Веб-пароли исчезнут?
![Веб-пароли исчезнут?](/public/uploads/img/1/4/10/30992.jpg)
Одним из клише о мире технологий является то, что новые технологии устаревают почти за одну ночь в результате быстрых инноваций. В некотором смысле это клише верно. Например, я не раз покупал цифровую камеру только для того, чтобы через короткое время производитель предлагал нечто лучшее. Точно так же я купил ПК в прошлом году с процессором Intel Core i7 седьмого поколения и обнаружил, что мог бы получить процессор восьмого поколения, если бы подождал несколько месяцев. Конечно, единственным большим исключением из стремительного развития технологий являются пароли. Назвать веб-пароли устаревшей технологией было бы огромным преуменьшением. Пароли были впервые изобретены примерно полвека назад, еще в 1960-х годах. Будучи маленьким ребенком в конце 1970-х годов, я хорошо помню, как мой дед объяснял мне пароли и показывал, как он использует пароль для доступа к старому мейнфрейму IBM.
К сожалению, веб-пароли просто не устарели. Мало того, что существует множество методов их кражи или взлома, пароли также наталкиваются на то, что я называю ограничениями масштабируемости.
Как правило, обсуждение масштабируемости в контексте ИТ вращается вокруг проблем управления большим количеством систем и пользователей в корпоративной среде.
Дело не в том, что никто ничего не пытался сделать с паролями. Были предприняты многочисленные попытки заменить пароли чем-то более эффективным. Хорошим примером является операционная система Windows 10. Несмотря на то, что большинство людей продолжают входить в Windows 10, используя традиционный пароль, Microsoft предоставляет другие варианты. Вы можете, например, войти в Windows, используя графический пароль (используя палец для рисования определенных жестов на сенсорном экране), или вы можете войти в Windows, используя числовой PIN-код или даже распознавание лица (что, кстати, работает очень хорошо).
Веб-пароли: отсутствие альтернатив
![Изображение 10131](/public/uploads/img/1/2/2/10131.jpg)
Так почему же, несмотря на то, что крупные компании-разработчики программного обеспечения предоставили нам действительно хорошие альтернативы использованию паролей, большинство людей по-прежнему полагаются на пароли как на основной механизм контроля доступа?
На мой взгляд, живучесть паролей связана не столько с отсутствием альтернатив паролей, сколько с отсутствием стандартов паролей. Задумайтесь на мгновение, к скольким веб-сайтам и веб-приложениям вы обращаетесь в течение недели, и сколько из этих сайтов требуют от пользователей входа в систему. Например, только сегодня я использовал Планировщик Office 365, войдя в онлайн-класс, который Я беру, проверил свои уведомления на Facebook и загрузил видео на YouTube, и это лишь некоторые из них.
Каждый из этих сайтов имеет собственную систему аутентификации. Другими словами, у меня один пароль для Facebook, другой для YouTube и так далее. Теперь, пожалуйста, не поймите меня неправильно. Я не утверждаю, что нам было бы лучше иметь универсальный каталог, который управляет аутентификацией и контролем доступа ко всем онлайн-ресурсам мира. Каталог универсальной аутентификации породил бы бесчисленное количество юридических и этических вопросов и стал бы кошмаром для безопасности, конфиденциальности и соответствия требованиям.
Хотя я думаю, что иметь универсальные полномочия по паролям было бы очень опасно, я также считаю, что необходим гораздо лучший способ контроля над паролями. Прямо сейчас у интернет-пользователей есть три основных варианта.
Вариант 1 — использовать одно и то же имя пользователя и пароль для каждого сайта. Этот метод не всегда работает, потому что сайты могут иметь разные требования к паролю. Однако даже если бы это сработало, использовать эту технику было бы чрезвычайно опасно. Если хотя бы один из сайтов, которые часто посещает пользователь, будет скомпрометирован, злоумышленники смогут получить доступ к набору учетных данных, которые будут работать на многих других сайтах.
