Очень немногие вещи в Интернете сохранились в своем первоначальном виде — пароли как раз одна из этих вещей. Их никто не любит, мы привыкли терпеть их как «неизбежное зло» цифрового века, а необходимость запоминать, вводить, забывать или делиться ими с людьми — это цена, которую нужно платить за безопасность в Интернете. Серьёзно?!

После почти 30 лет процветания цифровой культуры данные исследований и человеческий опыт доказывают, насколько плохо пароли работают как дизайнерское решение. С чисто человеческой точки зрения и удобства пароли — разочаровывающий, неэффективный и бесхитростный метод доступа и защиты. Может быть, пора избавиться от них?!


1. У нас слишком много паролей

Сегодня среднестатистический адрес электронной почты привязан минимум к 130 учетным записям, не говоря уже о физических объектах, для которых мы должны помнить пароли (от кредитных карт до цифровых дверных замков). Эти цифры растут с ростом актуальности Интернета и технологий в нашей жизни.

Мы быстро достигли точки, когда невозможно управлять всем этим объемом информации без внешней помощи. Как следствие — браузеры, которые запоминают ваши пароли для вас, кнопки «Запомнить меня» и «Я забыл свой пароль» и сервисы вроде менеджеров паролей. Само существование последних — одновременно и симптом, и решение проблемы. Но идея хранить все яйца пароли в одной корзине, защищенной … паролем, да ещё и платить за это деньги — абсурд. Напрашивается резонный вопрос: нам действительно нужно так много паролей?!

Как мы обычно выходим из положения? Заводим один единственный пароль для сотни учетных записей (хотя это и противоречит рекомендациям по безопасности) — согласно опросам 59% людей делают именно так. Но не везде вы сможете ввести свой простенький пароль и вот так легко зарегистрироваться: некоторые сервисы вводят ограничения на надежность пароля, заставляя людей придумывать новые пароли. Это подводит нас к следующей проблеме.


2. Люди не могут придумать хорошие пароли

Еще в 2007 году крупномасштабное исследование Microsoft выявило, что у людей слабые пароли, и они их забывают. И основная причина — когнитивные способности, а не технологии.

Аналитики Национального центра кибер-безопасности Великобритании (NCSC) выяснили, что у взломанных счетов чаще всего бывали пароли вроде «123 456» и «123 456 789». В пятерке банальностей также вошли «QWERTY», «password» и «1 111 111». Угадать такой может даже школьник, и хакеры могут вальяжно попивать чай, пока взламывают большинство учетных записей. Проверьте, нет ли вашего пароля среди взломанных комбинаций — вот большущий список.

Создание надежных паролей — непростая задача, учитывая, что пользователю приходится генерировать в самых разных ситуациях, например — когда нужно зарегистрироваться для оплаты. Это объясняет, почему люди предпочитают использовать свои привычные, знакомые пароли вместо того, чтобы придумывать надежные. Менеджеры паролей помогают создавать совершенно случайные и бессмысленные пароли и запоминают их. Цена такого решения (и то, на что делают расчёт подобные сервисы) — это зависимость пользователя от инструмента и потеря контроля над паролями.

Другие исследования безопасности в Интернете показывают, что только 7% пользователей используют менеджеры паролей. И какими бы ни были ограничения для надежности создаваемых паролей, современные методы взлома сильнее. Поэтому уже просто нет смысла навязывать эту практику людям.


3. Люди плохо управляют паролями

Ввод пароля — антитеза безопасности, но согласно исследованиям, 49% американских пользователей записывают свои пароли, чтобы не хранить их в голове. Ещё 24% хранят свои пароли в цифровых заметках или документах на одном из своих устройств. Это не человеческая небрежность, а скорее, признак того, что пароли (как решение проблемы безопасности) сами стали проблемой для пользователей.


4. Пароли — пережиток прошлого в мире современных цифровых привычек

С точки зрения сегодняшних моделей использования настольных и мобильных устройств, кажется, что аутентификация, защищенная паролем, застряла в 90-х годах:

• Раньше пароли были необходимы и обоснованны, поскольку большинство людей выходили в Интернет из общественных мест и / или с общих компьютеров дома. Сегодня большинство пользователей используют персональные устройства.
  
  
• Мобильные устройства превалируют над десктопными с 2016-го. И если пользователь разблокировал свою мобилку, то ему незачем вводить пароли для доступа к приложениям и функциям (если только внутри приложения нет обратного сценария). Смартфоны всё чаще выступают в качестве менеджеров паролей.
  
  
• Исследования говорят, что средний пользователь регулярно использует на смартфоне не более 5 приложений. На компьютере люди обычно хранят часто используемые сайты в закладках. Аутентификация нужна в редких случаях — скажем, когда используется другое устройство или меняется браузер.
  
  
• Большинство онлайн-сервисов используются нечасто, а учетные записи неактивны. Обычно вас просят ввести пароль для этих служб, но так как вы используете их редко, вы склонны его забывать.

Все это означает, что мы всё реже вводим наши пароли, давая нам меньше причин их помнить.


