Популярное
Свежее
Моя лента
Сообщения
Обзор
Курсы
Темы
Маркетинг
Деньги
Сервисы
Крипто
Личный опыт
Маркетплейсы
Путешествия
Образование
Карьера
AI
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Staffcop

Плюсы и минусы беспарольного доступа: действительно ли за ним будущее?

Плюсы и минусы беспарольного доступа: действительно ли за ним будущее?

Сегодня IT-гиганты, такие как Google и Apple, активно продвигают беспарольный доступ и считают, что за ним будущее. Целесообразно ли уходить от паролей и как это повлияет на кибербезопасность — разбираемся вместе с Кириллом Подсухиным, менеджером Контур.ID, который ранее руководил группой разработки единого аутентификатора для системы компании СКБ «Контур».

Что такое беспарольная аутентификация и чем она отличается от доступа с паролем

Виды беспарольной аутентификации

Преимущества и недостатки беспарольного доступа

- От каких возможных угроз ИБ можно защититься?

Как подключить беспарольный доступ

Резюме

Что такое беспарольная аутентификация и чем она отличается от доступа с паролем

Под беспарольной аутентификацией понимают любой способ входа в аккаунт, который не требует ввода пароля или ответа на секретный вопрос. Для подтверждения личности нужно предоставить системе уникальный идентификатор, к примеру приложить палец к датчику для сканирования отпечатка, ввести код из СМС, перейти по ссылке из письма, отправленного на e-mail, подтвердить вход на другом устройстве и т. п.

Яркий пример беспарольного доступа — технология Passkeys, внедренная Google. Она основана на асимметричном шифровании и работает так:

  • Система создает ключ, который состоит из двух частей. Секретная часть хранится на устройстве пользователя, обычно на смартфоне, публичная — на сервере, и пользовательское устройство становится аутентификатором.
  • Когда человек входит в аккаунт с нового компьютера, ему предлагают ввести логин, это может быть e-mail, никнейм или номер телефона.
  • На смартфон, где хранится секретная часть ключа, приходит уведомление о необходимости разблокировать устройство и разрешить доступ.
  • Достаточно разблокировать смартфон привычным способом, например с помощью Face ID, с помощью ПИН‑кода, графического ключа и нажать «Подтвердить».
  • В этот момент публичная часть ключа обнаруживает секретную часть — аутентификация пройдена.

Эта технология не новая, ее разрабатывают с 1980-х годов, но благодаря техническим инновациям последних лет она стала удобнее для пользователей.

Отмечу, что в компании СКБ «Контур» подобная технология внедрена уже более 10 лет назад. Речь идёт о входе в продукты компании СКБ «Контур» по электронной подписи. Принцип такой же, как Passkeys от Google, только привязка реализована не к смартфону пользователя, а к флеш-карте или ПК, где установлена электронная подпись.

Система также основана на асимметричном шифровании, секретный ключ есть только у клиента, публичный — в системе компании СКБ «Контур», в налоговой и т. д. Мы просим сделать подпись, чтобы проверить наличие у пользователя секретного ключа. Единственный нюанс: Google использует опенсорсные протоколы (с открытым кодом), а мы — гостовское шифрование, как того требует законодательство РФ.

Несмотря на небольшие отличия в реализации, технология, используемая в системе компании СКБ «Контур», решает ту же задачу, что и Passkeys, — отменяет пароль. Это удобно, потому что пароль необходимо помнить и его легко украсть.

Виды беспарольной аутентификации

Выше я уже рассказал о некоторых возможных вариантах беспарольного доступа, но их гораздо больше, остановимся детальнее на основных.

  • OTP — технология генерации одноразовых кодов.

Этот способ аутентификации заслуживает быть на первом месте, так как появился раньше остальных, еще в 80-е годы прошлого века. Его суть заключается в том, что в момент входа в аккаунт специальная программа создает цифровой код: сегодня он приходит пользователю на e-mail, в пуш-уведомлении или СМС. Обычно код действует короткий промежуток времени, за которое его нужно ввести в систему, а потом теряет актуальность. Наиболее популярные программы для создания OTP-кодов: Microsoft Authenticator, «Яндекс.Ключ», Google Authenticator, Authy, Контур.Коннект.

