"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка
Плюсы и минусы беспарольной аутентификации


Представление о том, что пароли для аутентификации должны устареть, циркулирует в информатике, по крайней мере, с середины нулевых годов. Билл Гейтс, выступая в 2004 году на одной из конференций, предсказал исчезновение паролей: "они просто не справляются с задачей защиты всего, что вы действительно хотите защитить".

Прошло почти 20 лет, пароли никуда не ушли и, как полагают многие эксперты, останутся с нами навсегда. В то же время аутентификация без паролей, чаще всего биометрическая, набирает популярность, и, похоже, начинает выигрывать конкуренцию у традиционного способа вхождения в цифровую сеть. Об этом пишет Марк Стоун в интернет издании Security Intelligence. Он называет ряд крупных компаний, в том числе Microsoft, которые отказались от обязательности использовать пароли при аутентификации.

Одна из причин увеличивающегося внимания к беспарольным процедурам безопасности, пишет автор, заключается в том, что паролей слишком много. Иногда приходится запоминать до сотни разных паролей. Это слишком сложно и вполне естественно стремление людей облегчить бремя. По данным опроса, проведенного издательской фирмой Tech.co, почти 30% людей пользуются одним и тем же паролем на все свои аккаунты, что, конечно, недопустимо с точки зрения безопасности.

Вопрос: делает ли беспарольная аутентификация вашу организацию более защищенной?

Нет, отвечает автор книги «Hacking Multifactor Authentication» Роджер Гримс. И прежде всего по причине того, что однофакторная процедура всегда уступает многофакторной. Лишь сочетанием разных методов аутентификации можно достичь высокой степени защищенности, но 100% надежности не дает и многофакторная аутентификация.

Поэтому, продолжает эксперт, компаниям необходимо знать преимущества и слабости каждого приобретаемого программного решения. В этом может оказать помощь экспертиза FIDO Alliance,  открытой отраслевой ассоциации, созданной в феврале 2013 года, заявленной миссией которой является разработка и продвижение стандартов аутентификации, которые "помогают снизить чрезмерную зависимость мира от паролей". FIDO заявляет, что решает проблему недостаточной совместимости устройств, использующих надежную аутентификацию, и уменьшает проблемы, с которыми сталкиваются пользователи при создании и запоминании множества имен пользователей и паролей.

Роджер Гримс указывает на другой способ защиты – приложение «менеджер паролей», и всем рекомендует им пользоваться. Наибольший риск в том, что у среднестатистического пользователя обычно в арсенале от четырех до семи паролей, которые ему служат для десятков аккаунтов. Если какой-то из аккаунтов скомпрометирован хакерами, а это случается, мы знаем, нередко, то скомпрометирован и пароль, используемый для других веб-сайтов и сетей. Менеджер паролей помогает генерировать сложные пароли, хранить их в зашифрованных базах данных, вычислять их по запросам.

Роджер Гримс: «Менеджер паролей позволяет создать сложный, случайно выбранный, многознаковый пароль для сайта или сервиса, которым вы пользуетесь. Это наиболее устойчивый и надежный путь обезопасить себя (организацию) от известных нам сегодня угроз и рисков» (Security Intelligence).

Эксперт положительно относится к тенденции заменять пароли иными инструментами онлайновой защиты. В то же время замечает, что биометрические методы не столь эффективны, как их часто рекламируют. «Ваши отпечатки пальцев, очертания лица уникальны. Но вопрос в том, как их записывают, хранят и используют. Именно здесь кроются главные риски биометрической аутентификации. Серьезные специалисты, глубоко разбирающиеся в сильных и слабых характеристиках биометрии, не разделяют телячьих восторгов тех, кто провозглашает биометрию «священным Граалем» аутентификации» (там же).

Другая проблема с беспарольными решениями - в том, что они применимы к менее, чем 2% всех сайтов, сетей и сервисов, имеющихся сегодня в мире.

вернуться назад

© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60, Е-mail:sb@amulet-group.ru