Альтернативные решения

Избавиться от паролей полностью вряд ли получится из-за масштабов их использования и технический усилий. Но если бы нам предложили лучшее решение — кто знает.


1. Email-логин

Вход в систему по электронной почте — вероятно, самая простая и эффективная альтернатива паролям. Он заменяет пароли с помощью ограниченного по времени токена, отправляемого пользователю по электронной почте. Электропочта есть у каждого, и мы редко меняем или удаляем ее. Она уже используется для подтверждения регистрации, восстановления забытых паролей и для дополнительных мер безопасности. Почему бы просто не сделать её методом входа по умолчанию?

Логин электронной почты универсален и не требует специальных технологий, но он особенно подходит для сервисов, которые используются нечасто (и которых большинство). На практике это делегирует безопасность почтовой службе пользователя.

Medium был одним из первых сайтов, на которых стала использоваться такая система. Amazon использует одноразовые коды входа, отправляемые пользователям, когда они испытывают трудности с доступом к своей учетной записи.


2. Единый вход (SSO)

Единый вход — это еще один способ избавиться от множества паролей в разрозненной экосистеме. В сочетании с регистрацией по электронной почте это может решить проблему наличия нескольких учетных записей и паролей одновременно.

Система единого входа широко применяется в компаниях, но ее также можно использовать для непрофессионального использования: правительство Франции внедрило технологию «France Connect», которая позволяет французским жителям получать доступ практически ко всем государственным службам с помощью номера социального страхования и единственного пароля. Чуть-чуть бы ещё подумали, и заменили б пароль на электронку :)

Вход в систему через другие сервисы — нормальная практика, но не подойдёт тем, кто беспокоится о безопасности (вспоминаем историю с Фейсбуком). Выбор подходящих сервисов для такой аутентификации также ограничен. Другая проблема этого метода в том, что пользователь становится зависимым от сторонней учетной записи: если он захочет удалить ее, он может потерять доступ и данные, связанные с другими службами.


3. Биометрия: отпечаток пальца, распознавание лица, голос

В последние несколько лет биометрия всё популярнее на мобильных устройствах, но её применение в веб-интерфейсах и программном обеспечении отстает. Apple впервые выпустила Touch ID на iPhone 5s в 2013 году — с тех пор многие технические гиганты последовали их примеру.

Распознавание лиц популяризируется за счет распространения камер в цифровых устройствах и культуре селфи. Apple смело заменила Touch ID на Face ID в iPhone X. В 2017 году Mastercard анонсировали «селфи платежи» в Европе — функцию, которая идентифицирует пользователя по лицу для авторизации платежей. Другие компании экспериментируют с голосом. В 2016 году несколько банков, таких как HSBC и Barclay, внедрили технологию распознавания голоса для идентификации своих клиентов.

Биометрия опирается на аппаратные возможности и хорошо подходит для систем с доступом через определенные устройства, но всегда должен быть план В, если у пользователя нет возможности использовать нужное оборудование.

Существенный недостаток такого способа — если вас поймали преступники или взяли под стражу правоохранительные органы, они смогут разблокировать ваш телефон, просто поднеся его к вашему лицу. И непонятно, можно ли как-то разграничить реальную попытку разблокировки и принудительную. Apple распознала этот недостаток и разрешила пользователям отключать Face ID и Touch ID.


4. Физические ключи

Для операций с высокой степенью риска, сред с высоким уровнем безопасности или чувствительных пользователей (например, системных администраторов) можно использовать физические ключи безопасности — например, Google Titan или Yubiko’s YubiKeys. В основном, такие ключи используются для двухфакторной аутентификации в сочетании с паролями, но технически они могут заменить их.

В мире все еще есть места, где люди пользуются интернетом через публичные интернет-кафе, школы, университеты и публичные библиотеки. Не у каждого есть личный ноутбук, и некоторые семьи могут использовать один компьютер. Большинство людей в мире не могут позволить себе дорогие смартфоны со сканерами отпечатков пальцев последнего поколения. Учитывая эти ситуации, кажется, что логин по электронной почте — лучшая альтернатива паролям для ежедневного некритического использования.

У нас не должно было быть этого разговора, но тем не менее. На этой неделе Microsoft официально признал свой некогда любимый Internet Explorer живым трупом и предупредил пользователей о критической уязвимости браузера, которая открывает двери злоумышленникам и позволяет взламывать компьютер.

«Уязвимость может повредить память так, что хакер сможет выполнить произвольный код в контексте текущего пользователя», — частично говорится в предупреждении. «Если текущий пользователь вошел в систему с правами администратора, злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить контроль над уязвимой системой».

И это не первый случай, когда кто-то из Microsoft убеждает пользователей отказаться от их браузера. В феврале этого года исследователь в области безопасности Microsoft призвал, чтобы люди прекратили использовать IE в качестве браузера по умолчанию. Да, и уже в апреле было известно, что просто наличие Internet Explorer на вашем компьютере (даже не его использование) представляет угрозу безопасности.

Теперь же достаточно посетить специально созданный сайт — и привет семье: злоумышленник сможет устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя.

Ценные указания получены: пароли заменить, Internet Explorer — на свалку истории, а выходные — провести весело :)