  • Подтверждение активной сессии через пуш-уведомление.

Принцип простой, если пользователь уже авторизовался в системе на каком-то устройстве, например на ПК. Для входа в аккаунт с другого устройства достаточно подтвердить свою личность с помощью пуш-уведомления, дополнительно может понадобиться ввести ПИН-код или биометрию.

  • Вход через сканирование QR-кода.

Суть такая же, как и с пуш-уведомлениями. При активной сессии на одном устройстве, для входа с другого нужно отсканировать смартфоном QR-код, который высветится на экране, и аутентификация произойдет автоматически. Для каждой новой сессии формируется новый QR-код.

  • Аутентификация по ссылке в письме на e-mail.

При входе в систему формируется письмо со ссылкой, кликнув на которую пользователь попадает в сервис уже авторизованным. Сейчас этот способ используют редко из-за неудобства. Ведь чтобы войти в почту, нужно тоже пройти аутентификацию.

  • Вход через единую учетную запись.

Этот способ предполагает авторизацию в разных системах через один сервис. В качестве примера можно привести Госуслуги. При регистрации на портале пользователи получают учетную запись в Единой системе идентификации и аутентификации (ЕСИА), с помощью которой можно войти на сайты налоговой службы, СФР, Росреестра, Почты России и в другие сервисы, включая школьный электронный дневник ребенка.

Знать один логин и пароль и входить по ним в разные сервисы удобно для пользователей, поэтому такой способ аутентификации внедряется во многих странах. Впереди всех Китай: через учетку в мессенджере WeChat, которым пользуются практически все жители страны, можно войти в любой сервис.

  • Passkeys-аутентификация.

Выше я уже описал, как работает эта технология. Здесь подытожу, что для успешного входа в аккаунт система должна сопоставить две части криптографического ключа: публичную и секретную, которая хранится на устройстве пользователя. Когда пользователь входит в систему, она обнаруживает публичную часть ключа, то есть цифровой профиль пользователя, и направляет запрос об аутентификации на смартфон, чтобы получить секретную часть ключа.

Аутентификация проходит в два шага:

  1. Разблокировка устройства. Здесь есть варианты: ПИН-код, графический ключ, отпечаток пальца, распознавание лица.
  2. Подтверждение доступа. После разблокировки устройства на экране появится сообщение от системы, куда нужно войти. Чтобы разрешить доступ, нужно нажать «Подтвердить».

Преимущества и недостатки беспарольного доступа

Прежде чем говорить о плюсах и минусах беспарольного доступа, отмечу общие принципы и подходы к аутентификации. При авторизации любого пользователя мы можем проверить три категории факторов:

  1. Фактор владения — удостоверение личности по устройству, которое физически есть у пользователя: смартфон или другое личное устройство.
  2. Фактор знания — опирается на то, что известно пользователю, предполагает введение пароля, кода из СМС, ответа на секретный вопрос.
  3. Фактор свойства — подтверждение личности уникальными физиологическими и биологическими характеристиками, то есть биометрией.
Один из распространенных способов беспарольной аутентификации — биометрия: вход в учетную запись по отпечатку пальца или скану лица
Один из распространенных способов беспарольной аутентификации — биометрия: вход в учетную запись по отпечатку пальца или скану лица

Когда входят по паролю, проверяется фактор знания, в Passkeys — фактор владения, а также дополнительно фактор знания или биометрия, когда для разблокировки устройства пользователь вводит ПИН-код, графический ключ, сканирует лицо или отпечаток пальца.

Также есть двух- и многофакторная аутентификации, которые совмещают несколько факторов подтверждения. В первом случае вводится логин и пароль, а затем код из СМС. Во втором случае факторов подтверждения больше, например логин и пароль, код из СМС, ссылка из письма.