Вариант 2 — записать имя пользователя и пароль для каждого отдельного сайта. Проблема с этим методом, конечно, заключается в том, что документ, содержащий все пароли пользователя, может быть утерян, украден или иным образом скомпрометирован. Например, после недавней паники, связанной с ракетами на Гавайях, было обнаружено, что широко распространенная фотография Гавайского агентства по чрезвычайным ситуациям содержала пароль, который был нацарапан на стикере и прикреплен к монитору компьютера.
Вариант 3 — использовать менеджер паролей. Проблема с этим вариантом заключается в том, что он означает класть все яйца в одну корзину. Если менеджер паролей выйдет из строя, будет скомпрометирован или если вы забудете мастер-пароль, вы можете быть навсегда заблокированы для доступа ко всем своим учетным записям. Некоторое время назад я даже слышал историю о ком-то, у кого произошел сбой жесткого диска и в результате он потерял свой менеджер паролей (и все пароли в нем).
Очевидно, что пароли плохо масштабируются. У всех нас слишком много учетных записей, и не так много безопасных, но простых и надежных способов сделать это. К счастью, это может скоро измениться.
Новая спецификация аутентификации
![Изображение 10172](/public/uploads/img/1/2/2/10172.jpg)
Недавно консорциум World Wide Web (W3C) предложил новую спецификацию аутентификации. Конечно, спецификации аутентификации предлагаются постоянно. Тем не менее, это показательно.
Основная причина, по которой спецификация аутентификации W3C заслуживает внимания, заключается в том, что со временем она может стать стандартом. Это означает, что со временем все веб-сайты и все браузеры будут использовать общий метод аутентификации. Однако, что более важно, этот метод основан на использовании сертификатов открытых ключей, а не паролей. В соответствии с новым планом пользователи могут проходить аутентификацию на веб-сайте на основании наличия у них сертификата, который положительно подтверждает личность пользователя.
Благодаря тому, как работает предложенная спецификация, пользователям не обязательно носить с собой сертификат на флэш-накопителе USB. На данный момент подробности все еще немного неясны, но, согласно некоторым источникам, вы сможете использовать операционную систему в качестве промежуточного шага в процессе входа в систему.
Представьте, например, что вы хотите войти на свой любимый веб-сайт, но хотите использовать функцию распознавания лиц Windows в качестве средства аутентификации. Вы можете пройти аутентификацию в операционной системе с помощью встроенной функции распознавания лиц, и тогда операционная система сможет сообщить веб-сайту, что вы — это вы.
Хотя легко рассматривать такую возможность исключительно с точки зрения удобства, на самом деле есть кое-что более важное, на что следует обратить внимание. Метод входа в систему, который я только что описал, основан на API под названием WebAuthn. WebAuthn API разработан так, чтобы доверять собственному механизму аутентификации устройства. Другими словами, когда вы входите в свое устройство, ваше устройство сообщает API, что вы прошли аутентификацию, но ваше устройство не предоставляет ваш пароль, биометрические данные или другие данные аутентификации API для обработки. Процесс аутентификации происходит локально, и ваши учетные данные никогда не передаются через Интернет. После того, как вы прошли аутентификацию на устройстве, операционная система может беспрепятственно аутентифицировать вас на веб-сайтах, которые вы посещаете, с помощью сертификатов.
Стандартизация веб-аутентификации
Стандартизация веб-аутентификации может означать, что вскоре вам не придется беспокоиться о запоминании всех этих веб-паролей. В то же время, весь процесс может быть нарушен, если вы потеряете сертификат закрытого ключа. Сертификат предположительно будет привязан к устройству либо через микросхему TPM, внешний носитель, либо через устаревшее хранилище сертификатов. Несмотря на это, крайне важно иметь способ резервного копирования или восстановления закрытого ключа в случае потери исходного ключа из-за аппаратного сбоя.