Веб-пароли исчезнут?

Одним из клише о мире технологий является то, что новые технологии устаревают почти за одну ночь в результате быстрых инноваций. В некотором смысле это клише верно. Например, я не раз покупал цифровую камеру только для того, чтобы через короткое время производитель предлагал нечто лучшее. Точно так же я купил ПК в прошлом году с процессором Intel Core i7 седьмого поколения и обнаружил, что мог бы получить процессор восьмого поколения, если бы подождал несколько месяцев. Конечно, единственным большим исключением из стремительного развития технологий являются пароли. Назвать веб-пароли устаревшей технологией было бы огромным преуменьшением. Пароли были впервые изобретены примерно полвека назад, еще в 1960-х годах. Будучи маленьким ребенком в конце 1970-х годов, я хорошо помню, как мой дед объяснял мне пароли и показывал, как он использует пароль для доступа к старому мейнфрейму IBM.

К сожалению, веб-пароли просто не устарели. Мало того, что существует множество методов их кражи или взлома, пароли также наталкиваются на то, что я называю ограничениями масштабируемости.

Как правило, обсуждение масштабируемости в контексте ИТ вращается вокруг проблем управления большим количеством систем и пользователей в корпоративной среде.

Дело не в том, что никто ничего не пытался сделать с паролями. Были предприняты многочисленные попытки заменить пароли чем-то более эффективным. Хорошим примером является операционная система Windows 10. Несмотря на то, что большинство людей продолжают входить в Windows 10, используя традиционный пароль, Microsoft предоставляет другие варианты. Вы можете, например, войти в Windows, используя графический пароль (используя палец для рисования определенных жестов на сенсорном экране), или вы можете войти в Windows, используя числовой PIN-код или даже распознавание лица (что, кстати, работает очень хорошо).

Веб-пароли: отсутствие альтернатив

Так почему же, несмотря на то, что крупные компании-разработчики программного обеспечения предоставили нам действительно хорошие альтернативы использованию паролей, большинство людей по-прежнему полагаются на пароли как на основной механизм контроля доступа?

На мой взгляд, живучесть паролей связана не столько с отсутствием альтернатив паролей, сколько с отсутствием стандартов паролей. Задумайтесь на мгновение, к скольким веб-сайтам и веб-приложениям вы обращаетесь в течение недели, и сколько из этих сайтов требуют от пользователей входа в систему. Например, только сегодня я использовал Планировщик Office 365, войдя в онлайн-класс, который Я беру, проверил свои уведомления на Facebook и загрузил видео на YouTube, и это лишь некоторые из них.

Каждый из этих сайтов имеет собственную систему аутентификации. Другими словами, у меня один пароль для Facebook, другой для YouTube и так далее. Теперь, пожалуйста, не поймите меня неправильно. Я не утверждаю, что нам было бы лучше иметь универсальный каталог, который управляет аутентификацией и контролем доступа ко всем онлайн-ресурсам мира. Каталог универсальной аутентификации породил бы бесчисленное количество юридических и этических вопросов и стал бы кошмаром для безопасности, конфиденциальности и соответствия требованиям.

Хотя я думаю, что иметь универсальные полномочия по паролям было бы очень опасно, я также считаю, что необходим гораздо лучший способ контроля над паролями. Прямо сейчас у интернет-пользователей есть три основных варианта.

Вариант 1 — использовать одно и то же имя пользователя и пароль для каждого сайта. Этот метод не всегда работает, потому что сайты могут иметь разные требования к паролю. Однако даже если бы это сработало, использовать эту технику было бы чрезвычайно опасно. Если хотя бы один из сайтов, которые часто посещает пользователь, будет скомпрометирован, злоумышленники смогут получить доступ к набору учетных данных, которые будут работать на многих других сайтах.

Вариант 2 — записать имя пользователя и пароль для каждого отдельного сайта. Проблема с этим методом, конечно, заключается в том, что документ, содержащий все пароли пользователя, может быть утерян, украден или иным образом скомпрометирован. Например, после недавней паники, связанной с ракетами на Гавайях, было обнаружено, что широко распространенная фотография Гавайского агентства по чрезвычайным ситуациям содержала пароль, который был нацарапан на стикере и прикреплен к монитору компьютера.

Вариант 3 — использовать менеджер паролей. Проблема с этим вариантом заключается в том, что он означает класть все яйца в одну корзину. Если менеджер паролей выйдет из строя, будет скомпрометирован или если вы забудете мастер-пароль, вы можете быть навсегда заблокированы для доступа ко всем своим учетным записям. Некоторое время назад я даже слышал историю о ком-то, у кого произошел сбой жесткого диска и в результате он потерял свой менеджер паролей (и все пароли в нем).

Очевидно, что пароли плохо масштабируются. У всех нас слишком много учетных записей, и не так много безопасных, но простых и надежных способов сделать это. К счастью, это может скоро измениться.

Новая спецификация аутентификации

Недавно консорциум World Wide Web (W3C) предложил новую спецификацию аутентификации. Конечно, спецификации аутентификации предлагаются постоянно. Тем не менее, это показательно.

Основная причина, по которой спецификация аутентификации W3C заслуживает внимания, заключается в том, что со временем она может стать стандартом. Это означает, что со временем все веб-сайты и все браузеры будут использовать общий метод аутентификации. Однако, что более важно, этот метод основан на использовании сертификатов открытых ключей, а не паролей. В соответствии с новым планом пользователи могут проходить аутентификацию на веб-сайте на основании наличия у них сертификата, который положительно подтверждает личность пользователя.

Благодаря тому, как работает предложенная спецификация, пользователям не обязательно носить с собой сертификат на флэш-накопителе USB. На данный момент подробности все еще немного неясны, но, согласно некоторым источникам, вы сможете использовать операционную систему в качестве промежуточного шага в процессе входа в систему.

Представьте, например, что вы хотите войти на свой любимый веб-сайт, но хотите использовать функцию распознавания лиц Windows в качестве средства аутентификации. Вы можете пройти аутентификацию в операционной системе с помощью встроенной функции распознавания лиц, и тогда операционная система сможет сообщить веб-сайту, что вы — это вы.

Хотя легко рассматривать такую возможность исключительно с точки зрения удобства, на самом деле есть кое-что более важное, на что следует обратить внимание. Метод входа в систему, который я только что описал, основан на API под названием WebAuthn. WebAuthn API разработан так, чтобы доверять собственному механизму аутентификации устройства. Другими словами, когда вы входите в свое устройство, ваше устройство сообщает API, что вы прошли аутентификацию, но ваше устройство не предоставляет ваш пароль, биометрические данные или другие данные аутентификации API для обработки. Процесс аутентификации происходит локально, и ваши учетные данные никогда не передаются через Интернет. После того, как вы прошли аутентификацию на устройстве, операционная система может беспрепятственно аутентифицировать вас на веб-сайтах, которые вы посещаете, с помощью сертификатов.

Стандартизация веб-аутентификации

Стандартизация веб-аутентификации может означать, что вскоре вам не придется беспокоиться о запоминании всех этих веб-паролей. В то же время, весь процесс может быть нарушен, если вы потеряете сертификат закрытого ключа. Сертификат предположительно будет привязан к устройству либо через микросхему TPM, внешний носитель, либо через устаревшее хранилище сертификатов. Несмотря на это, крайне важно иметь способ резервного копирования или восстановления закрытого ключа в случае потери исходного ключа из-за аппаратного сбоя.