Логично предположить, что многофакторная аутентификация — самая надежная, но и самая неудобная для пользователей. Поэтому ИТ-специалисты не прекращают поиски наиболее комфортной и безопасной системы. Сегодня на это звание претендует беспарольная аутентификация.

Преимущества беспарольной аутентификации

  • Разные способы реализации. Есть множество способов входа в учетные записи без паролей: от одноразовых кодов до привязки устройств. Можно выбрать ту технологию, которая подходит вашему сервису больше всего.
  • Не нужно придумывать и хранить пароли. Требования к паролям в разных сервисах отличаются. Зачастую они длинные и сложные, и их трудно запомнить. Приходится записывать или использовать менеджеры паролей. Записанный пароль легко потерять, а если забыть мастер-ключ от менеджера паролей, можно лишиться доступа ко всем данным. К тому же по правилам цифровой гигиены пароли нужно регулярно менять.
  • Нет риска потерять пароль. Если пароль утерян или забыт, придется его восстанавливать. Кроме того, секретную комбинацию могут подсмотреть или украсть хакеры, которые с каждым днем становятся более изобретательными.
  • Защита от фишинга. Фишинговые сайты, созданные для того, чтобы украсть данные для входа, теряют смысл, ведь пользователю не нужно вводить логин и пароль.
  • Исключены риски, присущие двухфакторной аутентификации. Мошенники уже умеют перехватывать СМС и делать дубликаты SIM-карт, чтобы получить доступ к сообщениям с кодами для входа. Это сложный и дорогой тип атак, поэтому встречается не часто, но число таких случаев растет.
  • Удобство и простота. Секретный ключ можно хранить на любом устройстве. А сам беспарольный вход интуитивно понятен и удобен для пользователей.

Недостатки беспарольного доступа

  • Риск кражи устройства. Глобально вход без пароля, такой как Passkeys, подтверждает только фактор владения устройством. Если телефон пользователя украдут, вместе с ним уйдет и секретный код, а значит, у злоумышленника появится шанс получить доступ ко всем аккаунтам. Самые опасные ситуации — отсутствие ПИН-кода, графического ключа или биометрии для разблокировки смартфона, а также кража разблокированного устройства.
  • Нельзя контролировать действия пользователя. Чтобы в Passkeys усилить фактор владения биометрией или ввести ПИН-код, нужно проинформировать пользователя о необходимости правильно настроить разблокировку устройства. Но проконтролировать, как он это сделает, возможности нет. Также есть нюанс с биометрией: иногда лица людей настолько похожи, что один человек может с легкостью разблокировать устройство другого. К тому же есть множество дипфейков, позволяющих создавать и использовать фальшивые изображения. Это объясняет, почему биометрия лишь вспомогательный фактор подтверждения.

Но можно ли использовать Passkeys, если речь идет о суперкритическом продукте с суперчувствительными данными? Я считаю, что в этом случае нужно применять многофакторную аутентификацию или Passkeys с точным подтверждением и фактора владения, и фактора знания. Когда выбор типа аутентификации напрямую зависит от типа сервиса и сценария его использования.

  • Системные ограничения. В Passkeys для хранения секретного ключа применяется начинка операционной системы. Если у пользователя несколько устройств с разными ОС, например ноутбук с ОС Windows и iPhone с iOS, нужны разные ключи для разных экосистем.

От каких возможных угроз ИБ можно защититься?

Беспарольная аутентификация помогает защититься от таких угроз, как:

  • Подбор и взлом паролей для несанкционированного доступа к аккаунтам.
  • Кража учетных данных с помощью вредоносного ПО.
  • Социальная инженерия — манипулирование людьми для получения секретных данных.
  • Фишинговые атаки — обманные письма и сообщения с целью заставить жертву раскрыть конфиденциальную информацию или нажать на вредоносную ссылку.

