Возможен ли вход в систему без пароля? Да, скорее всего в 2023 году такая идея будет реализована, и понятие «пароль» станет историей. Что же заменит привычный «пароль»?
Почему технологические компании хотят отменить пароли?
Список правил для надежных паролей довольно длинный. Они должны содержать как можно больше символов и не использоваться более одного раза для разных сервисов. Это не всегда удобно для обычного пользователя.
Поэтому, Apple, Google и Microsoft хотят ввести беспарольные входы в систему уже в ближайшей перспективе.
Что планируют технологические компании?
В начале мая 2022 года Apple, Google и Microsoft совместно заявили, что хотят добавить в Fido 2 дополнительные функции к 2023 году. Пользователи должны иметь возможность автоматически получать доступ к данным доступа на разных устройствах, включая новые, без необходимости повторного входа в систему для каждой учетной записи. Также должна быть возможность использовать мобильное устройство в качестве аутентификатора для входа в приложение или на веб-сайт на другом устройстве поблизости, независимо от операционной системы или браузера.
Microsoft уже ввела вход без пароля для веб-версии Outlook и для своей игровой сети Xbox Live. Его можно включить в дополнительных настройках безопасности учетной записи Microsoft.
И Dropbox, Google или Twitter поддерживают Fido 2, по крайней мере, в качестве второго фактора через USB-токен, приложение или SMS, даже если речь обычно идет не о Fido 2, а о ключе безопасности или ключе доступа.
Удобство и безопасность доступа
Самые популярные пароли
В 2021 году серия чисел «123456» снова возглавила первую десятку спискасамых популярных паролей, ежегодно публикуемого Институтом Хассо Платтнера (Hasso-Plattner-Institut). Но даже надежные и уникальные пароли могут быть украдены.
Двухфакторная аутентификация
Более надежной считается двухфакторная аутентификация (2FA), при которой помимо пароля проверяется еще один фактор (например, код, сгенерированный приложением 2FA, или отпечаток пальца), что, несомненно, повышает безопасность, но не делает вход в систему более простым.
Вход без пароля — решение Fido
Существует решение этих проблем, которое призвано сделать сам пароль надежным. Речь идет о Fido (Fast Identity Online), что в переводе означает что-то вроде: быстрая онлайн-идентификация. Fido представляет собой серию стандартов IТ-безопасности.
Решение для входа в онлайн-сервисы без паролей, предназначено для того, чтобы сделать сам пароль излишним.
Что такое Fido?
Технология Fast Identity Online предназначена для безопасного входа в онлайн-сервисы без пароля.
Последняя версия — Fido 2
Fido 2 представляет собой серию стандартов IТ-безопасности и направлен на обеспечение безопасного входа в онлайн-сервисы без пароля.
Как это работает?
Если пользователь желает войти через Fido 2, то сначала нужно зарегистрировать свое устройство в соответствующем сервисе.
Это можно сделать с помощью смартфона, планшета или компьютера. Во время регистрации с помощью математических процессов генерируются две строки криптографических символов, которые вместе образуют пару: открытый и закрытый ключи.
Сервис получает открытый ключ, а секретный ключ хранится в устройстве, которое таким образом становится так называемым аутентификатором.
Если пользователь хочет войти в систему, то устройство быстро создаст цифровую подпись с использованием секретного ключа. Сервис может проверить это на подлинность с помощью открытого ключа.
В чем отличие технологии Fido от обычного ввода пароля?
Эта процедура более безопасна, чем пароль, поскольку закрытый ключ хранится только у пользователя. Пароли, с другой стороны, представляют собой секреты, которые вводятся с помощью клавиатуры: их можно перехватить локально или по сети.
Кроме того, пароли также хранятся в зашифрованном виде в соответствующей службе, чтобы можно было сравнить пароль, введенный пользователем. При сравнении пароль кратковременно доступен в открытом виде, что представляет угрозу безопасности.
Fido 2, с другой стороны, предлагает еще большую безопасность, так как цифровая подпись включает отметку времени. Даже если злоумышленникам удастся перехватить подпись, они не смогут ее использовать в дальнейшем.
TPMs, Token и закрытый ключ
Кроме того, закрытый ключ находится в безопасности на устройствах аутентификации. При входе в систему с устройства уходит только указанная подпись, а не сам закрытый ключ. TPMs с крипточипами теперь можно найти в подавляющем большинстве смартфонов, а также в новых ПК и ноутбуках. Microsoft даже сделала TPMs требованием для установки Windows 11.
Если у пользователя, например. все еще есть старый компьютер или старый смартфон без TPMs , то он может сохранить закрытый ключ на флешке, подключенной через USB (компьютер) или NFC (смартфон). Эти флешки со встроенными крипточипами также называются токенами (Token) и могут заменить пароль в Fido 2.
Stick в качестве замены пароля или второго фактора
В зависимости от услуги USB-токен также может служить вторым фактором. Если флешка подключена к устройству, то нужно будет ввести PIN-код или аутентифицировать себя с помощью отпечатка пальца, если на флешке есть для этого датчик, потому что 2FA также является частью стандартов Fido.
Fido 2 так же безопасен, как и его реализация
Федеральное управление информационной безопасности (BSI) также является членом Fido Alliance. Офис положительно оценивает стандарт Fido 2 во многих аспектах, однако реальный выигрыш в безопасности возможен только в том случае, если устройство аутентификации защищено соответствующим образом.
Согласно BSI, для более высоких уровней безопасности необходимо также провести независимую проверку и сертификацию того, как стандарт Fido 2 реализован, например, на веб-сайте. Потому что безопасность всегда зависит от того, как соответствующий провайдер реализует Fido 2 для своего сервиса.
Что будет, если пользователь потеряет смартфон, на котором есть закрытый ключ?
Официальная рекомендация от разработчиков Fido 2 — зарегистрировать два устройства. Второе устройство не обязательно должно быть смартфоном или компьютером. К примеру, в качестве резервной копии можно использовать USB-токен.
Но есть и другие варианты.
Например, многочисленные сервисы выдают резервный код при регистрации. Его можно записать на бумаге и хранить в надежном месте.
Относительно новая идея для решения проблемы потери и еще большего удобства для пользователя — также сохранять закрытый ключ в облаке, т.е. на интернет-серверах или синхронизировать его на разных устройствах через интернет. Например, Apple так реализует стандарт Fido 2.
Активируйте Fido 2 и замену пароля везде, где это возможно
На большинстве устройств Android, iOS и MacOS, а также на Windows теперь очень легко использовать Fido 2 с существующим оборудованием.
Проверьте параметры безопасности в настройках учетной записи соответствующего сервиса и используйте Fido 2 везде, где это возможно: либо в качестве замены пароля, либо в качестве второго фактора идентификации.
Другие статьи по теме
Электронный абонемент за 49 евро
Цены на звонки со стационарных и мобильных телефонов на номера 0180 и 0137
Публикация подготовлена с использованием материалов www.deutsche-handwerks-zeitung.de