ИБ-эксперт Кокорева: в будущем мы можем полностью отказаться от паролей
Традиционно для входа в интернет-аккаунты требуется вводить пароли, а для наибольшей безопасности данных использовать разные, длинные и сложные комбинации, которые зачастую совсем нелегко запомнить. Если же не придерживаться этого правила, то аккаунт может стать уязвимым для кибермошенников, а пароль окажется скомпрометированным. Об этом "Газете.Ru" рассказала Ксения Кокорева, руководитель команды информационной безопасности Почты Mail.ru.
"Кроме того, уровень удобства парольной аутентификации нельзя назвать высоким, поскольку такой способ требует постоянного ввода или изменения пароля", — объяснила она.
В ответ на эти проблемы одним из основных технологичных трендов последних лет стало использование метода беспарольного входа. Например, мы уже давно привыкли к удобному и достаточно безопасному входу по SMS и QR-коду. Данный способ не требует ввода пароля, но, к сожалению, тоже имеет слабые места.
"Однако существует еще один метод — беспарольная аутентификация, которая основана на использовании электронного ключа, хранящегося на вашем устройстве (скан отпечатков пальцев, распознавание лица или специальной флешки Yubikey). Таким образом, при добавлении электронного ключа на устройство создается пара из открытого и закрытого криптографических ключей, которые связываются с аккаунтом пользователя", — сказала специалист.
Беспарольный вход — это метод аутентификации, который позволяет пользователям получать доступ к своему аккаунту без необходимости вводить физический пароль. Вместо этого используются более безопасные методы, такие как биометрическая идентификация (например, скан отпечатков пальцев или распознавание лица), одноразовые коды, аутентификация через мобильные устройства и другие инновационные способы подтверждения личности. При этом биометрические данные пользователя никуда не передаются: электронный ключ (пароль) хранится только на их устройстве.
"Таким образом, при попытке авторизации, например, с помощью отпечатка пальца или скана лица, встроенный скрипт WebAuthn сигнализирует сервису, что у пользователя есть корректный электронный ключ, и он действительно является владельцем аккаунта. Следовательно, происходит быстрый вход/авторизация пользователя в сервисе. Сегодня метод аутентификации с помощью электронного ключа является самым безопасным", — подчеркнула Кокорева.
У беспарольного входа есть множество плюсов, добавила специалист.
"Беспарольный вход обеспечивает быстрый доступ к личному кабинету без необходимости ввода пароля. Пользователям больше не нужно запоминать пароли, что особенно удобно для тех, кто использует множество сервисов. Нет пароля — нечего забывать. Одним из основных преимуществ беспарольного входа является повышение уровня безопасности. Нельзя украсть то, чего нет. Кроме того, можно больше не бояться мошенников и фишинга, поскольку пользователям более нечего вводить на поддельных сайтах: электронный ключ просто не виден пользователю на его устройстве", — рассказала она.
Кроме этого, снижается риск утечек. Электронный ключ хранится только на устройстве пользователя, поэтому, в случае взлома сервиса и утечки данных, злоумышленник не получит доступ к его учетной записи. Таким образом, данные нельзя украсть, они не могут утечь в сеть.
"Беспарольный тренд становится все более популярным и уже есть у большинство крупных российских IT-корпорация. Вполне возможно, что в будущем мы полностью откажемся от паролей в пользу более современных и технологичных методов защиты", — резюмировала Кокорева.