Паролі відходять на другий план

Одне з найбільших та найчастіших роздратувань сьогодення викликане неможливістю увійти на веб-сайт через забутий пароль. Сидіти і намагатись вгадати власний пароль, при цьому помиляючись раз за разом – заняття не дуже приємне. А що, якщо ви в кінцевому підсумку не зможете отримати доступ до свого облікового запису та виконати (ймовірно, дуже просте і швидке) завдання, яке намагалися виконати? Або ж ви поспішаєте і часу залишається все менше?

Здається, корпорація Microsoft має рішення для проблеми необхідності запам’ятовувати занадто багато паролів: компанія вирішила взагалі відмовитися від них.

Минулого тижня компанія оголосила, що найближчими тижнями запровадить опцію “облікового запису без пароля” для всіх користувачів кількох популярних сервісів, таких як Microsoft Outlook та Microsoft OneDrive. До того ж, корпоративні клієнти компанії вже користуються цією опцією з березня цього року.

Васу Якал, корпоративний віце-президент компанії з питань безпеки, відповідності та ідентичності, офіційно повідомив у своєму блозі, що відтепер користувачі можуть повністю видалити пароль зі свого облікового запису Microsoft.

Замість паролів Microsoft дозволить користувачам входити в ці служби або за допомогою додатку Authenticator, який з інтервалом у декілька секунд генерує оригінальний код для входу, або за допомогою Windows Hello, яка дозволяє користувачам входити за допомогою розпізнавання обличчя, відбитка пальця або унікального пін-коду. В якості ще однієї альтернативи паролям, користувачам Microsoft пропонується придбати зовнішній ключ безпеки, наприклад USB-накопичувач, який буде слугувати своєрідним сейфом для зберігання даних для авторизації. Крім того, користувачі можуть зареєструвати власний номер телефону і отримувати код для підтвердження входу на свій мобільний пристрій.

Зміни, які вводить Microsoft відбуваються як відповідь на різке зростання кібератак за останній рік. Оскільки чимало корпоративних працівників зараз працюють вдома, хакери мають набагато більше можливостей проникнути в системи компанії – і компрометація паролів є однією з їх найпоширеніших стратегій. (В останні місяці у Microsoft також зіткнулися з проблемами безпеки, а їх послуги піддалися численним гучним зломамам та порушенням.)

Паролі часто можуть потрапляти в продаж у темній мережі, де їх купують і використовують, аби зламати ще більше облікових записів та сервісів. Останнім часом, хакери навіть почали атакувати та зламувати менеджери паролів, які прагнуть зробити дані для входу більш безпечними, а популярний сервіс LastPass зламали у 2015 році.

За даними Microsoft, щосекунди відбувається 579 атак на паролі, що в підсумку становить близько 18 мільярдів атак на рік. Експерти з кібербезпеки повідомляють, що найслабшою ланкою є людська поведінка – наша схильність повторно використовувати один і той самий пароль у різних облікових записах, щоб його було легко запам’ятати, або створювати шаблони для різних паролів, про які хакери легко здогадаються. Слабкі паролі є точкою входу для більшості атак через корпоративні та споживчі облікові записи.

Microsoft, схоже, намагаються стати першопрохідцями у майбутньому без паролів. За даними компанії, майже всі їхні співробітники зараз входять у свої корпоративні облікові записи без паролів. Багато компаній, особливо ті, що працюють з коштами або персональною інформацією своїх клієнтів, останнім часом почали глибше вивчати різні засоби кібербезпеки. Наприклад, один з найбільших покер-румів у світі, PokerStars, ставить безпеку та захист облікових записів своїх клієнтів на перше місце і пропонує їм багатофакторну автенифікацію (БФА). Так, гравці можуть налаштувати пароль, отримувати одноразовий код по SMS, встановити PIN-код або придбати токен RSA. Інші технологічні гіганти, такі як Google та Apple, також пропонують альтернативні варіанти паролів – наприклад, надсилання сповіщення на інший пристрій, щоб підтвердити вашу особу, – але ці рішення ще не повністю замінили необхідність введення пароля.

Здаєься, у цифровому майбутньому паролям місця немає. Існують реальні, потужні альтернативи, які можуть допомогти раз і назавжди позбутися від них.

Звичайно, будь-який засіб безпеки має свої переваги та недоліки. Проте, більшість експертів погоджується, що поєднання криптографії та біометрії вирішує більшість проблем безпеки, які можуть виникнути у компанії чи фізичної особи. Скануючи свій відбиток пальця, щоб розблокувати телефон, ви підтверджуєте, що це справді ваш особистий ключ. Потім, використовуючи приватний ключ для доступу до облікових записів та пристроїв, ви уникаєте необхідності централізовано зберігати свою біометричну інформацію.

Проте, поки ми все ще користуємося паролями, варто потурбуватися про їх надійність. Фактично, експерти з безпеки стверджують, що приблизно 90% паролів можна зламати через слабкі, створені користувачами та перероблені облікові дані.

Це означає, що пароль, створений людиною, буде передбачуваним у 9 із 10 випадків, і хакери можуть легко отримати доступ до необхідної інформації, зламавши слабкі паролі, використовуючи методи соціальної інженерії та/або атак “грубої сили”.