется на первый взгляд.

Беспарольные системы подразумевают под собой использование биометрических данных, пин-кодов, одноразовых паролей и прочих методов обеспечения безопасности. Разумеется, приложить палец к экрану проще, чем вводить уникальную комбинацию, но на самом деле даже самая удобная беспарольная аутентификация зависит от пароля.

К примеру, пароль используется в качестве дополнительного, страховочного варианта входа в систему. Допустим, Touch ID на Apple предлагает пользователю ввести комбинацию, если не может распознать расположение пальцев и сверить отпечатки. Учитывая тот факт, что Touch ID активирован для всех систем и сервисов устройства, то хакер, решивший похитить учётку данного пользователя, может напрямую взломать пароль, обойдя аутентификацию.

Атаковать пароли хакерам порой помогают сами пользователи. Проблема повторного использования паролей настолько велика, что мошеннику не составит труда получить доступ к ним через Dark Web. Разумеется, использование паролей в качестве резервного метода аутентификации касается не только продукции Apple, поэтому пока что говорить об отмене паролей явно преждевременно.

Также многие системы требуют пароль для доступа к информации на определённом этапе работы. К примеру, рядовой сотрудник может войти в систему благодаря токену, а вот системный администратор, следящий за данными, уже должен указать уникальную комбинацию. Таким образом, получается, что основная защитная система опять же зависит от пароля.

Пароли по-прежнему актуальны и среди сотрудников предприятий, и среди индивидуальных пользователей – комбинации работают на всех устройствах и ОС, поэтому пока что нет смысла говорить о том, что скоро пароли станут невостребованными. Достижение совместимости беспарольных методов на всех устройствах потребует от пользователей дополнительных финансовых затрат. Плюс ко всему, пароль помогает системе принять безапелляционное решение – он либо правильный, либо ошибочный, а вот беспарольные данные могут быть оценены системой с определённой погрешностью.

На данный момент эксперты отмечают открытость пользователей к новым цифровым методам, однако считают, что беспарольные методы хороши лишь в комплексе, как часть решений в области ИБ. Также специалисты в очередной раз рекомендуют пользователям не создавать слишком простые пароли и не разглашать их. Тем, кому не безразлична безопасность учётных данных, стоит при каждом входе в систему проверять наличие своих паролей в базах слитой информации. Динамическую проверку в режиме реального времени для предприятий успешно осуществляет Enzoic.