Фишинг чаще всего становится причиной слива данных. Как это выглядит? Пользователю приходит письмо со ссылкой на страницу аутентификации в знакомом ему сервисе, допустим в соцсети. Страница выглядит так же, как оригинальная, человек вводит логин и пароль, и злоумышленник перехватывает данные.

Важно также понимать, что проблема информационной безопасности — это всегда совокупность двух факторов: человеческого и технического. Я отметил, что большинство аккаунтов взламывают через фишинг, когда пользователь не смог распознать обман. Но решить проблему могут и технические средства, например антифишинговый фильтр на почте организации, который отфильтровывает фишинговые рассылки. Уже есть фильтры, которые с помощью искусственного интеллекта обучаются распознавать потенциально опасные вложения.

Еще один действенный способ борьбы с фишингом — обучение сотрудников защите от фишинговых атак. Мы в компании СКБ «Контур» регулярно проводим такое обучение уже более 15 лет, и это дает отличный результат.

Как подключить беспарольный доступ

Рассмотрим, как подключить беспарольную аутентификацию на примере Passkeys для аккаунта Google.

  1. Проверяем, поддерживает ли устройство этот способ аутентификации:
    ● На компьютере или ноутбуке должна быть операционная система Windows 10 или Windows 11, ChromeOS 109 и macOS Ventura для Apple Macbook.
    ● На телефоне версия ОС не ниже Android 9 или iOS 16.
    ● Устройства должны поддерживать протокол FIDO2, проверить можно здесь.
  2. При необходимости обновляем версию браузера до той, которая поддерживает Passkeys. Минимальные версии: Chrome 109, Edge 109, Safari 16.
  3. Убеждаемся, что в телефоне установлена разблокировка одним из трех способов: биометрия, ПИН-код или графический ключ.
  4. Включаем Bluetooth.
  5. Входим в свой аккаунт Google, переходим на страницу Passkeys и нажимаем «Настроить ключи доступа». Обратите внимание, если вы используете устройства с ОС Android, ключи могут быть созданы автоматически — отобразится их перечень.
  6. Если ключей нет, продолжаем настройку, нажимая «Продолжить». В финале нужно подтвердить свою личность с помощью ПИН-кода, графического ключа или биометрии.
  7. Настройка завершается сообщением, что ключ успешно создан.

В Passkeys можно сделать ключ для любого устройства, с каждого из них вы сможете подтверждать вход. Как только вы решите войти в аккаунт Google, скажем с планшета, система сообщит, что ждет подтверждения с привязанного устройства, допустим смартфона. Нажимаем «Продолжить» и получаем сообщение с просьбой подтвердить вход. Разблокируем смартфон, жмем «Подтвердить», Google понимает, что это вы, и разрешает вход с планшета.

Резюме

Главный плюс беспарольного входа в том, что взломать аккаунты с таким доступом очень сложно. В этом основное преимущество для ИБ. Наряду с этим трендом, который направлен на усиление безопасности данных и упрощение жизни пользователей, развивается и второй — применение единых аутентификаторов, таких как ЕСИА. Обе технологии имеют отличные перспективы на будущее. Но отмечу, что, несмотря на все плюсы беспарольного доступа для суперкритических систем, скорее всего, сохранится многофакторная аутентификация, такая как предлагает сервис Контур.ID.

#беспарольнаяаутентификация #Passkeys #кибербезопасность #беспарольныйдоступ #ИБ

Контур.ID обеспечивает двухфакторную аутентификацию, защищая учетные записи сотрудников от несанкционированного доступа. Staffcop Enterprise дополняет эту защиту, контролируя и блокируя внешние устройства, выявляя уязвимости системы и проводя расследование инцидентов информационной безопасности. Вместе эти решения создают многоуровневую защиту для компании, обеспечивая безопасность данных и минимизируя риски. Подробнее о продуктах можно узнать на сайте Контур.ID. А также подписывайтесь на соцсети, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.

Оставить заявку
VK
Telegram
55
Начать дискуссию